通過在 内网DNS防火墙(Private Zone) 上建立 自定义防护规则 實現對特定目標網域名稱、特定請求來源範圍的網域名稱查詢流量進行特定攔截處置,相當於黑白名單策略。
自定义防护规则 只針對 内网DNS防火墙(Private Zone) 情境,不支援 公网递归防火墙 情境。
添加规则
頁簽切換到 自定义防护规则(預設),單擊 添加规则 按鈕。
在 添加规则 彈框中完成各項配置參數後,提交表單。
配置參數
說明
拦截目标域名
内网DNS防火墙(Private Zone) 需要攔截處置的網域名稱對象,多個網域名稱需要換行輸入:
“.”英文的點符號表示所有網域名稱,即配置的規則對所有網域名稱生效。
支援泛網域名稱,例如
*.example.com。
拦截记录类型
用於控制規則攔截的解析請求記錄類型,可設定針對某類特定記錄類型、或全部記錄類型的解析進行防護攔截。支援
任意類型、A、CNAME、AAAA、NS、MX、SRV、TXT、CAA、SVCB、HTTPS等記錄類型。解析请求来源
支援可以填寫IP集合,定義解析請求來源,攔截規則針對特定的請求來源生效:
0.0.0.0/0表示所有請求來源;
支援IP地址加掩碼形式,例如192.168.1.1/24;
支援單個IP地址形式,例如 192.168.2.20;
多個IP段需要分行輸入,IP位址區段允許重疊;
拦截处置动作
在識別到合格DNS流量後,需要進行攔截處置。支援的處置動作如下:
放行:即允許解析,但會產生一條處置日誌,並且記錄解析應答明細日誌。
丢弃:丟棄請求,不對此請求做應答。
应答NXDOMAIN:應答NXDOMAIN,表示對應的網域名稱不存在
应答指定地址:進行DNS解析應答並返回特定地址,支援按權重、輪詢設定返回的地址。記錄實值型別需要和攔截記錄類型一致。當攔截記錄類型為任意類型時,記錄值只能是IPv4、IPv6或網域名稱,但是網域名稱和IP地址不可共存。
应答NOERROR(NoData):應答狀態為NOERROR,但是記錄值為空白。
规则优先级
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
规则启用状态
用於控制規則是否正在生效,預設開啟狀態。
规则生效范围
用於控制規則生效的範圍,即哪些網域名稱查詢流量可命中本規則。在內網DNS中,通常按使用者的VPC來設定生效範圍。支援跨帳號關聯VPC,具體請參考跨帳號關聯VPC。
备注
規則的備忘說明欄位,方便區分記憶不同的規則。
添加完成後,可查看規則列表。
修改規則
對於已建立的防護規則,可修改 拦截目标域名、拦截规则 表單項。
頁簽切換到 自定义防护规则(預設),單擊目標規則操作列的 修改 按鈕。
在 编辑规则 彈框中,可點擊 修改 按鈕,對 拦截目标域名、拦截规则進行修改。
生效範圍設定
可指定規則的VPC範圍生效。
頁簽切換到 自定义防护规则(預設),單擊操作列的 生效范围设置 按鈕。
在 生效范围设置 彈窗中,選擇當前帳號或統管的其他阿里雲帳號下的VPC。
优先级排序
規則的優先順序設定邏輯如下:
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
頁簽切換到 自定义防护规则(預設),單擊操作列的 优先级排序。
彈出 优先级排序 調整彈窗,選擇優先順序排序號後,提交修改。
停用/刪除規則
若不再繼續使用自訂規則,可停用/刪除規則。
頁簽切換到 自定义防护规则(預設),找到目標規則。
停用規則:不打算繼續使用規則,但是想要保留規則。
重要解析請求不會命中已經處於停用狀態的規則,但會繼續收取規則保有費用,詳見產品計費。
點擊 启用状态 列的切換按鈕,可啟停規則。
刪除規則:想徹底刪除規則。
點擊操作列的 删除 按鈕。
二次彈窗確認後,刪除規則。