基于阿里云安全团队沉淀的威胁情报数据,对域名做威胁情报数据分类,支持用户开启不同类别的威胁域名、常用域名的检测及拦截机制。为企业递归网关和移动解析HTTPDNS场景用户提供高效且轻量化的安全防护选项。通过接入公网递归防火墙或移动解析HTTPDNS,企业无需改变现有网络架构,即可实现对恶意域名的精准阻断,有效保障递归解析的安全性,全面提升企业网络安全水平。
规则生效优先级
由于移动解析HTTPDNS除了DNS防火墙之外,还支持黑/白名单、内置权威等功能,各功能之间的规则生效优先级如下:
新增规则
访问公网递归防火墙。
在威胁情报防护规则页签下,单击添加规则按钮。
在添加规则弹框中完成各项配置参数后,单击确定。
配置参数
说明
威胁情报类型
威胁情报分类,例如病毒木马、远控、APT高级持续性威胁、漏洞利用、异常通信、供应链攻击、勒索攻击、挖矿行为、钓鱼攻击、合规风险。默认选择所有类型。
威胁等级
表示该域名与恶意活动的关联程度或潜在危害的严重性。分为高危、中危及以上、低危及以上多个级别,反映该域名可能涉及的攻击类型和影响范围。默认选择高危。
置信度
表示威胁情报库对该域名威胁判断的可信程度。高置信度意味着情报来源可靠、证据充分;低置信度则可能因数据不足或存在争议。分为低及以上、中及以上、高,默认选择高。
拦截处置动作
DNS防火墙在识别到符合条件的DNS流量后,需要进行拦截处置。支持的处置动作如下:
放行:即允许解析,但会产生一条处置日志,并且记录解析应答明细日志。
丢弃:丢弃请求,不对此请求做应答。
应答NXDOMAIN:应答NXDOMAIN,表示对应的域名不存在
应答指定地址:进行DNS解析应答并返回特定地址,支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时,记录值只能是IPv4、IPv6或域名,但是域名和IP地址不可共存。
应答NOERROR(NoData):应答状态为NOERROR,但是记录值为空。
规则优先级
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
规则启用状态
用于控制规则是否生效,默认开启状态。
规则生效范围
用于控制规则生效的范围,即哪些域名查询流量可命中本规则。在公网递归场景中,通常按用户控制台的专属配置ID来设置生效范围。针对企业递归网关和移动解析HTTPSDNS同时生效。
备注
规则的备注说明字段,方便区分记忆不同的规则。
修改规则
可通过修改规则的方式对威胁情报类型、威胁等级、置信度、拦截处置动作进行调整。
访问公网递归防火墙。
点击目标规则操作列的修改按钮。
在编辑规则弹框中修改配置,单击确定。
设置生效范围
访问公网递归防火墙。
点击目标规则操作列的生效范围设置按钮。
在弹出的面板中,选择生效范围(专属配置ID)。
优先级排序
规则的优先级设置逻辑如下:
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
访问公网递归防火墙。
单击目标规则操作列的优先级排序。
弹出规则优先级调整弹窗,调整后,规则优先级会进行重排,最小数字为1。
停用/删除规则
若不打算继续使用威胁情报防护规则,可停用/删除规则。
