防火墙安全策略调用域名组如何实现对域名做控制

小乔

安全策略调用域名组是如何实现对域名做控制的？域名组获取ip与域名对应关系的方式有哪些？



安全策略调用域名组时，实际也是通过ip来做的控制，只不过FW提前预知了域名与ip的对应关系，当终端访问该ip时就认为是访问对应的域名。所以域名组生效的前提就是display domain-set verbose xxx 查看域名是否缓存了对应的ip地址。



      学习域名和IP地址的对应关系有两种方式：

DNS请求报文经过FW。
在FW上配置DNS服务器，FW主动发起DNS请求刷新域名和IP地址的对应关系。
虚拟系统下仅支持DNS请求报文经过FW来学习域名和IP地址的对应关系，不支持配置DNS服务器，因此FW在虚拟系统下不会主动发起DNS请求刷新域名和IP地址的对应关系。


以下两种情况，在使用域名组作为匹配条件前，需要在FW上配置DNS服务器（与PC端配置的DNS服务器一致），以便FW和PC端学习到的域名和IP地址的对应关系一致：

当DNS报文不经过FW时，FW无法记录域名和IP地址的对应关系。
当FW进行了重启操作时，由于PC端已经有DNS记录，PC端不会重新发起DNS请求，导致FW学习不到DNS记录。
对于以上两种情况，虚拟系统下由于不支持配置DNS服务器，因此FW不会主动发起DNS请求刷新虚拟系统下域名和IP地址的对应关系，导致虚拟系统下引用域名组的策略失效。



      如果TTL时间(域名与IP地址映射关系的老化时间)小于1800秒，则将TTL时间设置为1800秒。另外，为了避免域名与IP地址映射关系老化导致引用域名组的策略失效，建议在FW上配置DNS服务器。配置了DNS服务器，将域名加入域名组后，FW会主动向DNS服务器请求域名IP并进行绑定。当TTL小于7分钟时，FW会每隔3分钟主动发送刷新IP地址的请求，以便对域名对应的IP进行及时刷新。



      域名组不支持IPv6。



      对域名组中的域名进行解析时，设备发送的DNS请求报文源地址为报文出接口IP地址。因此，为了FW可以收到响应报文并学习到域名对应的IP地址，需要保证报文出接口与DNS服务器之间路由可达。



      域名组的主动学习只支持向根系统下的DNS服务器发起域名请求，即使已通过命令dns server vpn-instance配置设备向指定VPN网络的DNS服务器发送DNS查询请求，域名组也只会从根系统下查去往DNS服务器的路由。