云防火墙访问控制策略配置升级,访问控制策略目的地址选择域名类型时,支持对域名进行DNS解析,并提供可视化解析地址供您查看。本文档介绍了如何使用DNS域名解析地址配置内到外访问控制策略。

背景信息

访问控制功能上线以来,对于互联网内对外流量的访问控制,云防火墙支持配置目的类型为域名的规则。如果您在创建内对外访问控制策略时,目的地址类型选择域名,那么该规则只可管控访问流量协议为TCP 、应用类型为HTTP/HTTPS/SSL/SMTP/SMTPS的数据(协议默认为TCP,不支持自定义选择协议)。

现在,云防火墙针对内对外访问控制策略进行了升级,通过采用动态DNS解析实现了域名访问控制策略功能的增强。目前,已实现内对外策略配置时,目的地址类型选择域名,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。您可实时查看目的域名解析地址,并在解析地址变更时手动更新该地址。

说明
  • 流量的应用类型为HTTP、SMTP时,云防火墙优先通过host字段来实现域名的访问控制。
  • 流量的应用类型为HTTPS、SMTPS、SSL时,云防火墙优先通过SNI字段来实现域名的访问控制。
  • 除了应用类型为HTTP/HTTPS/SSL/SMTP/SMTPS以外的数据,才支持动态DNS解析的方式实现流量的访问控制(即才能查看到解析后的域名IP地址)。

防护原理

对于DNS域名解析地址的内对外访问控制规则(访问流量协议为TCP 、应用类型为HTTP/HTTPS/SSL/SMTP/SMTPS的数据除外),DNS解析域名地址后,该域名将被转化成IP地址。该内对外规则创建完成后,云防火墙将对域名解析出的IP地址进行防护。

限制条件

以下情况不支持DNS域名解析地址的访问控制策略:

  • 外对内流量。

    目前,仅内对外流量的访问控制策略支持DNS域名解析。

  • 目的地址域名为通配符域名(例如:*.aliyun.com)。
  • 目的地址类型为域名地址簿
  • 金融云和政务云用户。
注意 配置DNS域名解析访问控制策略时,需要关注以下问题:
  • 从ECS访问外部域名地址时,只支持ECS默认配置的DNS解析服务器(即ADNS),不支持用户指定特殊的DNS。也就是说,如果您修改了ECS的DNS服务器地址,则该域名解析访问控制规则将无法生效。
  • 多个域名解析到同一个IP地址,访问控制策略会受影响。

    例如:配置一条放行a.test.com的ftp协议流量。假设a.test.com域名解析A记录为1.1.1.1,那么实际下发到引擎的规则为1.1.1.1的ftp协议允许。此时,如果b.test.com域名也解析A记录为1.1.1.1,那么访问b.test.com的ftp协议也会被放行。

  • 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。

    如果域名a.test.com的解析结果由1.1.1.1变化为2.2.2.2,云防火墙自动更新访问控制策略(即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内)。策略自动更新的周期为30分钟,也就是说,对于已配置的DNS策略,当解析地址变化时,该策略将于30分钟后生效。

    如果您想根据实时变化的解析地址更新您的访问控制策略,可在该策略的编辑页面中单击域名解析,手动触发域名解析来获取最新的解析地址,并单击确定保存策略的更新。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 互联网边界防火墙 > 内对外页签下,单击新增策略
    内对外新增策略
  4. 新增内-外策略对话框中,创建内对外访问控制策略。
    内对外域名访问策略访问控制策略配置项说明和配置方法请参见下表。
    配置项名称 配置项描述 配置方法
    源类型 该访问控制策略要过滤的数据包的来源地址类型,包含以下2类:
    • IP:仅支持单个IP地址段。
    • 地址簿:是您预先配置的IP地址簿,为多个IP地址段的组合,便于您在策略配置时对多个IP地址进行限制,从而简化策略配置。
    		单击选择IP地址簿

    访问源地址类型为IP地址,需手动输入IP地址段;访问源地址类型选择地址簿时,需从您预先配置的址簿中选择。

    访问源 该访问控制策略要过滤的数据包的来源地址。 手动输入访问源。
    说明 访问源只支持配置一个公网IP网段,例如:1.1.1.1/32。
    目的类型 该访问控制策略要过滤的数据包的目的地址类型,包含IP地址、地址簿、域名和区域4类。 此处单击选择域名
    目的 该访问控制策略要过滤的数据包的目的地址。 手动输入需要该访问控制策略管控的域名地址。
    说明 非通配符域名才支持动态DNS解析功能,通配符域名无法使用该功能。
    域名解析 云防火墙将自动为您解析目的域名地址,并对该解析到的地址进行访问控制。 单击域名解析,可查看该域名的实时解析地址。
    协议类型 该访问控制策略要过滤的数据包的协议类型。包含以下类型:
    • ANY:任何协议。
    • TCP协议。
    • UDP协议。
    • ICMP协议。
    		 单击下拉框选择需要访问控制策略管控的协议类型。
    端口类型 可选单个端口或端口地址簿。 单击选择端口类型。
    端口 允许或阻止该内对外流量数据包通过的端口号。 手动输入端口范围。0/0代表任意端口。
    应用 当前支持配置的应用有:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

    协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

    说明 识别应用依赖应用报文特征(协议识别不依据端口);应用识别失败时,该数据包会被放行
    		 单击下拉框选择需要访问控制策略管控的应用类型。
    动作 允许或拒绝该流量通过互联网边界防火墙。
    • 放行:允许访问。
    • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
    • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
    		 单击下拉框选择动作类型。
    描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。 手动输入备注内容。
    优先级 设置访问控制策略的优先级。默认优先级为最后
    • 最后:指访问控制策略生效的顺序最低,最后生效。
    • 最前:指访问控制策略生效的顺序最高,最先生效。
    		单击选择最前最后
  5. 单击提交,完成内对外策略的配置。
    策略提交后,您可在互联网边界防火墙 > 内对外页面查看您配置的策略,对该策略进行编辑、删除、插入(即克隆已创建的策略)或移动该策略的优先级位置。

后续步骤

您可在防火墙开关 > 互联网边界防火墙查看您配置的访问控制策略是否已生效。