DNS防火墙
云防火墙提供DNS防火墙功能,支持对VPC访问互联网上指定的域名精细管控。DNS防火墙功能目前处于邀测阶段,本文介绍如何配置DNS防火墙以及查看防火墙交换机列表。
背景信息
VPC访问指定域名,必须先通过DNS服务器解析域名对应的IP地址。开启DNS防火墙后,VPC访问互联网域名时先经过DNS防火墙,实现对VPC访问互联网的域名进行访问控制和防护。
邀测对象
云防火墙企业版和旗舰版。
华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要联系商务经理申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。
邀测阶段云防火墙企业版默认支持配置2个DNS防火墙,旗舰版默认支持配置3个DNS防火墙。如果您需要配置更多DNS防火墙,请联系商务经理申请。
前提条件
创建DNS防火墙的VPC已支持VPC高级功能。具体操作,请参见VPC高级功能。
创建DNS防火墙
登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
在DNS防火墙页签,单击创建DNS防火墙。
在创建DNS防火墙对话框,配置DNS防火墙。
配置项
说明
名称
DNS防火墙的名称。
全部地域
华东2(上海)、西南1(成都)和中国香港地域的VPC可以直接创建DNS防火墙;华北2(北京)、华东1(杭州)和华南1(深圳)地域的VPC需要联系商务经理申请后,才可以创建DNS防火墙;其他地域暂不支持创建DNS防火墙。
VPC
该DNS防火墙防护的VPC实例ID。
UID
已选VPC所属的阿里云账号ID。
DNS Server
DNS服务器。当前只支持阿里云DNS服务器。
交换机
该DNS防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:
自选模式:云防火墙自动创建交换机并绑定自定义路由表。
手动模式:单击前往VPC控制台手动创建交换机,您可以自主创建交换机并绑定自定义路由表,然后选择该交换机来创建DNS防火墙。
关于如何手动创建交换机和绑定交换机,请参见创建和管理交换机。
重要路由表不允许添加自定义路由条目,交换机不允许接入ECS、RDS、SLB等云资源。
单击确定,完成DNS防火墙的创建。
创建DNS防火墙需要2分钟,请耐心等待。创建DNS防火墙后,DNS防火墙默认开启,DNS防火墙的防护已生效。如果当前阿里云账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。
开启DNS防火墙开关后,您还需要添加DNS域名访问控制策略。更多内容,请参见DNS域名访问控制策略。
您可以在DNS防火墙列表的右上角,单击防火墙交换机列表,查看当前阿里云账号下已创建的DNS防火墙和安全正向代理所在交换机的详细信息。
关闭或者删除DNS防火墙
如果您不再需要某些DNS防火墙,可以在DNS防火墙页面的开关列关闭DNS防火墙或者单击操作列的图标,再单击删除,删除DNS防火墙。
关闭DNS防火墙过程中,可能导致流量闪断。
同时开启了互联网边界防火墙、NAT防火墙和DNS防火墙,出方向的流量如何匹配?
当ECS发起域名访问(出方向)时,首先发起DNS解析,DNS请求会经过DNS防火墙,匹配DNS防火墙访问控制策略;然后ECS发起的私网流量经过NAT防火墙,匹配NAT防火墙访问控制策略;然后流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP;最后公网流量再经过互联网边界防火墙到互联网,匹配互联网边界防火墙访问控制策略。如果该过程流量未命中任何一个防火墙的拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个防火墙的拒绝策略时,流量会被拒绝,导致无法访问域名。
当公网访问ECS(入方向)时,流量只经过互联网边界防火墙,匹配互联网边界防火墙访问控制策略。