云防火墙域名访问控制规则原理

当企业通过域名对外提供服务时，配置精细化的域名访问控制规则是保障业务流量安全的关键环节。云防火墙为此提供了多种匹配模式，以适应不同边界场景与安全需求。当前云防火墙支持如下几种匹配模式：
匹配模式
说明
FQDN 匹配
基于应用层报文中的 Host 头部字段或 SNI 扩展字段进行标识匹配。
DNS 解析匹配
动态解析规则中配置的域名，仅校验访问目的IP是否属于域名当前 DNS 解析结果。
宽松匹配
满足 FQDN 匹配规则，或访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。满足任一条件即可命中。
严格匹配
满足 FQDN 匹配规则，和访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。同时满足两个条件即可命中。
上述匹配方式本质上基于两种核心解析技术：FQDN 直接识别与 DNS 动态解析。下文将详细介绍这两种域名识别模式。
FQDN 直接识别
功能特性
FQDN 直接识别基于访问请求中的域名进行流量控制，直接匹配域名字符串，不校验域名解析后的实际 IP 地址。
在流量经过防火墙时，系统会检查请求中的域名信息（如 HTTP 请求头中的 Host 字段），并根据预设规则决定是否放行流量。
配置规范
配置项
详细说明
协议支持
HTTP / HTTPS、HTTP、HTTPS、SMTP / SMTPS、SMTP、SMTPS、DNS。
输入规则
非 DNS 协议：支持 IP 地址与域名混合输入（多对象用英文逗号分隔），IP 地址不支持 CIDR 网段格式及通配符。
DNS 协议：仅支持域名输入。
域名格式
标准域名（ www.example.com ）和通配符格式（ *.example.com）。
适用场景
需要对 HTTP、HTTPS 、SMTP 等应用层协议实施基于域名内容的精确访问控制。
可以搭配 DNS 动态解析形成宽松匹配或严格匹配，以应对复杂场景，提升规则命中率和业务连续性。
限制说明
仅对支持 Host 或 SNI 字段的应用层协议有效。
FQDN 直接识别基于内容识别，不依赖域名解析的 IP 地址。例如放行 app.example.com 的规则，不会影响直接访问该域名解析出的 IP 的其他服务。
DNS 动态解析
功能特性
DNS 动态解析通过实时关联域名与 IP 地址来实现访问控制。其不依赖应用层协议，规则随域名解析的 IP 变化自动生效，并支持广泛的 TCP / UDP 协议流量。
配置规范
配置项
详细说明
协议支持
不限制应用类型，适用于任何基于 IP 的 TCP/ UDP 流量。
解析方式
云防火墙集成了域名动态解析能力，支持对域名进行 DNS 解析，并将解析结果（IP 地址列表）可视化呈现。基于此能力，用户可直接在访问控制规则中配置域名，防火墙将自动对其解析出的 IP 地址（单个域名上限为1000个）实施访问控制。目前，系统提供两种 DNS 解析方式以适用于不同场景需求：
默认 DNS 解析：使用腾讯云提供的默认 DNS 服务器地址 183.60.82.98 和 183.60.83.19。适用于所有防火墙类型，无需额外配置。
自定义 DNS 解析：用户可手动配置自定义 DNS 解析服务器地址。需指定特定 DNS 服务器进行域名解析时使用。仅 NAT 边界规则可自定义 DNS 解析，配置路径：
a. 登录 云防火墙控制台，在左侧导航栏中，选择防火墙开关 > NAT 边界开关。
b. 在 NAT 边界开关界面，选择需要自定义 DNS 解析的实例，单击更多 > 网络配置 > 配置解析 DNS。
c. 在配置解析 DNS 界面，输入自定义解析 DNS 和自定义备用 DNS，单击确定。
记录支持
支持 A 记录、AAAA 记录、CNAME 记录解析域名。
输入规则
访问目的仅支持输入标准域名（如www.example.com），不支持泛域名（如 *.example.com）和直接输入 IP 地址或 CIDR 网段。
适用场景
IP 动态变化的服务，例如管理访问 CDN、云平台负载均衡器等 IP 地址不固定的业务流量，规则可自动跟随 DNS 解析结果更新。
需要对数据库访问、自定义 API 接口等非 HTTP / HTTPS 的通用 TCP / UDP 服务进行基于域名的访问控制。
可以搭配 FQDN 直接识别形成宽松匹配或严格匹配，以应对复杂场景，提升规则命中率和业务连续性。
限制说明
多域名同 IP 的影响：如果多个域名解析到同一个 IP 地址，那么针对其中任何一个域名的放行规则，都会导致访问该 IP 的所有流量被放行。例如，若放行example.com（解析至 IP 1.1.1.1），而 another.com 也解析至 1.1.1.1，则访问 another.com 的流量也会被意外放行。
基于 DNS 解析的规则会占用防火墙的规格数，且规则更新依赖于 DNS 解析周期（云防火墙规则自动更新周期约为 1 分钟），存在一定的延迟。
相关文档
了解规则列表配额说明，请参见 规则列表配额说明。
了解访问控制概述，请参见 访问控制概述。

匹配模式	说明
FQDN 匹配	基于应用层报文中的 Host 头部字段或 SNI 扩展字段进行标识匹配。
DNS 解析匹配	动态解析规则中配置的域名，仅校验访问目的IP是否属于域名当前 DNS 解析结果。
宽松匹配	满足 FQDN 匹配规则，或访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。满足任一条件即可命中。
严格匹配	满足 FQDN 匹配规则，和访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。同时满足两个条件即可命中。

配置项	详细说明
协议支持	HTTP / HTTPS、HTTP、HTTPS、SMTP / SMTPS、SMTP、SMTPS、DNS。
输入规则	非 DNS 协议：支持 IP 地址与域名混合输入（多对象用英文逗号分隔），IP 地址不支持 CIDR 网段格式及通配符。 DNS 协议：仅支持域名输入。
域名格式	标准域名（ www.example.com ）和通配符格式（ *.example.com）。

域名访问控制规则原理

本页目录：

FQDN 直接识别

功能特性

配置规范

适用场景

限制说明

DNS 动态解析

功能特性

配置规范

适用场景

限制说明

相关文档