当企业对外访问的服务或应用为域名时,需要配置域名访问控制策略,提升业务流量安全性。本文介绍云防火墙支持的域名解析模式以及域名解析策略。
域名识别模式介绍
如果您在互联网边界出向策略、NAT边界出向策略、VPC边界访问控制策略中设置了域名或者域名地址簿作为目的地址,云防火墙针对域名的识别,包含三种模式:基于FQDN(报文提取Host/SNI)、基于DNS动态解析、同时基于FQDN与DNS动态解析。
基于FQDN(七层)
应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS时,云防火墙通过Host或SNI字段来实现域名的访问控制。
基于DNS动态解析(四层)
云防火墙对域名支持DNS动态解析,并提供可视化的域名解析地址,云防火墙支持对解析出的IP地址进行访问控制。一个域名最多解析500个IP。该模式不支持泛域名。
云防火墙集成两种DNS解析方式:
默认DNS解析
使用阿里云内网DNS解析服务,DNS解析服务器IP为100.100.2.136、100.100.2.138。
私有DNS解析
支持接入Private Zone和自建DNS服务器。实现基于私有DNS的ACL访问控制策略的安全管理,满足云上服务化和应用化的发展趋势。
当您的私有DNS类型为Private Zone时,DNS解析服务器默认的IP为100.100.2.136、100.100.2.138。您需要手动添加解析记录,域名解析的IP地址取决于您填写的解析记录。
当您的私有DNS类型为自建DNS服务器时,如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的终端节点访问DNS服务器;如果DNS服务器地址是私网地址,需要确保业务VPC和DNS服务器网络互通,允许创建的终端节点访问DNS服务器。
接入私有DNS服务器,需要您在云防火墙上手动创建终端节点实例。具体操作,请参见配置私有DNS域名解析。
同时基于FQDN与DNS动态解析
管理应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL的流量,但部分或全部流量中未携带HOST/SNI字段时,建议使用此模式。此模式仅在开启ACL访问控制严格模式时生效。
DNS域名解析策略注意事项
配置DNS域名解析策略时,需要关注以下问题:
以下情况不支持DNS域名解析地址的访问控制策略:
互联网边界入向流量。仅互联网出向流量的访问控制策略支持域名字段管控。
目的地址域名为通配符域名(例如*.example.com)。通配符域名无法解析到具体的IP地址。
目的地址类型为域名地址簿,且域名地址簿的域名包含泛域名。
如果引用了精确域名地址簿且配置了DNS解析模式的,则地址簿中不允许再添加泛域名到地址簿。
DNS域名解析策略占用规格数:
互联网边界防火墙、VPC边界防火墙、NAT边界防火墙均可配置目的类型为域名的访问控制策略。当此类策略中使用了与DNS域名解析相关(包括基于DNS动态解析、同时基于FQDN与DNS动态解析)的域名识别模式时,在各个边界防火墙的占用规格数按照阶梯计数。
当某个边界防火墙中此类策略总规格数为0~200时,此类策略总占用规格数计算为实际的总规格数;当此类策略总规格数为200以上,此类策略总占用规格数计算为200+超出200的规格数*10。
例如,您在互联网边界防火墙已经配置了一条目的域名为aliyun.com的基于DNS动态解析的策略,该策略实际规格数为185,此时如果您还需要创建一条基于DNS动态解析的域名策略,假设该策略的实际规格数为16,则您创建成功后这两条策略在互联网边界防火墙的总规格占用数为200+(185+16-200)*10 = 210。
访问控制策略的占用规格计算,请参见策略占用规格。
从ECS访问外部网站域名时,默认使用IP为100.100.2.136、100.100.2.138的DNS服务器。如果您需要自定义DNS解析功能,需要接入自建DNS服务器或者PrivateZone。
多个域名解析到同一个IP地址,访问控制策略会受影响。
例如,配置一个example.aliyundoc.com的HTTP协议流量的放行策略。假设example.aliyundoc.com域名解析A记录为1.1.XX.XX,则实际下发到引擎的匹配规则为1.1.XX.XX的HTTP协议允许。此时,如果另一个域名demo.aliyundoc.com的A记录也解析为1.1.XX.XX,那么访问demo.aliyundoc.com的HTTP协议也会被放行。
域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。
云防火墙访问控制策略自动更新周期约为5分钟。
例如,域名example.aliyundoc.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略,即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内。
相关文档
关于如何创建私有DNS服务器所需的终端节点实例,请参见配置私有DNS域名解析。
了解访问控制策略概述,请参见访问控制策略概述。
了解访问控制策略工作原理,请参见访问控制策略工作原理。
了解访问控制策略引擎模式,请参见访问控制引擎模式介绍。