全部產品
Search

搜尋本產品

    Cloud Firewall:私人 DNS

    文件中心

    Cloud Firewall:私人 DNS

    更新時間:Apr 12, 2025

    在複雜的網路架構中,業務系統可能依賴於私人DNS(例如阿里雲的PrivateZone或自建DNS)來解析內部網域名稱,這些網域名稱的解析結果通常指向內網IP地址或特定的業務節點。然而,Cloud Firewall預設使用阿里雲DNS伺服器位址100.100.2.136/100.100.2.138進行動態解析。通過啟用私人DNS同步功能,Cloud Firewall可以擷取Private Zone或者自建DNS伺服器的網域名稱解析結果。本文將介紹如何在Cloud Firewall中同步私人DNS。

    限制條件

    同步私人DNS僅對基於DNS動態解析同時基於FQDN和DNS動態解析的網域名稱識別模式的存取控制策略有效。

    方案概覽

    開啟同步前

    開啟同步後

    業務系統依賴私人DNS進行出站網域名稱解析,而Cloud Firewall則基於阿里雲預設DNS伺服器(100.100.2.136、100.100.2.138)進行網域名稱解析。同一網域名稱可能通過不同DNS伺服器進行解析,從而出現解析結果不一致的問題,最終導致基於網域名稱的存取原則失效。

    解決因DNS解析不一致導致的安全性原則失效問題,Cloud Firewall引入了私人DNS同步節點的解決方案。通過這一機制,Cloud Firewall能夠自動擷取PrivateZone的解析結果,或從自建DNS中擷取解析結果。這一功能確保了在不同DNS伺服器之間的一致性,降低了因解析不一致而引發存取原則失效的風險。

    操作步驟

    在使用該方案前,請確定您的DNS伺服器類型。

    • 如果您的DNS伺服器類型為PrivateZone,確保已配置解析記錄。

    • 如果您的DNS伺服器類型為自建DNS伺服器,確保已在自建DNS伺服器佈建網域名和IP的映射關係。

    根據以下三個步驟完成同步私人DNS的配置:

    1. 建立私人DNS解析所需的同步節點

    同步節點包含了終端節點、虛擬交換器、終端節點網卡等。

    1. 登入Cloud Firewall控制台在左側導覽列,選擇防護配置 > 同步節點

      image

    2. 同步節點頁面,單擊建立私人DNS解析同步節點

    3. 根據下列配置項說明,建立同步節點執行個體。

      配置項

      說明

      同步節點名稱

      自訂同步節點的名稱。

      私人DNS類型

      當您的DNS伺服器類型為PrivateZone時,預設的DNS伺服器為100.100.2.136和100.100.2.138。

      當您的DNS伺服器類型為自建DNS服務時,需要配置主DNS伺服器位址,備DNS伺服器位址為可選。

      優先使用主DNS伺服器進行網域名稱解析,當主DNS伺服器解析不出結果時,再使用備DNS伺服器進行網域名稱解析。

      • 如果DNS伺服器位址是公網地址,需要確保業務VPC存在NAT Gateway,允許建立的同步節點訪問DNS伺服器。

      • 如果DNS伺服器位址是私網地址,需要確保業務VPC和DNS伺服器網路互連,允許建立的同步節點訪問DNS伺服器。

      所屬地區

      同步節點所屬VPC的地區,該地區是存取控制網域名稱解析結果的地區。如果您的業務分布在兩個地區,您需要為兩個地區都建立同步節點,並為每個同步節點佈建網域名,使兩個地區的存取控制策略都應用私人DNS伺服器的網域名稱解析結果。

      專用網路

      選擇同步節點所屬的VPC,該VPC用於訪問DNS伺服器,可為任意業務VPC。建議不要選擇VPC邊界防火牆和NAT邊界防火牆佔用的VPC執行個體。

      可用性區域與交換器

      選擇同步節點所屬的交換器。您也可以手動為同步節點的彈性網卡指定IP地址,該IP地址不能與交換器內已被佔用的IP地址衝突。如果您沒有手動指定IP地址,Cloud Firewall會自動為您分配該IP地址。

      當前支援兩種災備情境的可用性區域和交換器配置:

      • 雙可用性區域情境(推薦):在兩個不同可用性區域的不同交換器建立兩個同步節點,該方式考慮容災情境,推薦使用。

      • 單可用性區域情境:只建立在一個可用性區域的交換器建立一個同步節點。單可用性區域沒有災備。

      DNS解析協議

      • 當您的DNS伺服器類型為PrivateZone時,協議為UDP。

      • 當您的DNS伺服器類型為自建DNS服務時,需要填寫DNS伺服器的協議,支援UDP和TCP協議。

      DNS解析連接埠

      • 當您的DNS伺服器類型為PrivateZone時,解析連接埠為53。

      • 當您的DNS伺服器類型為自建DNS服務時,需要填寫DNS伺服器的連接埠,預設連接埠為53。

      應用的防火牆邊界

      選擇DNS解析結果應用的防火牆邊界,一個節點執行個體可應用於多個Cloud Firewall邊界,每個地區的每個邊界只能被一個同步節點應用。至少配置1個邊界。可應用的邊界如下:

      • 互連網邊界

      • NAT邊界

      • VPC邊界

      DNS解析同步周期

      每5分鐘同步一次DNS解析結果。

    4. 單擊確定,完成建立。image

    2. 添加使用私人DNS解析的網域名稱

    1. DNS解析頁面,定位到已建立的DNS解析同步節點,單擊操作佈建網域名

    2. 單擊新增,添加網域名稱。

      支援添加多個網域名稱,一次最多可以添加1000個網域名稱,最多可以添加10000個網域名稱,不支援添加泛網域名稱。

    3. 單擊查看解析詳情,查看網域名稱解析的IP地址是否與您的網域名稱實際對應的解析IP一致。

      image

    4. 網域名稱全部添加完成後,單擊確定

    3. 配置目的為網域名稱的存取控制策略

    其他動作

    • 編輯執行個體:如果需要修改私人DNS解析同步節點執行個體的名稱或者更換自建DNS伺服器的IP,可以在DNS解析頁面,單擊編輯執行個體進行修改。

    • 刪除執行個體:當您業務已不需要通過該同步節點執行個體與私人DNS解析打通時,可以在DNS解析頁面,單擊刪除。刪除同步節點執行個體前,需先刪除所配置的網域名稱。

      重要

      您刪除該同步節點執行個體後,DNS解析結果和使用該DNS解析結果的ACL存取控制策略,將恢複為預設DNS解析的結果,可能存在業務風險。建議您謹慎操作。