文档

DNS边界防火墙

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

您可以使用DNS边界防火墙功能,精细化管控VPC内资源访问互联网上指定的域名网站的流量。开启DNS边界防火墙后,DNS边界防火墙会检测VPC内资源访问互联网域名的流量,根据访问控制策略、云防火墙威胁情报库等策略,拦截未授权的访问流量。

前提条件

  • 目前,DNS边界防火墙处于公测阶段,您需要先联系商务经理,申请开通DNS边界防火墙功能。

    公测期间,云防火墙企业版最多支持配置2个DNS边界防火墙,云防火墙旗舰版最多支持配置3个DNS边界防火墙。如果您需要配置更多配额,请联系商务经理申请。

  • 仅云防火墙企业版和旗舰版支持DNS边界防火墙。

    如果您当前的云防火墙版本不满足需求,您可以升级云防火墙版本。具体内容,请参见包年包月

  • 目前,仅华东1(杭州)、华东2(上海)、华南1(深圳)、华北2(北京)、西南1(成都)和中国香港地域的VPC支持创建DNS边界防火墙。

  • 需要创建DNS边界防火墙的VPC支持VPC高级功能。具体内容,请参见VPC高级功能

创建DNS边界防火墙

一个DNS边界防火墙支持防护一个VPC。如果当前账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. DNS边界防火墙页签,单击创建DNS防火墙

  3. 创建DNS防火墙对话框,配置DNS防火墙。

    配置项

    说明

    名称

    自定义DNS边界防火墙名称。

    全部地域

    选择VPC所在的地域。

    VPC

    选择需要开启DNS边界防火墙防护的VPC实例ID。

    UID

    自动填充,已选VPC所属的阿里云账号ID。

    DNS Server

    DNS服务器。当前只支持默认配置的DNS解析服务器(即配置的DNS SERVER IP为100.100.2.136、100.100.2.138)。

    交换机

    选择DNS边界防火墙交换机的创建模式。

    • 自选模式:云防火墙自动创建交换机并绑定自定义路由表。

    • 手动模式:选择VPC中已创建的交换机作为DNS边界防火墙的交换机。

      如果该VPC还未创建过交换机,您可以单击前往VPC控制台手动创建交换机,手动创建交换机并绑定自定义路由表。创建和绑定交换机的具体操作,请参见创建和管理交换机

      重要

      指定给DNS边界防火墙的交换机请勿接入ECS、RDS、SLB等云资源,并且交换机的路由表请勿添加自定义路由条目。

  4. 单击确定,完成DNS边界防火墙的创建。

    创建DNS防火墙需要2分钟,请耐心等待。创建成功后,DNS边界防火墙默认开启。

后续步骤

如果您未配置DNS边界访问控制策略,云防火墙在该检测环节默认放行所有流量。您可以进入访问控制 > DNS域名页面,配置访问控制策略,具体操作,请参见DNS域名访问控制

更多操作

查看DNS边界防火墙的交换机列表

进入防火墙开关 > DNS边界防火墙页面,在DNS边界防火墙列表右上角,单击防火墙交换机列表,查看已创建的DNS边界防火墙和安全正向代理所在交换机的详细信息。

关闭或者删除DNS边界防火墙

进入防火墙开关 > DNS边界防火墙页面,在DNS边界防火墙的开关列关闭DNS防火墙,或者在操作列单击更多图标后单击删除,删除DNS防火墙。

警告

关闭DNS边界防火墙可能导致流量闪断。

相关文档

同时开启互联网边界、NAT边界和DNS边界防火墙,出方向的流量如何匹配?

  • 本页导读 (1)