企業のサービスまたはアプリケーションにドメイン名を使用してアクセスする場合は、ドメイン名ベースのアクセス制御ポリシーを設定して、ビジネストラフィックのセキュリティを向上させる必要があります。 このトピックでは、Cloud Firewallおよびドメイン名ベースのアクセス制御ポリシーでサポートされているドメイン名識別モードについて説明します。
Introduction toドメイン名識別モード
インターネットファイアウォールまたはクラウドファイアウォールの仮想プライベートクラウド (VPC) ファイアウォール用に作成されたインバウンドまたはアウトバウンドのアクセス制御ポリシーでドメイン名またはドメインアドレス帳を宛先として指定した場合、ポリシーには次のドメイン名識別モードを使用できます。FQDNベースの解決 (パケット内のホストまたはSNIフィールドの抽出) 、DNSベースの動的解決、そしてFQDNおよびDNSベースの動的解決。 FQDNは完全修飾ドメイン名の略、DNSはドメイン名システムの略、サーバー名表示はSNIの略です。
FQDNベースの解像度 (レイヤー7)
トラフィックのアプリケーションタイプがHTTP、HTTPS、SSL、SMTP、またはSMTPSの場合、Cloud FirewallはトラフィックのHostフィールドまたはSNIフィールドを抽出して、ドメイン名にアクセス制御を実装します。
DNSベースの動的解決 (レイヤー4)
Cloud Firewallは、ドメイン名のDNSベースの動的解決をサポートし、解決されたIPアドレスを表示します。 Cloud Firewallは、IPアドレスのアクセス制御を実装できます。 ドメイン名は最大500個のIPアドレスに解決できます。 このモードはワイルドカードドメイン名をサポートしていません。
Cloud Firewallは、次のDNS解決方法を統合します。
デフォルトのDNS解決
この方法では、Alibaba Cloud DNSプライベートDNSを使用します。 Alibaba Cloud DNSプライベートDNSサーバーのIPアドレスは、100.100.2.136および100.100.2.138です。
プライベートDNS解決
Alibaba Cloud DNSプライベートDNSサーバーと自己管理DNSサーバーをCloud Firewallに追加できます。 これにより、クラウドにおけるサービス指向およびアプリケーション指向の開発動向に対応するために、プライベートDNSサービスに基づいて作成されたアクセス制御ポリシーのセキュリティ管理が容易になります。
プライベートDNSサーバーがAlibaba Cloud DNSプライベートDNSサーバーの場合、プライベートDNSサーバーのデフォルトIPアドレスは100.100.2.136および100.100.2.138です。 DNSレコードも追加する必要があります。 ドメイン名は、追加したDNSレコードに基づいてIPアドレスに解決されます。
プライベートDNSサーバーが自己管理DNSサーバーであり、パブリックIPアドレスを使用している場合、作成された同期ノードがDNSサーバーにアクセスできるように、ビジネスVPCにNATゲートウェイがあることを確認する必要があります。 プライベートDNSサーバーがプライベートIPアドレスを使用している場合、ビジネスVPCとDNSサーバーが相互に通信でき、作成された同期ノードがDNSサーバーにアクセスできることを確認する必要があります。
プライベートDNSサーバーを追加するには、Cloud Firewallコンソールで同期ノードを作成する必要があります。 詳細については、「同期ノードの管理」をご参照ください。
FQDNおよびDNSベースの動的解決
アプリケーションタイプがHTTP、HTTPS、SMTP、SMTPS、またはSSLで、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていないトラフィックを管理する場合は、このモードを使用することを推奨します。 このモードは、アクセス制御エンジンがstrictモードの場合にのみ有効です。
ドメイン名ベースのアクセス制御ポリシー
アクセス制御ポリシーを設定し、宛先をドメイン名に設定する場合は、次の項目に注意してください。
DNS解決は、次のシナリオではサポートされません。
アクセス制御ポリシーは、インターネット境界上のインバウンドトラフィックに対して設定されています。 DNS解決は、インターネット境界上のアウトバウンドトラフィックに対して設定されたアクセス制御ポリシーに対してのみサポートされます。
