云防火墙针对出向（内网访问互联网）的场景下，支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析，提供可视化解析地址供您查看，并对该解析到的地址进行访问控制。

云防火墙针对出向访问控制策略进行了升级，通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址，并在解析地址变更时手动更新该地址。

对于DNS域名解析地址的出向访问控制规则（访问流量协议为TCP，应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS的数据除外），DNS解析域名地址后，该域名将被转化成IP地址。该出向规则创建完成后，云防火墙将对域名解析出的IP地址进行防护，一个域名最多解析500个IP。

流量的应用类型为HTTP、SMTP时，云防火墙优先通过host字段来实现域名的访问控制。

流量的应用类型为HTTPS、SMTPS、SSL时，云防火墙优先通过SNI字段来实现域名的访问控制。

除了应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的数据，才支持动态DNS解析的方式实现流量的访问控制（即才能查看到解析后的域名IP地址）。

以下情况不支持DNS域名解析地址的访问控制策略：

入向流量。

目前，仅出向流量的访问控制策略支持DNS域名解析。

目的地址域名为通配符域名（例如：*.example.com）。

目的地址类型为域名地址簿。

金融云和政务云用户。

配置DNS域名解析访问控制策略时，需要关注以下问题：

从ECS访问外部域名地址时，只支持ECS默认配置的DNS解析服务器（即ADNS），不支持用户指定特殊的DNS。也就是说，如果您修改了ECS的DNS服务器地址，则该域名解析访问控制规则将无法生效。

多个域名解析到同一个IP地址，访问控制策略会受影响。

例如：配置一个放行example1.aliyun.com的FTP协议流量的策略。假设example1.aliyun.com域名解析A记录为1.1.XX.XX，那么实际下发到引擎的规则为1.1.XX.XX的FTP协议允许。此时，如果域名example2.aliyun.com的A记录也解析为1.1.XX.XX，那么访问example2.aliyun.com的FTP协议也会被放行。

域名的解析地址有变化时，云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。

如果域名example1.aliyun.com的解析结果由1.1.XX.XX变化为2.2.XX.XX，云防火墙自动更新访问控制策略（即云防火墙会自动应用最新解析的IP地址，确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内）。策略自动更新的周期为30分钟，也就是说，对于已配置的DNS策略，当解析地址变化时，该策略将于30分钟后生效。

如果您想根据实时变化的解析地址更新您的访问控制策略，可在该策略的编辑页面中单击域名解析，手动触发域名解析来获取最新的解析地址，并单击确定保存策略的更新。