域名識別模式介紹

如果您在互聯(lián)網(wǎng)邊界出向策略、NAT邊界出向策略、VPC邊界訪問控制策略中設(shè)置了域名或者域名地址簿作為目的地址，云防火墻針對域名的識別，包含三種模式：基于FQDN（報文提取Host/SNI)、基于DNS動態(tài)解析、同時基于FQDN與DNS動態(tài)解析。

• 基于FQDN（七層）

  應(yīng)用類型為HTTP、HTTPS、SSL、SMTP、SMTPS時，云防火墻通過Host或SNI字段來實現(xiàn)域名的訪問控制。

• 基于DNS動態(tài)解析（四層）

  云防火墻對域名支持DNS動態(tài)解析，并提供可視化的域名解析地址，云防火墻支持對解析出的IP地址進行訪問控制。一個域名最多解析500個IP。該模式不支持泛域名。

  云防火墻集成兩種DNS解析方式：

  • 默認DNS解析

    使用阿里云內(nèi)網(wǎng)DNS解析服務(wù)，DNS解析服務(wù)器IP為100.100.2.136、100.100.2.138。

  • 私有DNS解析

    支持接入Private Zone和自建DNS服務(wù)器。實現(xiàn)基于私有DNS的ACL訪問控制策略的安全管理，滿足云上服務(wù)化和應(yīng)用化的發(fā)展趨勢。

    當(dāng)您的私有DNS類型為Private Zone時，DNS解析服務(wù)器默認的IP為100.100.2.136、100.100.2.138。您需要手動添加解析記錄，域名解析的IP地址取決于您填寫的解析記錄。

    當(dāng)您的私有DNS類型為自建DNS服務(wù)器時，如果DNS服務(wù)器地址是公網(wǎng)地址，需要確保業(yè)務(wù)VPC存在NAT網(wǎng)關(guān)，允許創(chuàng)建的終端節(jié)點訪問DNS服務(wù)器；如果DNS服務(wù)器地址是私網(wǎng)地址，需要確保業(yè)務(wù)VPC和DNS服務(wù)器網(wǎng)絡(luò)互通，允許創(chuàng)建的終端節(jié)點訪問DNS服務(wù)器。

    接入私有DNS服務(wù)器，需要您在云防火墻上手動創(chuàng)建終端節(jié)點實例。具體操作，請參見配置私有DNS域名解析。

• 同時基于FQDN與DNS動態(tài)解析

  管理應(yīng)用類型為HTTP、HTTPS、SMTP、SMTPS、SSL的流量，但部分或全部流量中未攜帶HOST/SNI字段時，建議使用此模式。此模式僅在開啟ACL訪問控制嚴(yán)格模式時生效。

DNS域名解析策略注意事項

配置DNS域名解析策略時，需要關(guān)注以下問題：

• 以下情況不支持DNS域名解析地址的訪問控制策略：

  • 互聯(lián)網(wǎng)邊界入向流量。僅互聯(lián)網(wǎng)出向流量的訪問控制策略支持域名字段管控。

  • 目的地址域名為通配符域名（例如*.example.com）。通配符域名無法解析到具體的IP地址。

  • 目的地址類型為域名地址簿，且域名地址簿的域名包含泛域名。

    如果引用了精確域名地址簿且配置了DNS解析模式的，則地址簿中不允許再添加泛域名到地址簿。

• DNS域名解析策略占用規(guī)格數(shù)：

  互聯(lián)網(wǎng)邊界防火墻、VPC邊界防火墻、NAT邊界防火墻均可配置目的類型為域名的訪問控制策略。當(dāng)此類策略中使用了與DNS域名解析相關(guān)（包括基于DNS動態(tài)解析、同時基于FQDN與DNS動態(tài)解析）的域名識別模式時，在各個邊界防火墻的占用規(guī)格數(shù)按照階梯計數(shù)。

  當(dāng)某個邊界防火墻中此類策略總規(guī)格數(shù)為0~200時，此類策略總占用規(guī)格數(shù)計算為實際的總規(guī)格數(shù)；當(dāng)此類策略總規(guī)格數(shù)為200以上，此類策略總占用規(guī)格數(shù)計算為200+超出200的規(guī)格數(shù)*10。

  例如，您在互聯(lián)網(wǎng)邊界防火墻已經(jīng)配置了一條目的域名為aliyun.com的基于DNS動態(tài)解析的策略，該策略實際規(guī)格數(shù)為185，此時如果您還需要創(chuàng)建一條基于DNS動態(tài)解析的域名策略，假設(shè)該策略的實際規(guī)格數(shù)為16，則您創(chuàng)建成功后這兩條策略在互聯(lián)網(wǎng)邊界防火墻的總規(guī)格占用數(shù)為200+（185+16-200）*10 = 210。

  訪問控制策略的占用規(guī)格計算，請參見策略占用規(guī)格。

• 從ECS訪問外部網(wǎng)站域名時，默認使用IP為100.100.2.136、100.100.2.138的DNS服務(wù)器。如果您需要自定義DNS解析功能，需要接入自建DNS服務(wù)器或者PrivateZone。

• 多個域名解析到同一個IP地址，訪問控制策略會受影響。

  例如，配置一個example.aliyundoc.com的HTTP協(xié)議流量的放行策略。假設(shè)example.aliyundoc.com域名解析A記錄為1.1.XX.XX，則實際下發(fā)到引擎的匹配規(guī)則為1.1.XX.XX的HTTP協(xié)議允許。此時，如果另一個域名demo.aliyundoc.com的A記錄也解析為1.1.XX.XX，那么訪問demo.aliyundoc.com的HTTP協(xié)議也會被放行。

• 域名的解析地址有變化時，云防火墻會使用最新的解析地址并自動更新對應(yīng)的訪問控制策略。

  云防火墻訪問控制策略自動更新周期約為5分鐘。

  例如，域名example.aliyundoc.com的解析結(jié)果由1.1.XX.XX變化為2.2.XX.XX，云防火墻自動更新訪問控制策略，即云防火墻會自動應(yīng)用最新解析的IP地址，確保要攔截或放行的域名指向的實時IP地址都能包含在該訪問控制策略內(nèi)。

相關(guān)文檔

• 關(guān)于如何創(chuàng)建私有DNS服務(wù)器所需的終端節(jié)點實例，請參見配置私有DNS域名解析。

• 了解訪問控制策略概述，請參見訪問控制策略概述。

• 了解訪問控制策略工作原理，請參見訪問控制策略工作原理。

• 了解訪問控制策略引擎模式，請參見訪問控制引擎模式介紹。