Фильтры DNS

Фильтр DNS — это возможность контролировать и фильтровать исходящие DNS-запросы от облачных ресурсов с помощью списков FQDN. Исходящие DNS-запросы, проходящие через облачный DNS Resolver, могут фильтроваться с помощью фильтров DNS.

Функция позволяет защищать облачные ресурсы от угроз, связанных с DNS, таких как использование DNS Tunneling, блокировать доступ к фишинговым сайтам, ботнетам и malware-сайтам. Фильтры могут применяться при развертывании ресурсов в изолированных окружениях (режим подводной лодки).

Списки FQDNСписки FQDN

В DNS-фильтрах можно использовать следующие типы списков:

• Разрешающий (белый) список. Содержит FQDN, которые будут успешно резолвиться.
• Запрещающий (черный) список. Содержит FQDN, которые не будут резолвиться.

При написании списков FQDN соблюдайте следующие правила:

• Каждый FQDN в списке должен заканчиваться символом . (точка).
• В списке можно указывать имя домена или его поддоменов. Допускается использовать символ * как маску, которая означает, что на этом месте может быть любое значение. Символ * можно использовать только в начале маски, например *.mydom.net..
• Использование регулярных выражений в списке не поддерживается.

Примеры списков FQDN:

• mydom.net.
• www.mydom1.net.,www.mydom2.net.
• mydom1.net.,*.mydom2.edu.

Правила использования DNS-фильтровПравила использования DNS-фильтров

1. По умолчанию фильтры DNS создаются в текущем каталоге, который определяется используемым интерфейсом управления. При необходимости укажите нужный каталог в атрибуте folder-id при создании фильтра. Это особенно важно при централизованном управлении фильтрами.

2. Фильтры DNS могут применяться на уровне следующих типов облачных ресурсов:

   • Облако.
   • Каталог.
   • Сеть.
   • Подсеть — применение фильтров на уровне подсети не поддерживается.

3. Для одного типа ресурса можно создать несколько фильтров.

4. При создании фильтра можно сразу указать список облачных ресурсов, на уровне которых этот фильтр будет применяться.

5. В одном фильтре можно одновременно совмещать белые и черные списки. При этом можно разрешить отдельный FQDN из домена, который находится в черном списке. Также возможно сочетать черные и белые списки для разных типов облачных ресурсов, например, черный список для облака и белый список только для одной сети в одном из каталогов этого облака.

6. Если для одного ресурса настроено несколько фильтров:

   • все FQDN, указанные в белом списке каждого фильтра, будут объединены в один общий белый список;
   • все FQDN, указанные в черном списке каждого фильтра, будут объединены в один общий черный список;
   • сервис принимает решение о резолве домена на основании общих черных и белых списков.

7. Приоритет FQDN в списках определяется по уровню вложенности домена, например, google.com. будет приоритетнее, чем *.com.. Если вложенность доменов в списках совпадает, приоритет отдается белому списку, черный список менее приоритетный.

Централизованное управление фильтрамиЦентрализованное управление фильтрами

Для централизованного управления фильтрами DNS можно разрешить их создание только в одном определенном каталоге. При этом фильтры по-прежнему можно будет применять для всех типов ресурсов, перечисленных ранее.

Для включения режима централизованного управления необходимо при создании первого фильтра на уровне облака привязать его к определенному каталогу. После привязки создать фильтры в других каталогах данного облака будет нельзя.

После включения режима централизованного управления попытка создать фильтр в неположенном месте будет приводить к ошибке его создания вида:

ERROR: rpc error: code = InvalidArgument desc = Resource "b1g28..........q7f5"
is locked by the DNS Firewall "dnsa5...........fgdpi" and must be used 
in the same folder as it