本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
专有网络VPC访问域名网站时,需要先通过DNS服务器解析出域名网站的IP地址。开启DNS防火墙后,VPC访问互联网域名时会先经过DNS防火墙,您可以通过配置DNS域名访问策略,对VPC访问互联网域名进行管控。
版本限制
只有云防火墙企业版和旗舰版支持配置DNS域名访问控制策略。其中企业版最大支持10,000策略授权规格数,旗舰版最大支持20,000策略授权规格数。如果您需要配置更多策略,请联系商务经理。
前提条件
已开启DNS防火墙。具体操作,请参见DNS边界防火墙。
创建放行指定域名的访问控制策略
登录云防火墙控制台。
在左侧导航栏,选择 。
在DNS域名页面,单击创建策略。
以下内容以设置只允许源IP地址访问指定域名网站的场景为例,介绍如何创建DNS域名策略。
在创建策略对话框,参照下表,配置一条放行可信源IP的策略。
配置项
说明
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。流量访问的发起方。此处设置为VPC中的资产访问地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。每条策略只支持配置一个网段。
选择地址簿类型时,您需要提前创建IP地址簿。创建地址簿的具体操作,请参见地址簿管理。
说明一次只能选择一个地址簿。如果您需要使用多个地址簿,您可以通过新增策略来添加。
访问源
目的类型
接收流量的目的类型和目的地址。此处设置为互联网域名地址。
选择域名类型时,需要输入目的域名地址,支持泛域名(例如*.aliyun.com)。
选择地址簿类型时,您需要提前创建域名地址簿。创建地址簿的具体操作,请参见地址簿管理。
说明一次只能选择一个地址簿。如果您需要使用多个地址簿,您可以通过新增策略来添加。
目的
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
描述
输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。
优先级
设置该策略的优先级。1为最高优先级,数字越大,优先级越低。优先级相同的策略,动作为拒绝的策略优先生效。
说明DNS域名访问控制策略的优先级是静态的,可创建多条优先级相同的策略。请您在创建访问控制策略之前先做好策略优先级的规划。
创建第二条访问控制策略,拒绝所有访问流量的来源地址去访问指定的域名。
访问源:设置为
0.0.0.0/0
。动作:设置为拒绝,表示禁止所有未授权的访问。
优先级:确保该策略的优先级低于上述第一条放行可信源策略的优先级。
其他访问控制参数配置,请参见上述参数配置表。
导出策略
DNS域名访问控制策略支持导出功能,您可以在DNS域名页面的策略列表上方,单击,导出DNS域名策略列表。
导出完成后,您可以在DNS域名页面右上角,单击下载任务管理,查看任务导出进展,并将导出文件下载到本地。
查看流量命中情况
访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计。
相关操作
创建策略后,您可以在访问控制策略列表,对该策略进行修改、删除、复制。
删除策略后,该策略管控的流量将不受云防火墙的访问控制,会导致您的业务受到影响。请谨慎删除。