DNS-Firewallregeln konfigurieren und verwalten - Amazon Route 53
Firewallregeln erstellen und anzeigenRegeleinstellungen in der DNS-FirewallRegelaktionen in der DNS-Firewall

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DNS-Firewallregeln konfigurieren und verwalten

Firewallregeln erstellen und anzeigen

Firewallregeln definieren, wie Route 53 Global Resolver DNS-Abfragen verarbeitet, die auf Domänenlisten, verwalteten Domänenlisten, Inhaltskategorien oder erweitertem Bedrohungsschutz basieren. Jede Regel legt eine Priorität, Zieldomänen und eine zu ergreifende Aktion fest.

Bewährte Methoden für die Regelpriorität:

  • Verwenden Sie die Priorität 100-999 für Zulassungsregeln mit hoher Priorität (vertrauenswürdige Domänen)

  • Verwenden Sie die Priorität 1000-4999 für Blockregeln (bekannte Bedrohungen)

  • Verwenden Sie die Priorität 5000-9999 für Warnregeln (Überwachung und Analyse)

  • Lassen Sie Lücken zwischen den Prioritäten, um das Einfügen future Regeln zu ermöglichen

Um eine DNS-Firewallregel zu erstellen

  1. Navigieren Sie in der Route 53 Global Resolver-Konsole zu Ihrer DNS-Ansicht.

  2. Wählen Sie die Registerkarte Firewall-Regeln.

  3. Wählen Sie Firewallregel erstellen.

  4. Gehen Sie im Abschnitt Regeldetails wie folgt vor:

    1. Geben Sie unter Regelname einen aussagekräftigen Namen für die Regel ein (bis zu 128 Zeichen).

    2. (Optional) Geben Sie unter Regelbeschreibung eine Beschreibung für die Regel ein (bis zu 255 Zeichen).

  5. Wählen Sie im Abschnitt Regelkonfiguration den Konfigurationstyp Regel aus:

    • Vom Kunden verwaltete Domainlisten — Verwenden Sie eine Domainliste, die Sie erstellen und verwalten

    • AWS verwaltete Domainlisten — Verwenden Sie von Amazon bereitgestellte Domainlisten, die Sie verwenden können

    • Erweiterter DNS-Firewall-Schutz — Wählen Sie aus einer Reihe von verwalteten Schutzmaßnahmen und geben Sie einen Vertrauensschwellenwert an

  6. Wählen Sie unter Regelaktion die Aktion aus, die ausgeführt werden soll, wenn die Regel zutrifft:

    • Zulassen — Die DNS-Abfrage wurde gelöst

    • Warnung — Lässt die DNS-Abfrage zu, erzeugt aber eine Warnung

    • Blockieren — Die DNS-Abfrage ist blockiert

  7. Wählen Sie Firewallregel erstellen.

Gehen Sie wie folgt vor, um die ihnen zugewiesenen Regeln anzuzeigen. Sie können die Regel und die Regeleinstellungen auch aktualisieren.

Um eine Regel anzuzeigen und zu aktualisieren

  1. Navigieren Sie in der Route 53 Global Resolver-Konsole zu Ihrer DNS-Ansicht.

  2. Wählen Sie die Registerkarte DNS-Firewall-Regeln.

  3. Wählen Sie die Regel aus, die Sie anzeigen oder bearbeiten möchten, und wählen Sie Bearbeiten.

  4. Auf der Regelseite können Sie Einstellungen anzeigen und bearbeiten.

Informationen zu den Werten für Regeln finden Sie unter Regeleinstellungen in der DNS-Firewall.

So löschen Sie eine Regel

  1. Navigieren Sie in der Route 53 Global Resolver-Konsole zu Ihrer DNS-Ansicht.

  2. Wählen Sie die Registerkarte DNS-Firewall-Regeln.

  3. Wählen Sie die Regel aus, die Sie löschen möchten, wählen Sie Löschen und bestätigen Sie den Löschvorgang.

Regeleinstellungen in der DNS-Firewall

Wenn Sie eine DNS-Firewallregel in Ihrer DNS-Ansicht erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Name

Eine eindeutige Kennung für die Regel in der DNS-Ansicht.

(Optionale) Beschreibung

Eine kurze Beschreibung, die weitere Informationen über die Regel enthält.

Domainliste

Die Liste der Domains, auf die die Regel überprüft. Sie können Ihre eigene Domainliste erstellen und verwalten oder Sie können eine Domainliste abonnieren, die für Sie AWS verwaltet wird.

Eine Regel kann entweder eine Domainliste oder einen erweiterten DNS-Firewall-Schutz enthalten, aber nicht beides.

Abfragetyp (nur Domänenlisten)

Die Liste der DNS-Abfragetypen, nach denen die Regel sucht. Die folgenden Werte sind gültig:

  • A: Gibt eine IPv4 Adresse zurück.

  • AAAA: Gibt eine IPv6-Adresse zurück.

  • CAA: Einschränkungen, mit denen SSL/TLS Zertifizierungen für CAs die Domain erstellt werden können.

  • CNAME: Gibt einen anderen Domainnamen zurück.

  • DS: Datensatz, der den DNSSEC-Signaturschlüssel einer delegierten Zone identifiziert.

