更新时间:2025-06-27 GMT+08:00
管理域名组
操作场景
域名组是多个域名或泛域名(泛域名标准格式为*.域名,其中*是通配符,表示匹配任意字符或字符串,例如:*.example.com)的集合。通过在访问规则中一键引用域名组,即可实现对特定对象群体的统一流量管控。此外,当域名组更新时会自动同步至所有关联策略,无需手动调整。这不仅能提升策略调整响应速度,还可以降低重复配置工作量,实现运维效率的全面提升。
域名组类型
CFW提供应用域名组(七层协议解析)和网络域名组(四层协议解析)两种类型,两类域名组的差异如表1所示。
|
- |
应用域名组(七层协议解析) |
网络域名组(四层协议解析) |
|---|---|---|
|
防护对象 |
|
|
|
协议类型 |
应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型。 |
网络层协议,支持所有协议类型。 |
|
匹配规则 |
基于域名匹配;将会话中的HOST字段与应用型域名进行比对,如果一致,则命中对应的防护规则。 |
基于解析到的IP地址过滤。 在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 |
|
配置建议 |
映射地址量大或映射结果变化快的域名建议优先使用应用域名组(如被内容分发网络(CDN)加速的域名)。 |
|
约束与限制
- 添加域名组:
- 域名组成员不支持添加中文域名格式。
- 两类域名组的约束与限制如下:
- 应用域名组(七层协议解析)
- 每个防火墙实例下最多添加500个域名组。
- 每个防火墙实例下最多添加2500个域名成员。
- 每个应用域名组中最多添加1500个域名成员,且单次最多可添加500个域名成员。
- 网络域名组(四层协议解析)
- 每个防火墙实例下最多添加1000个域名成员。
- 每个网络域名组中最多添加15个域名成员。
- 每个域名组最多支持解析1500条IP地址。
- 每个域名最多支持解析1000条IP地址。
- 应用域名组(七层协议解析)
- 被防护规则引用的域名组不支持删除,需优先调整/删除对应规则。
添加域名组中域名
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航栏中,单击左上方的
,选择,进入云防火墙的总览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 切换至“域名组”页签,单击添加的域名组名称。弹出“域名组”弹窗。
- 单击“添加域名”,弹出“添加域名”对话框,填写域名信息。
单击添加可添加多个域名。
- 确认无误后,单击“确认”,完成添加。
删除域名组
删除域名组后无法恢复,请谨慎操作。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“对象组管理”界面。
- (可选)如删除网络域名组,则选择“网络域名组”页签。
- 切换至“域名组”页签,单击待删除的“操作”列的“删除”,在弹出的确认框中,输入“DELETE”,单击“确定”,完成删除。
相关操作
- 导出域名组:单击列表上方的“导出”,选择需要的数据范围。
- 批量删除域名:在“域名组”界面,批量勾选域名后,单击列表上方的“删除”。
- 编辑域名组:单击目标所在行的名称,修改参数。
- 域名组在防护规则里设置后才会生效,添加防护规则请参见通过防护规则拦截/放行互联网边界流量。
- 查看网络域名组类型解析出的IP地址:单击目标所在行的名称,进入“基本信息”页,单击域名列表中的“操作”列的“IP地址”。
