在安全策略中引用域名组-原理
? 
-
客户端以域名形式访问指定服务,首先需要向 DNS 服务器发起 DNS 请求。
-
防火墙从 DNS 服务器的应答报文中解析出域名和 IP 地址的映射关系,确认该域名归属于某域名组,并记录到域名映射表中。
-
在客户端向服务端发起业务访问时,防火墙根据域名映射表检查安全策略。
场景 1:客户端配置相同的 DNS,同样的域名获取不一样的地址,防火墙本地不配置 DNS 服务器
场景 2:客户端配置不同的 DNS,同样的域名获取不一样的地址,防火墙本地不配置 DNS 服务器
场景 3:客户端的 DNS 流量未通过防火墙,客户端通过域名访问 baidu.com(流量经过防火墙)
场景 3:解决方案
Domain-set 中映射关系的保持时间
以 baidu.com 域名为例:
-
每有一次 baidu.com 的 DNS 查询经过防火墙,对应的 domain-set 中 baidu.com 域名的 Left times 值都会被重置为 1800 秒;
-
防火墙新建一个新的 domain-set,该 domain-set 会立刻进行域名解析,无论是否有这个域名的 DNS 流量请求经过防火墙;
-
防火墙不配置 DNS 地址,客户端 DNS 不经过防火墙:流量无法通,防火墙 domain-set 无法生存表项
domain-set 中 baidu.com 的 Left times 值倒数到 0 的这个过程中,没有新的 baidu.com 域名解析请求经过防火墙时,有以下两种情况:
-
防火墙配置了相同的 DNS 服务器时,Left times 还剩余 420 秒内,设备将每 3 分钟进行一次域名解析,以刷新域名映射表;
-
当防火墙没有配置 DNS 服务器时, Lefttimes 倒计时到 0 后,baidu.com 域名与 IP 映射关系将被清除。
防火墙配置了多个 DNS,则每个 DNS 都会解析,并且返回并集结果。
Domain-set TTL 的理解
domain-set dns aging-time minimum minimum-num maximum maximum-num
配置域名组 DNS 老化时间的最小值和最大值
| 参数 | 参数说明 | 取值 |
|---|---|---|
| minimum-num | 指定 DNS 老化时间的最小值。 | 整数形式,取值范围是 10~28800,单位是分钟。缺省值是 30 分钟。 |
| maximum-num | 指定 DNS 老化时间的最大值。 | 整数形式,取值范围是 10~28800,单位是分钟。缺省值是 14400 分钟。 |
•当 DNS 服务器解析域名组中域名的应答报文老化时间,小于 FW 配置域名组 DNS 老化时间的最小值时,老化时间变为配置的域名组 DNS 老化时间的最小值。
•当 DNS 服务器解析域名组中域名的应答报文老化时间,大于 FW 配置域名组 DNS 老化时间的最大值时,老化时间变为配置的域名组 DNS 老化时间的最大值。
•当 DNS 服务器解析域名组中域名的应答报文老化时间,在 FW 配置域名组 DNS 老化时间的最小值和最大值之间时,老化时间不变。
简化理解:
DNS 报文中的 TTL 时间设置为 T
防火墙最小老化时间设置为 FWMin
防火墙最大老化时间设置为 FWMax
FWMin > T --》 TTL 取值 FWMin
FWMax< T --》 TTL 取值 FWMax
FWMin< T < FWMax --》 TTL 取值 T
示例:
默认最小 30 分钟,最大 14400 分钟
30 分 > 10 分 7 秒 , 取 30 分钟
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于