開(kāi)啟DNS邊界防火墻
本文中含有需要您注意的重要提示信息,忽略該信息可能對(duì)您的業(yè)務(wù)造成影響,請(qǐng)務(wù)必仔細(xì)閱讀。
您可以使用DNS邊界防火墻功能,精細(xì)化管控VPC內(nèi)資源訪問(wèn)互聯(lián)網(wǎng)上指定的域名網(wǎng)站的流量。開(kāi)啟DNS邊界防火墻后,DNS邊界防火墻會(huì)檢測(cè)VPC內(nèi)資源訪問(wèn)互聯(lián)網(wǎng)域名的流量,根據(jù)訪問(wèn)控制策略、云防火墻威脅情報(bào)庫(kù)等策略,攔截未授權(quán)的訪問(wèn)流量。
前提條件
目前,DNS邊界防火墻處于公測(cè)階段,您需要先聯(lián)系商務(wù)經(jīng)理,申請(qǐng)開(kāi)通DNS邊界防火墻功能。
公測(cè)期間,云防火墻旗艦版最多支持配置3個(gè)DNS邊界防火墻。如果您需要配置更多配額,請(qǐng)聯(lián)系商務(wù)經(jīng)理申請(qǐng)。
僅云防火墻旗艦版支持DNS邊界防火墻。
如果您當(dāng)前的云防火墻版本不滿足需求,您可以升級(jí)云防火墻版本。具體內(nèi)容,請(qǐng)參見(jiàn)升級(jí)。
目前,僅華東1(杭州)、華東2(上海)、華南1(深圳)、華北2(北京)、西南1(成都)和中國(guó)香港地域的VPC支持創(chuàng)建DNS邊界防火墻。
創(chuàng)建DNS邊界防火墻
一個(gè)DNS邊界防火墻支持防護(hù)一個(gè)VPC。如果當(dāng)前賬號(hào)下有多個(gè)VPC,您可以按照實(shí)際需求創(chuàng)建多個(gè)DNS防火墻。
登錄云防火墻控制臺(tái)。在左側(cè)導(dǎo)航欄,單擊防火墻開(kāi)關(guān)。
在DNS邊界防火墻頁(yè)簽,單擊創(chuàng)建DNS防火墻。
在創(chuàng)建DNS防火墻對(duì)話框,配置DNS防火墻。
配置項(xiàng)
說(shuō)明
名稱
自定義DNS邊界防火墻名稱。
全部地域
選擇VPC所在的地域。
VPC
選擇需要開(kāi)啟DNS邊界防火墻防護(hù)的VPC實(shí)例ID。
UID
自動(dòng)填充,已選VPC所屬的阿里云賬號(hào)ID。
DNS Server
DNS服務(wù)器。當(dāng)前只支持默認(rèn)配置的DNS解析服務(wù)器(即配置的DNS SERVER IP為100.100.2.136、100.100.2.138)。
交換機(jī)
選擇DNS邊界防火墻交換機(jī)的創(chuàng)建模式。
自選模式:云防火墻自動(dòng)創(chuàng)建交換機(jī)并綁定自定義路由表。
手動(dòng)模式:選擇VPC中已創(chuàng)建的交換機(jī)作為DNS邊界防火墻的交換機(jī)。
如果該VPC還未創(chuàng)建過(guò)交換機(jī),您可以單擊前往VPC控制臺(tái)手動(dòng)創(chuàng)建交換機(jī),手動(dòng)創(chuàng)建交換機(jī)并綁定自定義路由表。創(chuàng)建和綁定交換機(jī)的具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理交換機(jī)。
重要指定給DNS邊界防火墻的交換機(jī)請(qǐng)勿接入ECS、RDS、SLB等云資源,并且交換機(jī)的路由表請(qǐng)勿添加自定義路由條目。
單擊確定,完成DNS邊界防火墻的創(chuàng)建。
創(chuàng)建DNS防火墻需要2分鐘,請(qǐng)耐心等待。創(chuàng)建成功后,DNS邊界防火墻默認(rèn)開(kāi)啟。
后續(xù)操作
配置訪問(wèn)控制策略
如果您未配置DNS邊界訪問(wèn)控制策略,云防火墻在該檢測(cè)環(huán)節(jié)默認(rèn)放行所有流量。您可以進(jìn)入頁(yè)面,配置訪問(wèn)控制策略,具體操作,請(qǐng)參見(jiàn)配置DNS邊界訪問(wèn)控制策略。
查看DNS邊界防火墻的交換機(jī)列表
進(jìn)入頁(yè)面,在DNS邊界防火墻列表右上角,單擊防火墻交換機(jī)列表,查看已創(chuàng)建的DNS邊界防火墻和安全正向代理所在交換機(jī)的詳細(xì)信息。
關(guān)閉或者刪除DNS邊界防火墻
進(jìn)入頁(yè)面,在DNS邊界防火墻的開(kāi)關(guān)列關(guān)閉DNS防火墻,或者在操作列單擊
圖標(biāo)后單擊刪除,刪除DNS防火墻。
關(guān)閉DNS邊界防火墻可能導(dǎo)致流量閃斷。