基於阿里雲安全團隊沉澱的威脅情報資料,對網域名稱做威脅情報資料分類,支援使用者開啟不同類別的威脅網域名稱、常用網域名稱的檢測及攔截機制。為 企业递归网关 和 移动解析HTTPDNS 情境使用者提供高效且輕量化的安全防護選項。通過接入 公网递归防火墙,企業無需改變現有網路架構,即可實現對惡意網域名稱的精準阻斷,有效保障遞迴解析的安全性,全面提升商業網路安全水平。
規則生效優先順序
由於 移动解析HTTPDNS 除了DNS防火牆之外,還支援黑/白名單、內建權威等功能,各功能之間的規則生效優先順序如下:
新增規則
訪問公網遞迴防火牆。
在 威胁情报防护规则 頁簽下,單擊 添加规则 按鈕。
在 添加规则 彈框中完成各項配置參數後,提交表單。
配置參數
說明
威胁情报类型
威脅情報分類,例如病毒木馬、遠控、APT進階持久性威脅、漏洞利用、異常通訊、供應鏈攻擊、勒索攻擊、挖礦行為、釣魚攻擊、合規風險。預設選擇 所有类型。
威胁等级
表示該網域名稱與惡意活動的關聯程度或潛在危害的嚴重性。分為 高危、中危及以上、低危及以上 多個層級,反映該網域名稱可能涉及的攻擊類型和影響範圍。預設選擇 高危。
置信度
表示威脅情報庫對該網域名稱威脅判斷的可信程度。高信賴度意味著情報來源可靠、證據充分;低信賴度則可能因資料不足或存在爭議。分為 低及以上、 中及以上、 高,預設選擇 高。
拦截处置动作
在識別到合格DNS流量後,需要進行攔截處置。支援的處置動作如下:
放行:即允許解析,但會產生一條處置日誌,並且記錄解析應答明細日誌。
丢弃:丟棄請求,不對此請求做應答。
应答NXDOMAIN:應答NXDOMAIN,表示對應的網域名稱不存在
应答指定地址:進行DNS解析應答並返回特定地址,支援按權重、輪詢設定返回的地址。記錄實值型別需要和攔截記錄類型一致。當攔截記錄類型為任意類型時,記錄值只能是IPv4、IPv6或網域名稱,但是網域名稱和IP地址不可共存。
应答NOERROR(NoData):應答狀態為NOERROR,但是記錄值為空白。
规则优先级
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
规则启用状态
用於控制規則是否生效,預設開啟狀態。
规则生效范围
用於控制規則生效的範圍,即哪些網域名稱查詢流量可命中本規則。在公網遞迴情境中,通常按使用者控制台的 专属配置ID 來設定生效範圍。針對 企业递归网关 和 移动解析HTTPDNS 同時生效。
备注
規則的備忘說明欄位,方便區分記憶不同的規則。
修改規則
可通過修改規則的方式對 威胁情报类型、威胁等级、置信度、拦截处置动作進行調整。
訪問公網遞迴防火牆。
點擊目標規則操作列的 修改 按鈕。
在 编辑规则 彈框中修改配置,完成修改。
設定生效範圍
訪問公網遞迴防火牆。
點擊目標規則操作列的 生效范围设置 按鈕。
在彈出的面板中,選擇生效範圍(专属配置ID)。
優先順序排序
規則的優先順序設定邏輯如下:
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
訪問公網遞迴防火牆。
單擊目標規則操作列的 优先级排序。
彈出 优先级排序 調整彈窗,調整後,規則優先順序會進行重排,最小數字為1。
停用/刪除規則
若不打算繼續使用 威胁情报防护规则,可停用/刪除規則。
