基于阿里云安全团队沉淀的威胁情报数据,对域名做威胁情报数据分类,支持用户开启不同类别的威胁域名、常用域名的检测及拦截机制。为 企业递归网关 和 移动解析HTTPDNS 场景用户提供高效且轻量化的安全防护选项。通过接入 公网递归防火墙,企业无需改变现有网络架构,即可实现对恶意域名的精准阻断,有效保障递归解析的安全性,全面提升企业网络安全水平。
规则生效优先级
由于 移动解析HTTPDNS 除了DNS防火墙之外,还支持黑/白名单、内置权威等功能,各功能之间的规则生效优先级如下:
新增规则
-
访问公网递归防火墙。
-
在 威胁情报防护规则 页签下,单击 添加规则 按钮。
-
在 添加规则 弹框中完成各项配置参数后,提交表单。
配置参数
说明
威胁情报类型
威胁情报分类,例如病毒木马、远控、APT高级持续性威胁、漏洞利用、异常通信、供应链攻击、勒索攻击、挖矿行为、钓鱼攻击、合规风险。默认选择 所有类型。
威胁等级
表示该域名与恶意活动的关联程度或潜在危害的严重性。分为 高危、中危及以上、低危及以上 多个级别,反映该域名可能涉及的攻击类型和影响范围。默认选择 高危。
置信度
表示威胁情报库对该域名威胁判断的可信程度。高置信度意味着情报来源可靠、证据充分;低置信度则可能因数据不足或存在争议。分为 低及以上、 中及以上、 高,默认选择 高。
拦截处置动作
在识别到符合条件的DNS流量后,需要进行拦截处置。支持的处置动作如下:
-
放行:即允许解析,但会产生一条处置日志,并且记录解析应答明细日志。
-
丢弃:丢弃请求,不对此请求做应答。
-
应答NXDOMAIN:应答NXDOMAIN,表示对应的域名不存在
-
应答指定地址:进行DNS解析应答并返回特定地址,支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时,记录值只能是IPv4、IPv6或域名,但是域名和IP地址不可共存。
-
应答NOERROR(NoData):应答状态为NOERROR,但是记录值为空。
规则优先级
-
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
-
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
-
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
规则启用状态
用于控制规则是否生效,默认开启状态。
规则生效范围
用于控制规则生效的范围,即哪些域名查询流量可命中本规则。在公网递归场景中,通常按用户控制台的 专属配置ID 来设置生效范围。针对 企业递归网关 和 移动解析HTTPDNS 同时生效。
备注
规则的备注说明字段,方便区分记忆不同的规则。
-
修改规则
可通过修改规则的方式对 威胁情报类型、威胁等级、置信度、拦截处置动作进行调整。
-
访问公网递归防火墙。
-
点击目标规则操作列的 修改 按钮。
-
在 编辑规则 弹框中修改配置,完成修改。
弹框中包含以下必填配置项:威胁情报类型(可选所有类型或指定类型)、威胁等级(可选高危、中危及以上、低危及以上)、置信度(可选高、中及以上、低及以上)、拦截处置动作(如应答NXDOMAIN -- 应答域名不存在)。
设置生效范围
-
访问公网递归防火墙。
-
点击目标规则操作列的 生效范围设置 按钮。
-
在弹出的面板中,选择生效范围(专属配置ID)。在弹出的对话框中,从 专属配置ID 下拉框中选择目标配置ID。若尚未生成专属配置ID,可单击 前往接入企业递归网关 | 移动解析HTTPDNS,生成专属配置ID 链接进行创建。
优先级排序
-
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
-
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
-
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
-
访问公网递归防火墙。
-
单击目标规则操作列的 优先级排序。
-
弹出 优先级排序 调整弹窗,调整后,规则优先级会进行重排,最小数字为1。
停用/删除规则
若不打算继续使用 威胁情报防护规则,可停用/删除规则。