宛先はワイルドカードドメイン名です。 例: * .example.com。 ワイルドカードドメイン名を特定のIPアドレスに解決することはできません。
宛先タイプにドメインアドレス帳が選択され、指定されたドメインアドレス帳にはワイルドカードドメイン名が含まれます。
完全一致ドメインアドレス帳がアクセス制御ポリシーによって参照され、ドメイン名識別モードがポリシーで指定されている場合、ワイルドカードドメイン名をドメインアドレス帳に追加することはできません。
ドメイン名ベースのアクセス制御ポリシーによって消費されるクォータ:
インターネットファイアウォール、VPCファイアウォール、およびNATファイアウォールに対して、[宛先タイプ] が [ドメイン名] であるアクセス制御ポリシーを設定できます。 ドメイン名識別モードがDNSベースの動的解決またはFQDNおよびDNSベースの動的解決に設定されているようなアクセス制御ポリシーによって消費されるクォータは、各ファイアウォール境界の層ごとに計算されます。
ファイアウォールの境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200以下の場合、実際に消費されるクォータは合計クォータです。 ファイアウォール境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200を超える場合、実際の消費クォータは次の式に基づいて計算されます。実際の消費クォータ=200 + (超過クォータ × 10) 。
たとえば、インターネット境界でアクセス制御ポリシーを設定しました。 ポリシーの宛先アドレスがs aliyun.comされ、ポリシーのドメイン名識別モードはDNSベースの動的解決であり、ポリシーによって消費されるクォータは185です。 この場合、ドメイン名識別モードがDNSベースの動的解決であり、ポリシーによって消費されるクォータが16であるアクセス制御ポリシーを作成する場合、2つのポリシーによって消費される合計クォータは、200 + (185 + 16 - 200) × 10 = 210の式に基づいて計算されます。
アクセス制御ポリシーによって消費されるクォータを計算する方法の詳細については、「アクセス制御ポリシーによって消費されるクォータ」をご参照ください。
Elastic Compute Service (ECS) インスタンスから外部ドメイン名へのリクエストが開始された場合、デフォルトでIPアドレスが100.100.2.136および100.100.2.138のDNSサーバーが使用されます。 カスタムDNS解決設定を設定する場合は、自己管理DNSサーバーまたはAlibaba Cloud DNSプライベートDNSサーバーを追加する必要があります。
複数のドメイン名が同じIPアドレスに解決されると、アクセス制御のパフォーマンスが影響を受ける可能性があります。
たとえば、アクセス制御ポリシーを設定して、ドメインnam e example.aliyundoc.com宛てのHTTPトラフィックを許可します。 ドメインnam e example.aliyundoc.comのAレコードが1.1.XX.XXの場合、1.1.XX.XX宛てのHTTPトラフィックが許可されます。 ドメインnam e demo.aliyundoc.comのAレコードも1.1.XX.XXの場合、r demo.aliyundoc.com向けのHTTPトラフィックも許可されます。
ドメイン名が解決されるIPアドレスが変更された場合、Cloud Firewallは新しいIPアドレスを使用してアクセス制御ポリシーを自動的に更新します。
Cloud Firewallは、5分ごとにアクセス制御ポリシーを自動的に更新します。
ドメイン名のe example.aliyundoc.comが解決されたIPアドレスが1.1.XX.XXから2.2.XX.XXに変更された場合、Cloud Firewallはアクセス制御ポリシーを自動的に更新します。 このようにして、ポリシーはIPアドレス2.2.XX.XXに有効になります。 アクセス制御ポリシーは、ドメイン名が動的に解決されるIPアドレスに対して常に有効になります。
関連ドキュメント
プライベートDNSサーバーの同期ノードを作成する方法の詳細については、「同期ノードの管理」をご参照ください。
アクセス制御ポリシーの詳細については、「アクセス制御ポリシーの概要」をご参照ください。
アクセス制御ポリシーの仕組みの詳細については、「アクセス制御ポリシーの仕組み」をご参照ください。
アクセス制御エンジンのモードの詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。