域名黑名单功能与火山引擎 PrivateZone 联合,能够实现对 VPC 出站黑域名访问拦截,无需更换 DNS 或部署代理,策略开箱即用。
概念说明
域名黑名单和互联网边界域名访问控制有什么区别?
- 域名黑名单原理是联动 PrivateZone 通过阻断域名解析,动作只支持阻断,协议为ANY,适用于重保等场景对恶意域名全协议封堵。
- 互联网边界域名访问控制是通过Host或SNI字段解析IP实现访问控制,动作支持放行、观察、阻断,协议仅支持HTTP和HTTPS
前提条件
- 已购买云防火墙域名阻断策拓展包配额,详情请参见包年包月。
新建访问控制策略
- 登录云防火墙控制台。
- 在左侧导航栏,选择访问控制>域名黑名单。
- 在域名黑名单页面,单击添加策略。
配置项 | 配置说明 | 配置参数案例 |
|---|
访问源 | 您需要选择访问源VPC,并勾选对应的VPC。 | 互联网VPC |
阻断域名类型 | - 域名:支持对域名地址收到的流量进行访问控制,支持输入域名支持输入单域名
example.com、泛域名*.example.com、多级域名example1.example2.com- 单级域名的长度不超过 63 个字符。FQDN 格式下,域名的总长度不能超过 254 个字符
- 不能是以
ivolces.com 或 privatelink.volces.com 结尾的域名。这些域名属于保留域名。
- 域名地址簿:对一系列域名地址收到的流量进行访问控制。
| example.com |
描述 | 输入当前策略内容和使用场景。便于您识别并应用。 | 挖矿域名阻断 |
占用策略数 | 占用策略数:指配置的域名个数,一个域名占用一条策略规格。多条策略中重复的域名则多次计算策略规格数量。 | N/A |
查看访问控制策略
配置策略完成后,你可以在访问控制策略列表,查看当前策略最近30天的最近命中时间以及命中次数。
相关操作
访问控制策略创建完成后,您可以对策略列表进行以下操作。
- 检索:支持访问源、阻断域名、规则ID、规则描述搜索,每支持多选。
- 编辑:支持对策略进行编辑,修改策略参数。
- 删除:删除策略后,该策略管控的流量将不受云防火墙的访问控制,请谨慎删除。