本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
您可以使用DNS邊界防火墻功能,精細化管控VPC內資源訪問互聯網上指定的域名網站的流量。開啟DNS邊界防火墻后,DNS邊界防火墻會檢測VPC內資源訪問互聯網域名的流量,根據訪問控制策略、云防火墻威脅情報庫等策略,攔截未授權的訪問流量。
前提條件
目前,DNS邊界防火墻處于公測階段,您需要先聯系商務經理,申請開通DNS邊界防火墻功能。
公測期間,云防火墻旗艦版最多支持配置3個DNS邊界防火墻。如果您需要配置更多配額,請聯系商務經理申請。
僅云防火墻旗艦版支持DNS邊界防火墻。
如果您當前的云防火墻版本不滿足需求,您可以升級云防火墻版本。具體內容,請參見升級。
目前,僅華東1(杭州)、華東2(上海)、華南1(深圳)、華北2(北京)、西南1(成都)和中國香港地域的VPC支持創建DNS邊界防火墻。
創建DNS邊界防火墻
一個DNS邊界防火墻支持防護一個VPC。如果當前賬號下有多個VPC,您可以按照實際需求創建多個DNS防火墻。
登錄云防火墻控制臺。在左側導航欄,單擊防火墻開關。
在DNS邊界防火墻頁簽,單擊創建DNS防火墻。
在創建DNS防火墻對話框,配置DNS防火墻。
配置項
說明
名稱
自定義DNS邊界防火墻名稱。
全部地域
選擇VPC所在的地域。
VPC
選擇需要開啟DNS邊界防火墻防護的VPC實例ID。
UID
自動填充,已選VPC所屬的阿里云賬號ID。
DNS Server
DNS服務器。當前只支持默認配置的DNS解析服務器(即配置的DNS SERVER IP為100.100.2.136、100.100.2.138)。
交換機
選擇DNS邊界防火墻交換機的創建模式。
自選模式:云防火墻自動創建交換機并綁定自定義路由表。
手動模式:選擇VPC中已創建的交換機作為DNS邊界防火墻的交換機。
如果該VPC還未創建過交換機,您可以單擊前往VPC控制臺手動創建交換機,手動創建交換機并綁定自定義路由表。創建和綁定交換機的具體操作,請參見創建和管理交換機。
重要指定給DNS邊界防火墻的交換機請勿接入ECS、RDS、SLB等云資源,并且交換機的路由表請勿添加自定義路由條目。
單擊確定,完成DNS邊界防火墻的創建。
創建DNS防火墻需要2分鐘,請耐心等待。創建成功后,DNS邊界防火墻默認開啟。
后續操作
配置訪問控制策略
如果您未配置DNS邊界訪問控制策略,云防火墻在該檢測環節默認放行所有流量。您可以進入頁面,配置訪問控制策略,具體操作,請參見配置DNS邊界訪問控制策略。
查看DNS邊界防火墻的交換機列表
進入頁面,在DNS邊界防火墻列表右上角,單擊防火墻交換機列表,查看已創建的DNS邊界防火墻和安全正向代理所在交換機的詳細信息。
關閉或者刪除DNS邊界防火墻
進入頁面,在DNS邊界防火墻的開關列關閉DNS防火墻,或者在操作列單擊
圖標后單擊刪除,刪除DNS防火墻。
關閉DNS邊界防火墻可能導致流量閃斷。