AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云防火墙 云防火墙CFW 操作指南 防护配置 访问控制 域名访问控制策略原理

域名访问控制策略原理

更新时间:
产品详情
我的收藏

当企业对外访问的服务或应用为域名时,需要配置域名访问控制策略,提升业务流量安全性。本文介绍云防火墙支持的域名解析模式以及域名解析策略。

域名识别模式介绍

如果您在互联网边界出向策略、NAT边界出向策略、VPC边界访问控制策略中设置了域名或者域名地址簿作为目的地址,云防火墙针对域名的识别,包含三种模式:基于FQDN(报文提取Host/SNI)基于DNS动态解析同时基于FQDNDNS动态解析

image

  • 基于FQDN

    应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS时,云防火墙通过HTTP报文中的HostHTTPS报文中的SNI等字段来实现域名的访问控制。

  • 基于DNS动态解析

    不限制应用类型。云防火墙对域名支持DNS动态解析,并提供可视化的域名解析地址,云防火墙支持对解析出的IP地址进行访问控制。一个域名最多解析500IP。

    云防火墙集成两种DNS解析方式:

    • 默认DNS解析

      使用阿里云内网DNS解析服务,DNS解析服务器IP100.100.2.136、100.100.2.138。

    • 私有DNS解析

      支持接入Private Zone和自建DNS服务器。实现基于私有DNSACL访问控制策略的安全管理,满足云上服务化和应用化的发展趋势。

      当您的私有DNS类型为Private Zone时,DNS解析服务器默认的IP100.100.2.136、100.100.2.138。您需要手动添加解析记录,域名解析的IP地址取决于您填写的解析记录。

      当您的私有DNS类型为自建DNS服务器时,如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的终端节点访问DNS服务器;如果DNS服务器地址是私网地址,需要确保业务VPCDNS服务器网络互通,允许创建的终端节点访问DNS服务器。

      接入私有DNS服务器,需要您在云防火墙上手动创建终端节点实例。具体操作,请参见私有 DNS

  • 同时基于FQDNDNS动态解析

    应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS时,云防火墙通过优先识别流量中的HostSNI字段,结合DNS动态解析结果,任一匹配成功即视为域名条件符合以实现访问控制。适用于那些应用类型选择上述7种应用,但部分或全部流量中未携带HOST/SNI字段。

重要

  • 仅识别模式选择基于FQDN(报文提取Host/SNI)时,目的类型支持泛域名和泛域名地址簿。

  • 选择同时基于FQDNDNS动态解析模式时,必须开启ACL访问控制严格模式。

    • 在宽松模式下,如果您选择HTTP等上述7种应用,如果流量中未携带域名信息,会在匹配FQDN域名时直接被未识别放行。

    • 在严格模式下,即使流量中未携带域名信息,云防火墙仍会继续进行DNS动态解析,从而匹配该模式中解析出的IP,确保更精准的安全管控。

DNS域名解析策略注意事项

配置DNS域名解析策略时,需要关注以下问题:

  • 以下情况不支持DNS域名解析地址的访问控制策略

    • 互联网边界入向流量。仅互联网出向流量的访问控制策略支持域名字段管控。

    • 目的地址域名为泛域名(例如*.example.com)。泛域名无法解析到具体的IP地址。

    • 目的地址类型为域名地址簿,且域名地址簿的域名包含泛域名。

      如果引用了精确域名地址簿且配置了DNS解析模式的,则地址簿中不允许再添加泛域名到地址簿。

  • DNS域名解析策略占用规格数

    互联网边界防火墙、VPC边界防火墙、NAT边界防火墙均可配置目的类型域名的访问控制策略。当此类策略中使用了与DNS域名解析相关(包括基于DNS动态解析、同时基于FQDNDNS动态解析)的域名识别模式时,在各个边界防火墙的占用规格数按照阶梯计数。

    当某个边界防火墙中此类策略总规格数为0~200时,此类策略总占用规格数计算为实际的总规格数;当此类策略总规格数为200以上,此类策略总占用规格数计算为200+超出200的规格数*10。

    例如,您在互联网边界防火墙已经配置了一条目的域名为aliyun.com的基于DNS动态解析的策略,该策略实际规格数为185,此时如果您还需要创建一条基于DNS动态解析的域名策略,假设该策略的实际规格数为16,则您创建成功后这两条策略在互联网边界防火墙的总规格占用数为200+(185+16-200)*10 = 210。

    访问控制策略的占用规格计算,请参见策略占用规格

  • ECS访问外部网站域名时,默认使用IP100.100.2.136、100.100.2.138DNS服务器。如果您需要自定义DNS解析功能,需要接入自建DNS服务器或者PrivateZone。

  • 多个域名解析到同一个IP地址,访问控制策略会受影响。

    例如,配置一个example.aliyundoc.comHTTP协议流量的放行策略。假设example.aliyundoc.com域名解析A记录为1.1.XX.XX,则实际下发到引擎的匹配规则为1.1.XX.XXHTTP协议允许。此时,如果另一个域名demo.aliyundoc.comA记录也解析为1.1.XX.XX,那么访问demo.aliyundoc.comHTTP协议也会被放行。

  • 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。

    云防火墙访问控制策略自动更新周期约为5分钟。

    例如,域名example.aliyundoc.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略,即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内。

    说明

    对于CDN域名等更新频率较高的场景,DNS域名解析策略可以搭配基于FQDN同时基于FQDNDNS动态解析识别模式的访问控制策略,提升域名策略命中效果。

相关文档

上一篇:访问控制引擎模式介绍下一篇:配置访问控制策略