云防火墙针对内网访问互联网(内对外)的场景下,支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析,提供可视化解析地址供您查看,并对该解析到的地址进行访问控制。本文档介绍了如何使用DNS域名解析地址配置内到外访问控制策略。
背景信息
云防火墙针对内对外访问控制策略进行了升级,通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址,并在解析地址变更时手动更新该地址。
对于DNS域名解析地址的内对外访问控制规则(访问流量协议为TCP 、应用类型为HTTP/HTTPS/SSL/SMTP/SMTPS的数据除外),DNS解析域名地址后,该域名将被转化成IP地址。该内对外规则创建完成后,云防火墙将对域名解析出的IP地址进行防护。
- 流量的应用类型为HTTP、SMTP时,云防火墙优先通过host字段来实现域名的访问控制。
- 流量的应用类型为HTTPS、SMTPS、SSL时,云防火墙优先通过SNI字段来实现域名的访问控制。
- 除了应用类型为HTTP/HTTPS/SSL/SMTP/SMTPS以外的数据,才支持动态DNS解析的方式实现流量的访问控制(即才能查看到解析后的域名IP地址)。
限制条件
以下情况不支持DNS域名解析地址的访问控制策略:
- 外对内流量。
目前,仅内对外流量的访问控制策略支持DNS域名解析。
- 目的地址域名为通配符域名(例如:*.example.com)。
- 目的地址类型为域名地址簿。
- 金融云和政务云用户。
- 从ECS访问外部域名地址时,只支持ECS默认配置的DNS解析服务器(即ADNS),不支持用户指定特殊的DNS。也就是说,如果您修改了ECS的DNS服务器地址,则该域名解析访问控制规则将无法生效。
- 多个域名解析到同一个IP地址,访问控制策略会受影响。
例如:配置一条放行example1.aliyun.com的FTP协议流量。假设example1.aliyun.com域名解析A记录为1.*.*.1,那么实际下发到引擎的规则为1.*.*.1的FTP协议允许。此时,如果域名example2.aliyun.com的A记录也解析为1.*.*.1,那么访问example2.aliyun.com的FTP协议也会被放行。
- 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。
如果域名example1.aliyun.com的解析结果由1.*.*.1变化为2.*.*.2,云防火墙自动更新访问控制策略(即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内)。策略自动更新的周期为30分钟,也就是说,对于已配置的DNS策略,当解析地址变化时,该策略将于30分钟后生效。
如果您想根据实时变化的解析地址更新您的访问控制策略,可在该策略的编辑页面中单击域名解析,手动触发域名解析来获取最新的解析地址,并单击确定保存策略的更新。
在文档使用中是否遇到以下问题
更多建议
匿名提交