  • MX: Spezifiziert Mailserver.

  • NAPTR: Regular-expression-based Umschreiben von Domainnamen.

  • NS: Autorisierende Nameserver.

  • PTR: Ordnet eine IP-Adresse einem Domainnamen zu.

  • SOA: Beginn des Autoritätsdatensatzes für die Zone.

  • SPF: Listet die Server auf, die berechtigt sind, E-Mails von einer Domain aus zu versenden.

  • SRV: Anwendungsspezifische Werte, die Server identifizieren.

  • TXT: Überprüft E-Mail-Absender und anwendungsspezifische Werte.

Ein Abfragetyp, den Sie mithilfe der DNS-Typ-ID definieren, z. B. 28 für AAAA. Die Werte müssen als TYPE definiert seinNUMBER, wobei sie beispielsweise 1-65334 lauten NUMBER können. TYPE28 Weitere Informationen finden Sie unter Liste der DNS-Eintragstypen.

Sie können einen Abfragetyp pro Regel erstellen.

DNS Firewall Erweiterter Schutz

Erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können zwischen folgenden Schutzoptionen wählen:

  • Algorithmen zur Domain-Generierung (DGAs)

    DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.

  • DNS-Tunneling

    DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.

In einer erweiterten DNS-Firewall-Regel können Sie wählen, ob Sie eine Anfrage, die der Bedrohung entspricht, blockieren oder bei einer Warnung warnen möchten.

Weitere Informationen finden Sie unter Erweiterter Schutz durch die DNS-Firewall.

Eine Regel kann entweder einen erweiterten DNS-Firewall-Schutz oder eine Domänenliste enthalten, aber nicht beides.

Vertrauensschwellenwert (nur DNS Firewall Advanced)

Der Vertrauensschwellenwert für DNS Firewall Advanced. Sie müssen diesen Wert angeben, wenn Sie eine Regel für DNS Firewall Advanced erstellen. Die Werte für das Vertrauensniveau bedeuten:

  • Hoch – Erkennt nur die am besten bestätigten Bedrohungen bei einer niedrigen Rate an falsch-positiven Alarmen.

  • Mittel – Sorgt für ein ausgewogenes Verhältnis zwischen der Erkennung von Bedrohungen und falsch-positiven Alarmen.

  • Niedrig – Bietet die höchste Erkennungsrate für Bedrohungen, erhöht jedoch auch die Zahl der falsch-positiven Fehlalarme.

Weitere Informationen finden Sie unter Regeleinstellungen in der DNS-Firewall.

Action

Wie Sie möchten, dass die DNS-Firewall eine DNS-Abfrage verarbeitet, deren Domainname mit den Spezifikationen in der Domainliste der Regel übereinstimmt. Weitere Informationen finden Sie unter Regelaktionen in der DNS-Firewall.

Priorität

Eindeutige positive Ganzzahleinstellung für die Regel in der DNS-Ansicht, die die Verarbeitungsreihenfolge bestimmt. Die DNS-Firewall überprüft DNS-Abfragen anhand der Regeln in einer DNS-Ansicht, beginnend mit der niedrigsten numerischen Prioritätseinstellung und aufwärts. Sie können die Priorität einer Regel jederzeit ändern, z. B. um die Reihenfolge der Verarbeitung zu ändern oder Platz für andere Regeln zu schaffen.

Regelaktionen in der DNS-Firewall

Wenn die DNS-Firewall eine Übereinstimmung zwischen einer DNS-Abfrage und einer Domainspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an.

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben:

  • Zulassen — Beenden Sie die Überprüfung der Abfrage und lassen Sie sie durchgehen. Nicht verfügbar für DNS Firewall Advanced.

  • Warnung — Beenden Sie die Überprüfung der Abfrage, lassen Sie sie durchlaufen und protokollieren Sie eine Warnung für die Abfrage in den Route 53 Resolver-Protokollen.

  • Blockieren — Unterbrechen Sie die Überprüfung der Abfrage, verhindern Sie, dass sie zum vorgesehenen Ziel weitergeleitet wird, und protokollieren Sie die Blockaktion für die Abfrage in den Route 53 Resolver-Protokollen.

    Antworten Sie mit der konfigurierten Blockantwort wie folgt:

    • NODATA — Antwortet und gibt an, dass die Abfrage erfolgreich war, aber keine Antwort darauf verfügbar ist.

    • NXDOMAIN — Antwortet und gibt an, dass der Domainname der Anfrage nicht existiert.

    • OVERRIDE — Geben Sie in der Antwort eine benutzerdefinierte Überschreibung an. Für diese Option sind die folgenden zusätzlichen Einstellungen erforderlich:

      • Datensatzwert — Der benutzerdefinierte DNS-Eintrag, der als Antwort auf die Anfrage zurückgesendet werden soll.

      • Eintragstyp — Der Typ des DNS-Eintrags. Dies bestimmt das Format des Datensatzwertes. Dies muss CNAME lauten.

      • Gültigkeitsdauer in Sekunden — Die empfohlene Zeitspanne für den DNS-Resolver oder Webbrowser, um den Override-Eintrag zwischenzuspeichern und ihn als Antwort auf diese Anfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.