开启DNS防火墙后,您可以设置DNS域名访问控制策略,限制VPC资产对指定域名的访问。

前提条件

已开启DNS防火墙。相关操作,请参见DNS防火墙

背景信息

VPC要访问指定域名,必须先通过DNS服务器解析域名对应的IP地址。开启DNS防火墙后,VPC访问互联网域名时会先经过DNS防火墙,您可以通过配置DNS域名访问控制策略对VPC访问互联网域名进行访问控制和防护。

版本限制

只有企业版和旗舰版云防火墙支持配置DNS域名访问控制策略。其中企业版最多支持配置10,000条策略,旗舰版最多支持配置20,000条策略。如果您需要配置更多策略,请提交工单申请扩展。

创建放行指定域名的访问控制策略

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > DNS域名
  3. DNS域名页面,单击创建策略
  4. 创建策略对话框,以创建一条放行指定域名的访问控制策略为例,按照以下步骤新增访问控制策略。
    1. 创建第一条策略,先对可信的源IP进行放行
      请参照下表,完成参数配置。
      参数名称 参数配置说明
      源类型 访问源的类型。可选值:
      • IP:仅支持单个IP地址段。
      • 地址簿:您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址进行管控。
      访问源 设置访问流量的来源地址。 不同源类型设置的访问源如下:
      • 选择IP作为源类型时,该访问源一定要设置成网段。每条策略只支持配置一个网段。
      • 选择地址簿作为源类型时,您可单击指定地址薄右侧的选择按钮,选择某个域名地址簿作为访问源
        说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
      目的类型

      可选择地址薄域名
      目的 设置接收流量的目的地址。
      选择地址簿作为目的类型时,您可单击指定地址薄右侧的选择按钮,选择某个域名地址簿作为目的
      说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
      动作 访问控制策略执行的动作。可选值:
      • 放行:访问源允许访问目的地址。
      • 拒绝:访问源禁止访问目的地址。
      • 观察:设置为观察模式后,允许访问源到目的地址的访问。观察一段时间后,您可根据实际需求调整为放行拒绝
      描述 对该策略进行描述或备注,便于您后续查看时,能快速区分每条策略的目的。
      优先级 选择该策略的优先级。1为最高优先级,数字越大,优先级越低。优先级相同的策略,动作为拒绝的策略优先生效。
      说明 DNS域名访问控制策略的优先级是静态的,可创建多条优先级相同的策略。请您在创建访问控制策略之前先做好策略优先级的规划。
    2. 创建第二条访问控制策略,拒绝所有访问流量的来源地址去访问指定的域名。

      访问源地址设置为0.0.0.0/0动作设置为拒绝,禁止所有未授权的访问。其他访问控制参数配置,请参见参数配置表

    3. 确定第一条可信源放行策略的优先级高于第二条所有访问流量的来源地址拒绝策略的优先级。
      按照以上步骤配置完成访问控制策略后,云防火墙只允许指定的源IP地址访问策略中配置的域名。
    创建策略

导出策略

DNS域名访问控制策略支持导出功能。导出

查看是否有访问流量命中访问控制策略

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不正确,或者DNS防火墙未打开,可能会导致您的策略配置不生效。

您可以在访问控制策略列表中定位到该新增的策略,如果命中次数栏有显示对应的命中次数,表示已有访问流量命中该策略。命中次数是创建策略后,访问流量命中该策略的累计次数。命中次数
您还可以单击命中次数下的数字,跳转到流量日志页面。在流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。
说明 流量日志仅展示最近7天内的流量信息。某条访问控制策略有对应的命中次数,但如果命中策略是发生在距离当前时间的7天前,那么,流量日志列表中的数据将会为空。

相关操作

创建策略后,您可以在访问控制策略列表中,对该策略进行修改、删除、复制。
警告 删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。