如何配置互联网边界(出入双向流量)访问策略 |
您所在的位置:网站首页 › nat英语 › 如何配置互联网边界(出入双向流量)访问策略 |
出向域名解析 云防火墙针对出向(内网访问互联网)的场景下,支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析,提供可视化解析地址供您查看,并对该解析到的地址进行访问控制。 云防火墙针对出向访问控制策略进行了升级,通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址,并在解析地址变更时手动更新该地址。 对于DNS域名解析地址的出向访问控制规则(访问流量协议为TCP,应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS的数据除外),DNS解析域名地址后,该域名将被转化成IP地址。该出向规则创建完成后,云防火墙将对域名解析出的IP地址进行防护,一个域名最多解析500个IP。 说明流量的应用类型为HTTP、SMTP时,云防火墙优先通过host字段来实现域名的访问控制。 流量的应用类型为HTTPS、SMTPS、SSL时,云防火墙优先通过SNI字段来实现域名的访问控制。 除了应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的数据,才支持动态DNS解析的方式实现流量的访问控制(即才能查看到解析后的域名IP地址)。 以下情况不支持DNS域名解析地址的访问控制策略: 入向流量。 目前,仅出向流量的访问控制策略支持DNS域名解析。 目的地址域名为通配符域名(例如:*.example.com)。 目的地址类型为域名地址簿。 金融云和政务云用户。 重要配置DNS域名解析访问控制策略时,需要关注以下问题: 从ECS访问外部域名地址时,只支持ECS默认配置的DNS解析服务器(即ADNS),不支持用户指定特殊的DNS。也就是说,如果您修改了ECS的DNS服务器地址,则该域名解析访问控制规则将无法生效。 多个域名解析到同一个IP地址,访问控制策略会受影响。 例如:配置一个放行example1.aliyun.com的FTP协议流量的策略。假设example1.aliyun.com域名解析A记录为1.1.XX.XX,那么实际下发到引擎的规则为1.1.XX.XX的FTP协议允许。此时,如果域名example2.aliyun.com的A记录也解析为1.1.XX.XX,那么访问example2.aliyun.com的FTP协议也会被放行。 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。 如果域名example1.aliyun.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略(即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内)。策略自动更新的周期为30分钟,也就是说,对于已配置的DNS策略,当解析地址变化时,该策略将于30分钟后生效。 如果您想根据实时变化的解析地址更新您的访问控制策略,可在该策略的编辑页面中单击域名解析,手动触发域名解析来获取最新的解析地址,并单击确定保存策略的更新。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |