配置DNS边界访问控制策略

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

专有网络VPC访问域名网站时,需要先通过DNS服务器解析出域名网站的IP地址。开启DNS防火墙后,VPC访问互联网域名时会先经过DNS防火墙,您可以通过配置DNS域名访问策略,对VPC访问互联网域名进行管控。

版本限制

只有云防火墙企业版和旗舰版支持配置DNS域名访问控制策略。其中企业版最大支持10,000策略授权规格数,旗舰版最大支持20,000策略授权规格数。如果您需要配置更多策略,请联系商务经理。

前提条件

已开启DNS防火墙。具体操作,请参见DNS边界防火墙

创建放行指定域名的访问控制策略

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 访问控制 > DNS域名

  3. DNS域名页面,单击创建策略

  4. 以下内容以设置只允许源IP地址访问指定域名网站的场景为例,介绍如何创建DNS域名策略。

    1. 创建策略对话框,参照下表,配置一条放行可信源IP的策略。

      配置项

      说明

      源类型

      网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。流量访问的发起方。此处设置为VPC中的资产访问地址。

      • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。每条策略只支持配置一个网段。

      • 选择地址簿类型时,您需要提前创建IP地址簿。创建地址簿的具体操作,请参见地址簿管理

        说明

        一次只能选择一个地址簿。如果您需要使用多个地址簿,您可以通过新增策略来添加。

      访问源

      目的类型

      接收流量的目的类型和目的地址。此处设置为互联网域名地址。

      • 选择域名类型时,需要输入目的域名地址,支持泛域名(例如*.aliyun.com)。

      • 选择地址簿类型时,您需要提前创建域名地址簿。创建地址簿的具体操作,请参见地址簿管理

        说明

        一次只能选择一个地址簿。如果您需要使用多个地址簿,您可以通过新增策略来添加。

      目的

      动作

      设置匹配成功的流量在该条策略的放行情况。

      • 放行:放行该流量。

      • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

      • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

      描述

      输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。

      优先级

      设置该策略的优先级。1为最高优先级,数字越大,优先级越低。优先级相同的策略,动作为拒绝的策略优先生效。

      说明

      DNS域名访问控制策略的优先级是静态的,可创建多条优先级相同的策略。请您在创建访问控制策略之前先做好策略优先级的规划。

    2. 创建第二条访问控制策略,拒绝所有访问流量的来源地址去访问指定的域名。

      • 访问源:设置为0.0.0.0/0

      • 动作:设置为拒绝,表示禁止所有未授权的访问。

      • 优先级:确保该策略的优先级低于上述第一条放行可信源策略的优先级。

      • 其他访问控制参数配置,请参见上述参数配置表。

导出策略

DNS域名访问控制策略支持导出功能,您可以在DNS域名页面的策略列表上方,单击image.png,导出DNS域名策略列表。image.png

导出完成后,您可以在DNS域名页面右上角,单击下载任务管理,查看任务导出进展,并将导出文件下载到本地。

查看流量命中情况

访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。

image.png

命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计

相关操作

创建策略后,您可以在访问控制策略列表,对该策略进行修改、删除、复制。

警告

删除策略后,该策略管控的流量将不受云防火墙的访问控制,会导致您的业务受到影响。请谨慎删除。