云防火墙提供DNS防火墙功能,支持对VPC访问互联网上指定的域名精细管控。DNS防火墙功能目前处于邀测阶段,本文介绍如何配置DNS防火墙以及查看防火墙交换机列表。

背景信息

VPC访问指定域名,必须先通过DNS服务器解析域名对应的IP地址。开启DNS防火墙后,VPC访问互联网域名时先经过DNS防火墙,实现对VPC访问互联网的域名进行访问控制和防护。

邀测对象

云防火墙企业版和旗舰版。

华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要提交工单申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。

邀测阶段云防火墙企业版默认支持配置2个DNS防火墙,旗舰版默认支持配置3个DNS防火墙。如果您需要配置更多DNS防火墙,请提交工单申请,或者联系产品钉钉群售后人员。

前提条件

创建DNS防火墙的VPC需要支持VPC高级功能。相关内容,请参见VPC高级功能

创建DNS防火墙

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > DNS防火墙
  3. DNS防火墙页面,单击创建DNS防火墙
  4. 创建DNS防火墙对话框,请参见下面的参数表,完成以下配置。
    配置项 说明
    名称 自定义DNS防火墙的名称。可输入中文、英文、任意特殊字符。
    全部地域

    华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要提交工单申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。

    VPC 该DNS防火墙防护的VPC实例ID。
    UID 已选VPC所属的阿里云账号ID。
    DNS Server DNS服务器。当前只支持阿里云DNS服务器。
    交换机 该DNS防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:
    • 自选模式:云防火墙自动创建交换机并绑定自定义路由表。
    • 手动模式:您可以自主创建交换机并绑定自定义路由表,然后选择该交换机来创建DNS防火墙。
      关于如何手动创建交换机和绑定交换机,请参见创建和管理交换机
      注意 路由表不允许添加自定义路由条目,交换机不允许接入ECS、RDS、SLB等云资源。
    开启DNS防火墙开关后,会出现配置访问控制策略按钮。
  5. 单击确定,完成DNS防火墙的创建。
    创建DNS防火墙需要2分钟,请耐心等待。创建DNS防火墙后,DNS防火墙默认开启,DNS防火墙的防护已生效。

    如果当前阿里云账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。

查看防火墙交换机列表

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > DNS防火墙
  3. DNS防火墙页面,单击防火墙交换机列表
  4. 防火墙交换机列表面板,查看详细信息。
    您可以在防火墙交换机列表面板,查看当前阿里云账号下已创建的DNS防火墙和安全正向代理所在交换机的详细信息。

    开启DNS防火墙开关后,您还需要添加DNS域名访问控制策略。更多内容,请参见DNS域名访问控制策略