阿姆瑞特下一代防火墙特有的功能之一是FQDN,FDQN可用于策略路由、NAT规则、VPN隧道、端口映射等,其主要应用场景之一是将特定网站路由到指定的出口链路上,特别是在跨运营商访问的时候能起到很好的作用,它区别于传统的链路负载均衡,传统链路负载均衡大多使用目的地址静态路由实现,是纯粹基于网络层的路由负载,而溢出、轮询、哈希函数等动态算法的负载均衡也大多基于网络和端口实现,采用特定算法将各出口链路均衡使用。如今的互联网业务大多运行在公有云上,而位置分散、地址不固定是公有云的一个显著特点,使用基于FQDN的策略路由和NAT规则可以很好地适应该特点。例如国内某企业邮箱每隔一段时间地址库就会更换一次,而某高校由于网络环境的原因,需要从教育网去访问该企业邮箱才能正常访问,采用单纯的静态路由或负载均衡无法满足此要求,需使用基于FQDN的策略路由及规则实现。
配置FQDN策略不仅涉及出口防火墙,还涉及内部递归DNS系统,管理员需将二者联动配合,才能发挥更好的作用,FQDN的实现大致分为以下几个重点步骤:
在防火墙上配置基于FQDN的策略路由和NAT规则。
在防火墙上配置DNS地址。
内部递归DNS服务器配置转发,转发给第二步中的DNS地址。
特别注意事项:内部递归DNS转发地址必须配置与出口防火墙上相同的DNS地址,才能保证内部终端解析到的结果与防火墙解析到的结果一致,否则该FQDN规则将失去作用;如果内部递归DNS没有配置转发,则可以将防火墙上的DNS地址设置为内部递归DNS系统的地址,也可以保证防火墙解析到的结果与内部终端的解析结果一致,但该配置方法需在防火墙额外设置基于该递归DNS的特殊策略,否则出口防火墙解析指向了内部递归DNS,内部递归DNS解析业务又经过出口防火墙就容易形成业务回路,业务回路会导致解析异常。
京公网安备11010502040985号
南京信息职业技术学院
首都经济贸易大学
