域名访问控制策略原理

当企业对外访问的服务或应用为域名时,需要配置域名访问控制策略,提升业务流量安全性。本文介绍云防火墙支持的域名解析模式以及域名解析策略。

域名识别模式介绍

如果您在互联网边界出向策略、NAT边界出向策略、VPC边界访问控制策略中设置了域名或者域名地址簿作为目的地址,云防火墙针对域名的识别,包含三种模式:基于FQDN(报文提取Host/SNI)、基于DNS动态解析、同时基于FQDN与DNS动态解析。

image
  • 基于FQDN(七层)

    应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS时,云防火墙通过Host或SNI字段来实现域名的访问控制。

  • 基于DNS动态解析(四层)

    云防火墙对域名支持DNS动态解析,并提供可视化的域名解析地址,云防火墙支持对解析出的IP地址进行访问控制。一个域名最多解析500个IP。该模式不支持泛域名。

    云防火墙集成两种DNS解析方式:

    • 默认DNS解析

      使用阿里云内网DNS解析服务,DNS解析服务器IP为100.100.2.136、100.100.2.138。

    • 私有DNS解析

      支持接入Private Zone和自建DNS服务器。实现基于私有DNS的ACL访问控制策略的安全管理,满足云上服务化和应用化的发展趋势。

      当您的私有DNS类型为Private Zone时,DNS解析服务器默认的IP为100.100.2.136、100.100.2.138。您需要手动添加解析记录,域名解析的IP地址取决于您填写的解析记录。

      当您的私有DNS类型为自建DNS服务器时,如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的终端节点访问DNS服务器;如果DNS服务器地址是私网地址,需要确保业务VPC和DNS服务器网络互通,允许创建的终端节点访问DNS服务器。

      接入私有DNS服务器,需要您在云防火墙上手动创建终端节点实例。具体操作,请参见配置私有DNS域名解析

  • 同时基于FQDN与DNS动态解析

    管理应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL的流量,但部分或全部流量中未携带HOST/SNI字段时,建议使用此模式。此模式仅在开启ACL访问控制严格模式时生效。

DNS域名解析策略注意事项

配置DNS域名解析策略时,需要关注以下问题:

  • 以下情况不支持DNS域名解析地址的访问控制策略

    • 互联网边界入向流量。仅互联网出向流量的访问控制策略支持域名字段管控。

    • 目的地址域名为通配符域名(例如*.example.com)。通配符域名无法解析到具体的IP地址。

    • 目的地址类型为域名地址簿,且域名地址簿的域名包含泛域名。

      如果引用了精确域名地址簿且配置了DNS解析模式的,则地址簿中不允许再添加泛域名到地址簿。

  • DNS域名解析策略占用规格数

    互联网边界防火墙、VPC边界防火墙、NAT边界防火墙均可配置目的类型域名的访问控制策略。当此类策略中使用了与DNS域名解析相关(包括基于DNS动态解析、同时基于FQDN与DNS动态解析)的域名识别模式时,在各个边界防火墙的占用规格数按照阶梯计数。

    当某个边界防火墙中此类策略总规格数为0~200时,此类策略总占用规格数计算为实际的总规格数;当此类策略总规格数为200以上,此类策略总占用规格数计算为200+超出200的规格数*10。

    例如,您在互联网边界防火墙已经配置了一条目的域名为aliyun.com的基于DNS动态解析的策略,该策略实际规格数为185,此时如果您还需要创建一条基于DNS动态解析的域名策略,假设该策略的实际规格数为16,则您创建成功后这两条策略在互联网边界防火墙的总规格占用数为200+(185+16-200)*10 = 210。

    访问控制策略的占用规格计算,请参见策略占用规格

  • 从ECS访问外部网站域名时,默认使用IP为100.100.2.136、100.100.2.138的DNS服务器。如果您需要自定义DNS解析功能,需要接入自建DNS服务器或者PrivateZone。

  • 多个域名解析到同一个IP地址,访问控制策略会受影响。

    例如,配置一个example.aliyundoc.com的HTTP协议流量的放行策略。假设example.aliyundoc.com域名解析A记录为1.1.XX.XX,则实际下发到引擎的匹配规则为1.1.XX.XX的HTTP协议允许。此时,如果另一个域名demo.aliyundoc.com的A记录也解析为1.1.XX.XX,那么访问demo.aliyundoc.com的HTTP协议也会被放行。

  • 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。

    云防火墙访问控制策略自动更新周期约为5分钟。

    例如,域名example.aliyundoc.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略,即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内。

相关文档