企業のサービスまたはアプリケーションがドメイン名を使用してアクセスされる場合、ビジネストラフィックのセキュリティを向上させるために、ドメイン名ベースのアクセスの制御ポリシーを設定する必要があります。このトピックでは、Cloud Firewall でサポートされているドメイン名識別モードと、ドメイン名ベースのアクセスの制御ポリシーについて説明します。
ドメイン名識別モードの概要
インターネットファイアウォール、NAT ファイアウォール、または VPC ファイアウォールの送信アクセスの制御ポリシーで、宛先としてドメイン名またはドメインアドレス帳を指定する場合、次のドメイン名識別モードを使用できます: FQDN ベースの動的解決 (Host および SNI フィールドの抽出)、DNS ベースの動的解決、および FQDN および DNS ベースの動的解決。
FQDN ベースの解決
トラフィックのアプリケーションタイプが HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、または IMAPS の場合、Cloud Firewall は HTTP パケットの Host フィールドや HTTPS パケットの SNI フィールドなどのフィールドを抽出して、ドメイン名に対するアクセスの制御を実装します。
DNS ベースの動的解決
このモードでは、アプリケーションタイプは制限されません。Cloud Firewall はドメイン名の DNS ベースの動的解決をサポートし、解決された IP アドレスを表示します。Cloud Firewall はこれらの IP アドレスに対してアクセスの制御を実装できます。ドメイン名は最大 500 個の IP アドレスに解決できます。
Cloud Firewall は、次の DNS 解決メソッドを統合しています。
デフォルト DNS 解決
このメソッドは Alibaba Cloud DNS Private DNS を使用します。Alibaba Cloud DNS Private DNS サーバの IP アドレスは 100.100.2.136 と 100.100.2.138 です。
プライベート DNS 解決
Alibaba Cloud DNS Private DNS サーバと自己管理 DNS サーバを Cloud Firewall に追加できます。これにより、プライベート DNS サービスに基づいて作成されたアクセスの制御ポリシーのセキュリティ管理が容易になり、クラウドにおけるサービス指向およびアプリケーション指向の開発トレンドに対応できます。
プライベート DNS サーバが Alibaba Cloud DNS Private DNS サーバの場合、プライベート DNS サーバのデフォルトの IP アドレスは 100.100.2.136 と 100.100.2.138 です。DNS レコードも追加する必要があります。ドメイン名は、追加した DNS レコードに基づいて IP アドレスに解決されます。
プライベート DNS サーバが自己管理 DNS サーバで、パブリック IP アドレスを使用している場合、作成された同期ノードが DNS サーバにアクセスできるように、ビジネス VPC に NAT Gateway があることを確認する必要があります。プライベート DNS サーバがプライベート IP アドレスを使用している場合、ビジネス VPC と DNS サーバが相互に通信でき、作成された同期ノードが DNS サーバにアクセスできることを確認する必要があります。
プライベート DNS サーバを追加するには、Cloud Firewall コンソールで同期ノードを作成する必要があります。詳細については、「プライベート DNS」をご参照ください。
FQDN および DNS ベースの動的解決
トラフィックのアプリケーションタイプが HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、または IMAPS の場合、Cloud Firewall は DNS の動的解決結果と組み合わせて、トラフィック内の Host または SNI フィールドの識別を優先します。どちらか一方の照合が成功した場合、ドメイン名の条件がアクセスの制御のために満たされたと見なされます。このモードは、前述の 7 つのアプリケーションタイプのいずれかを選択するが、トラフィックの一部またはすべてが HOST/SNI フィールドを含まないアプリケーションに適しています。
ワイルドカードドメイン名とワイルドカードドメインアドレス帳は、識別モードが FQDN ベースの動的解決 (Host および SNI フィールドの抽出) に設定されている場合にのみ、宛先タイプとしてサポートされます。
FQDN および DNS ベースの動的解決 モードを選択する場合、アクセスの制御エンジンの厳格モードを有効にする必要があります。
緩いモードでは、HTTP または前述の他の 6 つのアプリケーションのいずれかを選択し、トラフィックにドメイン名情報が含まれていない場合、FQDN ドメイン名と照合する際に、トラフィックは識別なしで許可されます。
厳格モードでは、トラフィックにドメイン名情報が含まれていない場合でも、Cloud Firewall は DNS の動的解決を実行し続け、このモードで解決された IP アドレスと照合して、より正確なセキュリティコントロールを保証します。
ドメイン名ベースのアクセスの制御ポリシーに関する使用上の注意
