配置DNS邊界訪問控制策略
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。
專有網(wǎng)絡VPC訪問域名網(wǎng)站時,需要先通過DNS服務器解析出域名網(wǎng)站的IP地址。開啟DNS防火墻后,VPC訪問互聯(lián)網(wǎng)域名時會先經(jīng)過DNS防火墻,您可以通過配置DNS域名訪問策略,對VPC訪問互聯(lián)網(wǎng)域名進行管控。
版本限制
只有云防火墻企業(yè)版和旗艦版支持配置DNS域名訪問控制策略。其中企業(yè)版最大支持10,000策略授權規(guī)格數(shù),旗艦版最大支持20,000策略授權規(guī)格數(shù)。如果您需要配置更多策略,請聯(lián)系商務經(jīng)理。
前提條件
已開啟DNS防火墻。具體操作,請參見DNS邊界防火墻。
創(chuàng)建放行指定域名的訪問控制策略
登錄云防火墻控制臺。
在左側導航欄,選擇。
在DNS域名頁面,單擊創(chuàng)建策略。
以下內(nèi)容以設置只允許源IP地址訪問指定域名網(wǎng)站的場景為例,介紹如何創(chuàng)建DNS域名策略。
在創(chuàng)建策略對話框,參照下表,配置一條放行可信源IP的策略。
配置項
說明
源類型
網(wǎng)絡流量的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。流量訪問的發(fā)起方。此處設置為VPC中的資產(chǎn)訪問地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。每條策略只支持配置一個網(wǎng)段。
選擇地址簿類型時,您需要提前創(chuàng)建IP地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
說明一次只能選擇一個地址簿。如果您需要使用多個地址簿,您可以通過新增策略來添加。
訪問源
目的類型
接收流量的目的類型和目的地址。此處設置為互聯(lián)網(wǎng)域名地址。
選擇域名類型時,需要輸入目的域名地址,支持泛域名(例如*.aliyun.com)。
選擇地址簿類型時,您需要提前創(chuàng)建域名地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
說明一次只能選擇一個地址簿。如果您需要使用多個地址簿,您可以通過新增策略來添加。
目的
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據(jù)需要調整為放行或拒絕。
描述
輸入該策略的備注內(nèi)容,便于您后續(xù)查看時能快速區(qū)分每個策略的目的。
優(yōu)先級
設置該策略的優(yōu)先級。1為最高優(yōu)先級,數(shù)字越大,優(yōu)先級越低。優(yōu)先級相同的策略,動作為拒絕的策略優(yōu)先生效。
說明DNS域名訪問控制策略的優(yōu)先級是靜態(tài)的,可創(chuàng)建多條優(yōu)先級相同的策略。請您在創(chuàng)建訪問控制策略之前先做好策略優(yōu)先級的規(guī)劃。
創(chuàng)建第二條訪問控制策略,拒絕所有訪問流量的來源地址去訪問指定的域名。
訪問源:設置為
0.0.0.0/0。動作:設置為拒絕,表示禁止所有未授權的訪問。
優(yōu)先級:確保該策略的優(yōu)先級低于上述第一條放行可信源策略的優(yōu)先級。
其他訪問控制參數(shù)配置,請參見上述參數(shù)配置表。
導出策略
DNS域名訪問控制策略支持導出功能,您可以在DNS域名頁面的策略列表上方,單擊
,導出DNS域名策略列表。
導出完成后,您可以在DNS域名頁面右上角,單擊下載任務管理,查看任務導出進展,并將導出文件下載到本地。
查看流量命中情況
訪問控制策略配置完成后,默認情況下策略立即生效。您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。
命中次數(shù)/最近命中時間列有顯示命中次數(shù)及時間,表示已有訪問流量命中該策略。您可以單擊命中次數(shù),跳轉到流量日志頁面查看詳細數(shù)據(jù)。具體操作,請參見日志審計。
相關操作
創(chuàng)建策略后,您可以在訪問控制策略列表,對該策略進行修改、刪除、復制。
刪除策略后,該策略管控的流量將不受云防火墻的訪問控制,會導致您的業(yè)務受到影響。請謹慎刪除。