自定义防护规则

配置参数

说明

拦截目标域名

DNS防火墙需要拦截处置的域名对象，多个域名需要换行输入：

• “.”英文的点符号表示所有域名，即配置的规则对所有域名生效。

• 支持泛域名，例如*.example.com。

拦截记录类型

用于控制规则拦截的解析请求记录类型，可设置针对某类特定记录类型、或全部记录类型的解析进行防护拦截。支持A、CNAME、AAAA、NS、MX、SRV、TXT、CAA、SVCB、HTTPS等记录类型

解析请求来源

支持可以填写IP集合，定义解析请求来源，拦截规则针对特定的请求来源生效：

• 0.0.0.0/0表示所有请求来源；

• 支持IP地址加掩码形式，例如192.168.1.1/24;

• 支持单个IP地址形式，例如 192.168.2.20；

• 多个IP段需要分行输入，IP地址段允许重叠；

拦截处置动作

DNS防火墙在识别到符合条件的DNS流量后，需要进行拦截处置。支持的处置动作如下：

• 放行：即允许解析，但会产生一条处置日志，并且记录解析应答明细日志。

• 丢弃：丢弃请求，不对此请求做应答。

• 应答NXDOMAIN：应答NXDOMAIN，表示对应的域名不存在

• 应答指定地址：进行DNS解析应答并返回特定地址，支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时，记录值只能是IPv4、IPv6或域名，但是域名和IP地址不可共存。

• 应答NOERROR(NoData)：应答状态为NOERROR，但是记录值为空。

规则优先级

• 数字越小优先级越高，最高优先级为1；

• 当解析请求同时命中泛域名和精确域名所在拦截规则时，精确域名规则优先生效，不遵循规则优先级。

规则启用状态

用于控制规则是否正在生效，默认开启状态。

规则生效范围

用于控制规则生效的范围，即哪些域名查询流量可命中本规则。在内网DNS中，通常按用户的VPC来设置生效范围。支持跨账号关联VPC，具体请参考跨账号关联VPC。

备注

规则的备注说明字段，方便区分记忆不同的规则。