アクセスの制御ポリシーを設定し、宛先をドメイン名に設定する場合は、次の点に注意してください。
次のシナリオでは、DNS 解決はサポートされていません:
アクセスの制御ポリシーは、インターネット境界上のインバウンドトラフィック用に設定されています。DNS 解決は、インターネット境界上のアウトバウンドトラフィック用に設定されたアクセスの制御ポリシーでのみサポートされます。
宛先はワイルドカードドメイン名です。例: *.example.com。ワイルドカードドメイン名は、特定の IP アドレスに解決できません。
宛先タイプとしてドメインアドレス帳が選択されており、指定されたドメインアドレス帳にワイルドカードドメイン名が含まれています。
完全一致のドメインアドレス帳がアクセスの制御ポリシーによって参照され、ポリシーでドメイン名識別モードが指定されている場合、ワイルドカードドメイン名をドメインアドレス帳に追加することはできません。
DNS ドメイン名解決ポリシーの使用法:
インターネットファイアウォール、VPC ファイアウォール、および NAT ファイアウォールに対して、[宛先タイプ] が [ドメイン名] であるアクセスの制御ポリシーを設定できます。[ドメイン名識別モード] が [DNS ベースの動的解決] または [FQDN および DNS ベースの動的解決] に設定されているこのようなアクセスの制御ポリシーによって消費されるクォータは、各ファイアウォール境界の階層ごとに計算されます。
ファイアウォール境界でこのようなアクセスの制御ポリシーによって消費される合計クォータが 200 以下の場合、実際に消費されるクォータは合計クォータです。ファイアウォール境界でこのようなアクセスの制御ポリシーによって消費される合計クォータが 200 を超える場合、実際に消費されるクォータは次の数式に基づいて計算されます: 実際に消費されるクォータ = 200 + (超過クォータ × 10)。
たとえば、インターネット境界でアクセスの制御ポリシーを設定したとします。ポリシーの宛先アドレスは aliyun.com で、ポリシーのドメイン名識別モードは DNS ベースの動的解決であり、ポリシーによって消費されるクォータは 185 です。この場合、ドメイン名識別モードが DNS ベースの動的解決で、ポリシーによって消費されるクォータが 16 であるアクセスの制御ポリシーを作成する場合、2 つのポリシーによって消費される合計クォータは次の数式に基づいて計算されます: 200 + (185 + 16 - 200) × 10 = 210。
アクセスの制御ポリシーによって消費されるクォータの計算方法の詳細については、「アクセスの制御ポリシーによって消費されるクォータ」をご参照ください。
Elastic Compute Service (ECS) インスタンスから外部ドメイン名へのリクエストが開始された場合、デフォルトでは IP アドレスが 100.100.2.136 と 100.100.2.138 の DNS サーバが使用されます。カスタム DNS 解決設定を構成する場合は、自己管理 DNS サーバまたは Alibaba Cloud DNS Private DNS サーバを追加する必要があります。
複数のドメイン名が同じ IP アドレスに解決される場合、アクセスの制御のパフォーマンスに影響が及ぶ可能性があります。
たとえば、ドメイン名 example.aliyundoc.com 宛ての HTTP トラフィックを許可するアクセスの制御ポリシーを設定したとします。ドメイン名 example.aliyundoc.com の A レコードが 1.1.XX.XX の場合、1.1.XX.XX 宛ての HTTP トラフィックは許可されます。ドメイン名 demo.aliyundoc.com の A レコードも 1.1.XX.XX の場合、demo.aliyundoc.com 宛ての HTTP トラフィックも許可されます。
ドメイン名が解決される IP アドレスが変更された場合、Cloud Firewall は新しい IP アドレスを使用してアクセスの制御ポリシーを自動的に更新します。
Cloud Firewall は 5 分ごとにアクセスの制御ポリシーを自動的に更新します。
ドメイン名 example.aliyundoc.com が解決される IP アドレスが 1.1.XX.XX から 2.2.XX.XX に変更された場合、Cloud Firewall はアクセスの制御ポリシーを自動的に更新します。これにより、ポリシーは IP アドレス 2.2.XX.XX で有効になります。アクセスの制御ポリシーは、ドメイン名が動的に解決される IP アドレスで常に有効になります。
説明CDN ドメイン名など、頻繁に更新されるドメイン名を含むシナリオでは、DNS ドメイン名解決ポリシーと、[FQDN ベース] および [両方] [FQDN および DNS ベースの動的解決] 識別モードを使用するアクセスの制御ポリシーを組み合わせて、ポリシーのヒット率を向上させることができます。
リファレンス
プライベート DNS サーバの同期ノードを作成する方法の詳細については、「プライベート DNS」をご参照ください。
アクセスの制御ポリシーの詳細については、「アクセスの制御ポリシーの概要」をご参照ください。
アクセスの制御ポリシーの仕組みの詳細については、「アクセスの制御ポリシーの仕組み」をご参照ください。
アクセスの制御エンジンのモードの詳細については、「アクセスの制御エンジンのモードを設定する」をご参照ください。