通过在内网DNS防火墙上创建自定义防护规则实现对特定目标域名、特定请求来源范围的域名查询流量进行特定拦截处置,相当于黑白名单策略。
自定义防护规则只针对内网DNS防火墙场景,不支持公网递归防火墙场景。
添加规则
页签切换到自定义防护规则(默认),单击添加规则按钮。
在添加规则弹框中完成各项配置参数后,单击确定。
配置参数
说明
拦截目标域名
DNS防火墙需要拦截处置的域名对象,多个域名需要换行输入:
“.”英文的点符号表示所有域名,即配置的规则对所有域名生效。
支持泛域名,例如
*.example.com。
拦截记录类型
用于控制规则拦截的解析请求记录类型,可设置针对某类特定记录类型、或全部记录类型的解析进行防护拦截。支持
任意类型、A、CNAME、AAAA、NS、MX、SRV、TXT、CAA、SVCB、HTTPS等记录类型。解析请求来源
支持可以填写IP集合,定义解析请求来源,拦截规则针对特定的请求来源生效:
0.0.0.0/0表示所有请求来源;
支持IP地址加掩码形式,例如192.168.1.1/24;
支持单个IP地址形式,例如 192.168.2.20;
多个IP段需要分行输入,IP地址段允许重叠;
拦截处置动作
DNS防火墙在识别到符合条件的DNS流量后,需要进行拦截处置。支持的处置动作如下:
放行:即允许解析,但会产生一条处置日志,并且记录解析应答明细日志。
丢弃:丢弃请求,不对此请求做应答。
应答NXDOMAIN:应答NXDOMAIN,表示对应的域名不存在
应答指定地址:进行DNS解析应答并返回特定地址,支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时,记录值只能是IPv4、IPv6或域名,但是域名和IP地址不可共存。
应答NOERROR(NoData):应答状态为NOERROR,但是记录值为空。
规则优先级
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
规则启用状态
用于控制规则是否正在生效,默认开启状态。
规则生效范围
用于控制规则生效的范围,即哪些域名查询流量可命中本规则。在内网DNS中,通常按用户的VPC来设置生效范围。支持跨账号关联VPC,具体请参考跨账号关联VPC。
备注
规则的备注说明字段,方便区分记忆不同的规则。
添加完成后,可查看规则列表。
修改规则
对于已创建的防护规则,可修改拦截域名、拦截规则表单项。
页签切换到自定义防护规则(默认),单击目标规则操作列的修改按钮。
在编辑规则弹框中,可点击修改按钮,对拦截域名、拦截规则进行修改,单击确定。
生效范围设置
可指定规则在指定VPC范围生效。
页签切换到自定义防护规则(默认),单击操作列的生效范围设置按钮。
在生效范围设置弹窗中,选择当前账号或统管的其他阿里云账号下的VPC,点击确定。
优先级排序
规则的优先级设置逻辑如下:
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
页签切换到自定义防护规则(默认),单击操作列的优先级排序。
弹出规则优先级调整弹窗,选择优先级排序号后,点击确定。
停用/删除规则
若不再继续使用自定义规则,可停用/删除规则。
页签切换到自定义防护规则(默认),找到目标规则。
停用规则:不打算继续使用规则,但是想要保留规则。
重要解析请求不会命中已经处于停用状态的规则,但会继续收取规则保有费用,详见产品计费。
点击启用状态列的切换按钮,可启停规则。
删除规则:想彻底删除规则。
点击操作列的删除按钮,
在确认删除提醒框中,单击确定。