DNS防火墙

更新时间: 2023-10-31 11:23:47

云防火墙提供DNS防火墙功能,支持对VPC访问互联网上指定的域名精细管控。DNS防火墙功能目前处于邀测阶段,本文介绍如何配置DNS防火墙以及查看防火墙交换机列表。

背景信息

VPC访问指定域名,必须先通过DNS服务器解析域名对应的IP地址。开启DNS防火墙后,VPC访问互联网域名时先经过DNS防火墙,实现对VPC访问互联网的域名进行访问控制和防护。

邀测对象

云防火墙企业版和旗舰版。

华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要联系商务经理申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。

邀测阶段云防火墙企业版默认支持配置2个DNS防火墙,旗舰版默认支持配置3个DNS防火墙。如果您需要配置更多DNS防火墙,请联系商务经理申请。

前提条件

创建DNS防火墙的VPC已支持VPC高级功能。具体操作,请参见VPC高级功能

创建DNS防火墙

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. DNS防火墙页签,单击创建DNS防火墙

  3. 创建DNS防火墙对话框,配置DNS防火墙。

    配置项

    说明

    名称

    DNS防火墙的名称。

    全部地域

    华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要联系商务经理申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。

    VPC

    该DNS防火墙防护的VPC实例ID。

    UID

    已选VPC所属的阿里云账号ID。

    DNS Server

    DNS服务器。当前只支持阿里云DNS服务器。

    交换机

    该DNS防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:

    • 自选模式:云防火墙自动创建交换机并绑定自定义路由表。

    • 手动模式:单击前往VPC控制台手动创建交换机,您可以自主创建交换机并绑定自定义路由表,然后选择该交换机来创建DNS防火墙。

      关于如何手动创建交换机和绑定交换机,请参见创建和管理交换机

      重要

      路由表不允许添加自定义路由条目,交换机不允许接入ECS、RDS、SLB等云资源。

  4. 单击确定,完成DNS防火墙的创建。

    创建DNS防火墙需要2分钟,请耐心等待。创建DNS防火墙后,DNS防火墙默认开启,DNS防火墙的防护已生效。如果当前阿里云账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。

    开启DNS防火墙开关后,您还需要添加DNS域名访问控制策略。更多内容,请参见DNS域名访问控制策略

    您可以在DNS防火墙列表的右上角,单击防火墙交换机列表,查看当前阿里云账号下已创建的DNS防火墙和安全正向代理所在交换机的详细信息。

关闭或者删除DNS防火墙

如果您不再需要某些DNS防火墙,可以在DNS防火墙页面的开关列关闭DNS防火墙或者单击操作列的更多图标,再单击删除,删除DNS防火墙。

警告

关闭DNS防火墙过程中,可能导致流量闪断。

同时开启了互联网边界防火墙、NAT防火墙和DNS防火墙,出方向的流量如何匹配?

当ECS发起域名访问(出方向)时,首先发起DNS解析,DNS请求会经过DNS防火墙,匹配DNS防火墙访问控制策略;然后ECS发起的私网流量经过NAT防火墙,匹配NAT防火墙访问控制策略;然后流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP;最后公网流量再经过互联网边界防火墙到互联网,匹配互联网边界防火墙访问控制策略。如果该过程流量未命中任何一个防火墙的拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个防火墙的拒绝策略时,流量会被拒绝,导致无法访问域名。

当公网访问ECS(入方向)时,流量只经过互联网边界防火墙,匹配互联网边界防火墙访问控制策略。

阿里云首页 云防火墙 相关技术圈