AI 助理
备案控制台
官方文档
有奖调研
输入文档关键字查找
首页 云防火墙 云防火墙CFW 操作指南 防护配置 同步节点 私有 DNS

私有 DNS

更新时间:
产品详情
我的收藏

在复杂的网络架构中,业务系统可能依赖于私有DNS(例如阿里云的PrivateZone或自建DNS)来解析内部域名,这些域名的解析结果通常指向内网IP地址或特定的业务节点。然而,云防火墙默认使用阿里云DNS服务器地址100.100.2.136/100.100.2.138进行动态解析。通过启用私有DNS同步功能,云防火墙可以获取Private Zone或者自建DNS服务器的域名解析结果。本文将介绍如何在云防火墙中同步私有DNS。

限制条件

同步私有DNS仅对基于DNS动态解析同时基于FQDNDNS动态解析的域名识别模式的访问控制策略有效。

方案概览

开启同步前

开启同步后

imageimage

业务系统依赖私有DNS进行出站域名解析,而云防火墙则基于阿里云默认DNS服务器(100.100.2.136、100.100.2.138)进行域名解析。同一域名可能通过不同DNS服务器进行解析,从而出现解析结果不一致的问题,最终导致基于域名的访问策略失效。

解决因DNS解析不一致导致的安全策略失效问题,云防火墙引入了私有DNS同步节点的解决方案。通过这一机制,云防火墙能够自动获取PrivateZone的解析结果,或从自建DNS中获取解析结果。这一功能确保了在不同DNS服务器之间的一致性,降低了因解析不一致而引发访问策略失效的风险。

操作步骤

在使用该方案前,请确定您的DNS服务器类型。

  • 如果您的DNS服务器类型为PrivateZone,确保已配置解析记录。

  • 如果您的DNS服务器类型为自建DNS服务器,确保已在自建DNS服务器配置域名和IP的映射关系。

根据以下三个步骤完成同步私有DNS的配置:

image

1. 创建私有DNS解析所需的同步节点

同步节点包含了终端节点、虚拟交换机、终端节点网卡等。

image

  1. 登录云防火墙控制台在左侧导航栏,选择防护配置 > 同步节点

    image

  2. 同步节点页面,单击创建私有DNS解析同步节点

  3. 根据下列配置项说明,创建同步节点实例。

    配置项

    说明

    同步节点名称

    自定义同步节点的名称。

    私有DNS类型

    当您的DNS服务器类型为PrivateZone,默认的DNS服务器为100.100.2.136100.100.2.138。

    当您的DNS服务器类型为自建DNS服务时,需要配置主DNS服务器地址,备DNS服务器地址为可选。

    优先使用主DNS服务器进行域名解析,当主DNS服务器解析不出结果时,再使用备DNS服务器进行域名解析。

    • 如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的同步节点访问DNS服务器。

    • 如果DNS服务器地址是私网地址,需要确保业务VPCDNS服务器网络互通,允许创建的同步节点访问DNS服务器。

    所属地域

    同步节点所属VPC的地域,该地域是访问控制域名解析结果的地域。如果您的业务分布在两个地域,您需要为两个地域都创建同步节点,并为每个同步节点配置域名,使两个地域的访问控制策略都应用私有DNS服务器的域名解析结果。

    专有网络

    选择同步节点所属的VPC,该VPC用于访问DNS服务器,可为任意业务VPC。建议不要选择VPC边界防火墙和NAT边界防火墙占用的VPC实例。

    可用区与交换机

    选择同步节点所属的交换机。您也可以手动为同步节点的弹性网卡指定IP地址,该IP地址不能与交换机内已被占用的IP地址冲突。如果您没有手动指定IP地址,云防火墙会自动为您分配该IP地址。

    当前支持两种灾备场景的可用区和交换机配置:

    • 双可用区场景(推荐):在两个不同可用区的不同交换机创建两个同步节点,该方式考虑容灾场景,推荐使用。

    • 单可用区场景:只创建在一个可用区的交换机创建一个同步节点。单可用区没有灾备。

    DNS解析协议

    • 当您的DNS服务器类型为PrivateZone时,协议为UDP。

    • 当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的协议,支持UDPTCP协议。

    DNS解析端口

    • 当您的DNS服务器类型为PrivateZone时,解析端口为53。

    • 当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的端口,默认端口为53。

    应用的防火墙边界

    选择DNS解析结果应用的防火墙边界,一个节点实例可应用于多个云防火墙边界,每个地域的每个边界只能被一个同步节点应用。至少配置1个边界。可应用的边界如下:

    • 互联网边界

    • NAT边界

    • VPC边界

    DNS解析同步周期

    5分钟同步一次DNS解析结果。

  4. 单击确定,完成创建。image

2. 添加使用私有DNS解析的域名

  1. DNS解析页面,定位到已创建的DNS解析同步节点,单击操作配置域名

  2. 单击新增,添加域名。

    支持添加多个域名,一次最多可以添加1000个域名,最多可以添加10000个域名,不支持添加泛域名。

  3. 单击查看解析详情,查看域名解析的IP地址是否与您的域名实际对应的解析IP一致。

    image

  4. 域名全部添加完成后,单击确定

3. 配置目的为域名的访问控制策略

其他操作

  • 编辑实例:如果需要修改私有DNS解析同步节点实例的名称或者更换自建DNS服务器的IP,可以在DNS解析页面,单击编辑实例进行修改。

  • 删除实例:当您业务已不需要通过该同步节点实例与私有DNS解析打通时,可以在DNS解析页面,单击删除。删除同步节点实例前,需先删除所配置的域名。

    重要

    您删除该同步节点实例后,DNS解析结果和使用该DNS解析结果的ACL访问控制策略,将恢复为默认DNS解析的结果,可能存在业务风险。建议您谨慎操作。

上一篇:ACK集群下一篇:地址簿管理