威胁情报防护规则

配置参数

说明

威胁情报类型

威胁情报分类，例如病毒木马、远控、APT高级持续性威胁、漏洞利用、异常通信、供应链攻击、勒索攻击、挖矿行为、钓鱼攻击、合规风险。默认选择所有类型。

威胁等级

表示该域名与恶意活动的关联程度或潜在危害的严重性。分为低危及以上、中危及以上、高危多个级别，反映该域名可能涉及的攻击类型和影响范围。默认选择高危。

置信度

表示威胁情报库对该域名威胁判断的可信程度。高置信度意味着情报来源可靠、证据充分；低置信度则可能因数据不足或存在争议。分为低及以上、中及以上、高，默认选择高。

解析请求来源

支持可以填写IP集合，定义解析请求来源，拦截规则针对特定的请求来源生效：

• 0.0.0.0/0表示所有请求来源；

• 支持IP地址加掩码形式，例如192.168.1.1/24;

• 支持单个IP地址形式，例如 192.168.2.20；

• 多个IP段需要分行输入，IP地址段允许重叠。

拦截处置动作

DNS防火墙在识别到符合条件的DNS流量后，需要进行拦截处置。支持的处置动作如下：

• 放行：即允许解析，但会产生一条处置日志，并且记录解析应答明细日志。

• 丢弃：丢弃请求，不对此请求做应答。

• 应答NXDOMAIN：应答NXDOMAIN，表示对应的域名不存在。

• 应答指定地址：进行DNS解析应答并返回特定地址，支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时，记录值只能是IPv4、IPv6或域名，但是域名和IP地址不可共存。

• 应答NOERROR(NoData)：应答状态为NOERROR，但是记录值为空。

规则优先级

• 数字越小优先级越高，最高优先级为1；

• 当解析请求同时命中泛域名和精确域名所在拦截规则时，精确域名规则优先生效，不遵循规则优先级。

规则启用状态

用于控制规则是否正在生效，默认开启状态。

规则生效范围

用于控制规则生效的范围，即哪些域名查询流量可命中本规则。在内网DNS中，通常按用户的VPC来设置生效范围。支持跨账号关联VPC，具体请参考跨账号关联VPC。

备注

规则的备注说明字段，方便区分记忆不同的规则。