在复杂的网络架构中,业务系统可能依赖于私有DNS(例如阿里云的PrivateZone或自建DNS)来解析内部域名,这些域名的解析结果通常指向内网IP地址或特定的业务节点。然而,云防火墙默认使用阿里云DNS服务器地址100.100.2.136/100.100.2.138进行动态解析。通过启用私有DNS同步功能,云防火墙可以获取Private Zone或者自建DNS服务器的域名解析结果。本文将介绍如何在云防火墙中同步私有DNS。
限制条件
同步私有DNS仅对基于DNS动态解析和同时基于FQDN和DNS动态解析的域名识别模式的访问控制策略有效。
方案概览
开启同步前 | 开启同步后 |
业务系统依赖私有DNS进行出站域名解析,而云防火墙则基于阿里云默认DNS服务器(100.100.2.136、100.100.2.138)进行域名解析。同一域名可能通过不同DNS服务器进行解析,从而出现解析结果不一致的问题,最终导致基于域名的访问策略失效。 | 解决因DNS解析不一致导致的安全策略失效问题,云防火墙引入了私有DNS同步节点的解决方案。通过这一机制,云防火墙能够自动获取PrivateZone的解析结果,或从自建DNS中获取解析结果。这一功能确保了在不同DNS服务器之间的一致性,降低了因解析不一致而引发访问策略失效的风险。 |
操作步骤
在使用该方案前,请确定您的DNS服务器类型。
如果您的DNS服务器类型为PrivateZone,确保已配置解析记录。
如果您的DNS服务器类型为自建DNS服务器,确保已在自建DNS服务器配置域名和IP的映射关系。
根据以下三个步骤完成同步私有DNS的配置:
1. 创建私有DNS解析所需的同步节点
同步节点包含了终端节点、虚拟交换机、终端节点网卡等。
登录云防火墙控制台。在左侧导航栏,选择 。
在同步节点页面,单击创建私有DNS解析同步节点。
根据下列配置项说明,创建同步节点实例。
配置项
说明
同步节点名称
自定义同步节点的名称。
私有DNS类型
当您的DNS服务器类型为PrivateZone时,默认的DNS服务器为100.100.2.136和100.100.2.138。
当您的DNS服务器类型为自建DNS服务时,需要配置主DNS服务器地址,备DNS服务器地址为可选。
优先使用主DNS服务器进行域名解析,当主DNS服务器解析不出结果时,再使用备DNS服务器进行域名解析。
如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的同步节点访问DNS服务器。
如果DNS服务器地址是私网地址,需要确保业务VPC和DNS服务器网络互通,允许创建的同步节点访问DNS服务器。
所属地域
同步节点所属VPC的地域,该地域是访问控制域名解析结果的地域。如果您的业务分布在两个地域,您需要为两个地域都创建同步节点,并为每个同步节点配置域名,使两个地域的访问控制策略都应用私有DNS服务器的域名解析结果。
专有网络
选择同步节点所属的VPC,该VPC用于访问DNS服务器,可为任意业务VPC。建议不要选择VPC边界防火墙和NAT边界防火墙占用的VPC实例。
可用区与交换机
选择同步节点所属的交换机。您也可以手动为同步节点的弹性网卡指定IP地址,该IP地址不能与交换机内已被占用的IP地址冲突。如果您没有手动指定IP地址,云防火墙会自动为您分配该IP地址。
当前支持两种灾备场景的可用区和交换机配置:
双可用区场景(推荐):在两个不同可用区的不同交换机创建两个同步节点,该方式考虑容灾场景,推荐使用。
单可用区场景:只创建在一个可用区的交换机创建一个同步节点。单可用区没有灾备。
DNS解析协议
当您的DNS服务器类型为PrivateZone时,协议为UDP。
当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的协议,支持UDP和TCP协议。
DNS解析端口
当您的DNS服务器类型为PrivateZone时,解析端口为53。
当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的端口,默认端口为53。
应用的防火墙边界
选择DNS解析结果应用的防火墙边界,一个节点实例可应用于多个云防火墙边界,每个地域的每个边界只能被一个同步节点应用。至少配置1个边界。可应用的边界如下:
互联网边界
NAT边界
VPC边界
DNS解析同步周期
每5分钟同步一次DNS解析结果。
单击确定,完成创建。
2. 添加使用私有DNS解析的域名
在DNS解析页面,定位到已创建的DNS解析同步节点,单击操作列配置域名。
单击新增,添加域名。
支持添加多个域名,一次最多可以添加1000个域名,最多可以添加10000个域名,不支持添加泛域名。
单击查看解析详情,查看域名解析的IP地址是否与您的域名实际对应的解析IP一致。
域名全部添加完成后,单击确定。
3. 配置目的为域名的访问控制策略
配置公网资产访问互联网的访问控制策略,请参见配置互联网边界访问控制策略。
配置VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网的通信流量,请参见配置NAT边界访问控制策略。
配置通过云企业网或者高速通道连接的网络实例间的通信流量,请参见配置VPC边界访问控制策略。
其他操作
编辑实例:如果需要修改私有DNS解析同步节点实例的名称或者更换自建DNS服务器的IP,可以在DNS解析页面,单击编辑实例进行修改。
删除实例:当您业务已不需要通过该同步节点实例与私有DNS解析打通时,可以在DNS解析页面,单击删除。删除同步节点实例前,需先删除所配置的域名。
重要您删除该同步节点实例后,DNS解析结果和使用该DNS解析结果的ACL访问控制策略,将恢复为默认DNS解析的结果,可能存在业务风险。建议您谨慎操作。