版本限制

只有云防火墻企業(yè)版和旗艦版支持配置DNS域名訪問控制策略。其中企業(yè)版最大支持10,000策略授權(quán)規(guī)格數(shù)，旗艦版最大支持20,000策略授權(quán)規(guī)格數(shù)。如果您需要配置更多策略，請(qǐng)聯(lián)系商務(wù)經(jīng)理。

創(chuàng)建放行指定域名的訪問控制策略

1. 登錄云防火墻控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 訪問控制 > DNS域名。

3. 在DNS域名頁面，單擊創(chuàng)建策略。

4. 以下內(nèi)容以設(shè)置只允許源IP地址訪問指定域名網(wǎng)站的場(chǎng)景為例，介紹如何創(chuàng)建DNS域名策略。

   1. 在創(chuàng)建策略對(duì)話框，參照下表，配置一條放行可信源IP的策略。

      配置項(xiàng)	說明
      源類型	網(wǎng)絡(luò)流量的發(fā)起方。您需要選擇訪問源類型，并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。流量訪問的發(fā)起方。此處設(shè)置為VPC中的資產(chǎn)訪問地址。 選擇IP類型時(shí)，需要輸入IP地址段。地址段需要使用標(biāo)準(zhǔn)掩碼格式，例如192.168.0.0/16。每條策略只支持配置一個(gè)網(wǎng)段。 選擇地址簿類型時(shí)，您需要提前創(chuàng)建IP地址簿。創(chuàng)建地址簿的具體操作，請(qǐng)參見地址簿管理。 說明 一次只能選擇一個(gè)地址簿。如果您需要使用多個(gè)地址簿，您可以通過新增策略來添加。
      訪問源
      目的類型	接收流量的目的類型和目的地址。此處設(shè)置為互聯(lián)網(wǎng)域名地址。 選擇域名類型時(shí)，需要輸入目的域名地址，支持泛域名（例如*.aliyun.com）。 選擇地址簿類型時(shí)，您需要提前創(chuàng)建域名地址簿。創(chuàng)建地址簿的具體操作，請(qǐng)參見地址簿管理。 說明 一次只能選擇一個(gè)地址簿。如果您需要使用多個(gè)地址簿，您可以通過新增策略來添加。
      目的
      動(dòng)作	設(shè)置匹配成功的流量在該條策略的放行情況。 放行：放行該流量。 拒絕：攔截該流量，并且不會(huì)提供任何形式的通知信息。 觀察：該模式下，默認(rèn)放行流量。觀察一段時(shí)間后，您可根據(jù)需要調(diào)整為放行或拒絕。
      描述	輸入該策略的備注內(nèi)容，便于您后續(xù)查看時(shí)能快速區(qū)分每個(gè)策略的目的。
      優(yōu)先級(jí)	設(shè)置該策略的優(yōu)先級(jí)。1為最高優(yōu)先級(jí)，數(shù)字越大，優(yōu)先級(jí)越低。優(yōu)先級(jí)相同的策略，動(dòng)作為拒絕的策略優(yōu)先生效。 說明 DNS域名訪問控制策略的優(yōu)先級(jí)是靜態(tài)的，可創(chuàng)建多條優(yōu)先級(jí)相同的策略。請(qǐng)您在創(chuàng)建訪問控制策略之前先做好策略優(yōu)先級(jí)的規(guī)劃。

   2. 創(chuàng)建第二條訪問控制策略，拒絕所有訪問流量的來源地址去訪問指定的域名。

      • 訪問源：設(shè)置為0.0.0.0/0。

      • 動(dòng)作：設(shè)置為拒絕，表示禁止所有未授權(quán)的訪問。

      • 優(yōu)先級(jí)：確保該策略的優(yōu)先級(jí)低于上述第一條放行可信源策略的優(yōu)先級(jí)。

      • 其他訪問控制參數(shù)配置，請(qǐng)參見上述參數(shù)配置表。

導(dǎo)出策略

DNS域名訪問控制策略支持導(dǎo)出功能，您可以在DNS域名頁面的策略列表上方，單擊，導(dǎo)出DNS域名策略列表。

導(dǎo)出完成后，您可以在DNS域名頁面右上角，單擊下載任務(wù)管理，查看任務(wù)導(dǎo)出進(jìn)展，并將導(dǎo)出文件下載到本地。

查看流量命中情況

相關(guān)操作

創(chuàng)建策略后，您可以在訪問控制策略列表，對(duì)該策略進(jìn)行修改、刪除、復(fù)制。