本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
您可以使用DNS边界防火墙功能,精细化管控VPC内资源访问互联网上指定的域名网站的流量。开启DNS边界防火墙后,DNS边界防火墙会检测VPC内资源访问互联网域名的流量,根据访问控制策略、云防火墙威胁情报库等策略,拦截未授权的访问流量。
前提条件
目前,DNS边界防火墙处于公测阶段,您需要先联系商务经理,申请开通DNS边界防火墙功能。
公测期间,云防火墙旗舰版最多支持配置3个DNS边界防火墙。如果您需要配置更多配额,请联系商务经理申请。
仅云防火墙旗舰版支持DNS边界防火墙。
如果您当前的云防火墙版本不满足需求,您可以升级云防火墙版本。具体内容,请参见升级。
目前,仅华东1(杭州)、华东2(上海)、华南1(深圳)、华北2(北京)、西南1(成都)和中国香港地域的VPC支持创建DNS边界防火墙。
创建DNS边界防火墙
一个DNS边界防火墙支持防护一个VPC。如果当前账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。
登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
在DNS边界防火墙页签,单击创建DNS防火墙。
在创建DNS防火墙对话框,配置DNS防火墙。
配置项
说明
名称
自定义DNS边界防火墙名称。
全部地域
选择VPC所在的地域。
VPC
选择需要开启DNS边界防火墙防护的VPC实例ID。
UID
自动填充,已选VPC所属的阿里云账号ID。
DNS Server
DNS服务器。当前只支持默认配置的DNS解析服务器(即配置的DNS SERVER IP为100.100.2.136、100.100.2.138)。
交换机
选择DNS边界防火墙交换机的创建模式。
自选模式:云防火墙自动创建交换机并绑定自定义路由表。
手动模式:选择VPC中已创建的交换机作为DNS边界防火墙的交换机。
如果该VPC还未创建过交换机,您可以单击前往VPC控制台手动创建交换机,手动创建交换机并绑定自定义路由表。创建和绑定交换机的具体操作,请参见创建和管理交换机。
重要指定给DNS边界防火墙的交换机请勿接入ECS、RDS、SLB等云资源,并且交换机的路由表请勿添加自定义路由条目。
单击确定,完成DNS边界防火墙的创建。
创建DNS防火墙需要2分钟,请耐心等待。创建成功后,DNS边界防火墙默认开启。
后续操作
配置访问控制策略
如果您未配置DNS边界访问控制策略,云防火墙在该检测环节默认放行所有流量。您可以进入页面,配置访问控制策略,具体操作,请参见配置DNS边界访问控制策略。
查看DNS边界防火墙的交换机列表
进入页面,在DNS边界防火墙列表右上角,单击防火墙交换机列表,查看已创建的DNS边界防火墙和安全正向代理所在交换机的详细信息。
关闭或者删除DNS边界防火墙
进入页面,在DNS边界防火墙的开关列关闭DNS防火墙,或者在操作列单击
图标后单击删除,删除DNS防火墙。
关闭DNS边界防火墙可能导致流量闪断。