Tutorial: Erstellen Sie Ihren ersten Route 53 Global Resolver - Amazon Route 53
VoraussetzungenSchritt 1: Erstellen Sie einen globalen ResolverSchritt 2: Erstellen Sie eine DNS-Ansicht und konfigurieren Sie die AuthentifizierungSchritt 3: DNS-Filterregeln konfigurieren (optional)Schritt 4: Testen Sie Ihre KonfigurationSchritt 5: Überwachung der DNS-AktivitätSchritt 6: Aufräumen (optional)Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Erstellen Sie Ihren ersten Route 53 Global Resolver

In diesem Handbuch für die ersten Schritte werden die grundlegenden Komponenten von Route 53 Global Resolver und optional die Erstellung einer einfachen DNS-Filterung demonstriert. Dieses Tutorial behandelt die Kernkonzepte, beinhaltet jedoch keine Produktionsanforderungen wie Client-Konfiguration, Protokollierung oder Auflösung privater Domänen.

Wenn Sie fertig sind, verfügen Sie über ein grundlegendes Route 53 Global Resolver-Setup, das DNS-Abfragen filtern und bösartige Domains blockieren kann.

In den folgenden Abschnitten wird beschrieben, wie Sie schnell mit der DNS-Sicherheit und Filterung mithilfe von Route 53 Global Resolver beginnen können.

Voraussetzungen

Bevor Sie Route 53 Global Resolver verwenden können, benötigen Sie ein AWS Konto und die entsprechenden Berechtigungen, um auf Route 53 Global Resolver-Komponenten zuzugreifen, diese anzuzeigen und zu bearbeiten. Ihr Systemadministrator muss die unter aufgeführten Schritte ausführen und Kontozugriff für Route 53 Global Resolver einrichten dann zu diesem Tutorial zurückkehren.

Schritt 1: Erstellen Sie einen globalen Resolver

Erstellen Sie zunächst eine globale Resolver-Instanz und wählen Sie die AWS Regionen aus, in denen sie betrieben werden soll.

  1. Öffnen Sie die Route 53 Global Resolver-Konsole unter https://console.aws.amazon.com/route53globalresolver/.

  2. Wählen Sie Create Global Resolver aus.

  3. Geben Sie unter Name einen aussagekräftigen Namen für Ihren globalen Resolver ein.

  4. Geben Sie unter Beschreibung optional eine Beschreibung ein.

  5. Wählen Sie unter Regionen zwei oder mehr Regionen aus, AWS-Regionen in denen Sie den globalen Resolver instanziieren möchten. Wählen Sie Regionen aus, die Ihren Kunden am nächsten liegen, um eine optimale Leistung zu erzielen.

  6. Fügen Sie optional Tags hinzu, um Ihre Ressourcen besser zu organisieren und zu verwalten.

  7. Wählen Sie Create Global Resolver aus.

Sie erhalten sofort IPv4 Anycast-Adressen, über die Ihre Kunden den Resolver erreichen können. Der Prozess zur Erstellung des globalen Resolvers dauert einige Minuten, bis die Adressen funktionsfähig sind.

Schritt 2: Erstellen Sie eine DNS-Ansicht und konfigurieren Sie die Authentifizierung

Erstellen Sie eine DNS-Ansicht, um Ihre Clients zu organisieren und die Authentifizierung mithilfe von IP-Zugriffsquellen zu konfigurieren. In diesem Tutorial wird die IP-basierte Authentifizierung verwendet. Sie können auch Zugriffstoken für DoH/DOT-Protokolle verwenden.

  1. Wählen Sie in der Route 53 Global Resolver-Konsole Ihren globalen Resolver aus.

  2. Wählen Sie DNS-Ansicht erstellen aus.

  3. Geben Sie unter Name einen beschreibenden Namen für Ihre DNS-Ansicht ein.

  4. Geben Sie unter Beschreibung optional eine Beschreibung ein.

  5. Wählen Sie DNS-Ansicht erstellen aus.

  6. Nachdem die DNS-Ansicht erstellt wurde, wählen Sie Zugriffsquelle und dann Zugriffsquelle erstellen aus.

  7. Geben Sie für CIDR-Block den IP-Adressbereich für Ihre Clients ein (z. B.203.0.113.0/24).

  8. Wählen Sie für Protocol Do53 (DNS over Port 53) für die Grundkonfiguration aus.

  9. Wählen Sie Regel für die Zugriffsquelle erstellen aus.

Schritt 3: DNS-Filterregeln konfigurieren (optional)

Richten Sie grundlegende DNS-Filterregeln ein, um den Zugriff auf bösartige Domains zu blockieren.

  1. Wählen Sie in Ihrer DNS-Ansicht Firewall-Regeln und dann Firewallregel erstellen aus.

  2. Geben Sie unter Name einen beschreibenden Namen für die Regel ein.

  3. Geben Sie als Priorität den Wert ein 100 (niedrigere Zahlen haben eine höhere Priorität).

  4. Wählen Sie für Aktion die Option Blockieren aus.

  5. Wählen Sie als Typ der Domainliste die Option AWS Managed Domain List aus.

  6. Wählen Sie unter Liste verwalteter Domänen die Option Malware AmazonGuardDutyThreatListand Botnet Command and Control aus, um bekannte bösartige Domains zu blockieren (Sie können später weitere verwaltete Listen hinzufügen oder benutzerdefinierte Listen erstellen).

  7. Wählen Sie Firewallregel erstellen aus.

Schritt 4: Testen Sie Ihre Konfiguration

Testen Sie, ob Ihre Route 53 Global Resolver-Konfiguration ordnungsgemäß funktioniert.

  1. Testen Sie die DNS-Auflösung auf einem Client-Computer innerhalb Ihres konfigurierten CIDR-Bereichs mithilfe der Anycast-IP-Adressen, die von Ihrem globalen Resolver bereitgestellt werden:

    nslookup example.com <anycast-ip-address>

  2. Stellen Sie sicher, dass legitime Domänen korrekt aufgelöst werden.

  3. Testen Sie, ob blockierte Domains ordnungsgemäß gefiltert wurden. Sie können eine benutzerdefinierte Domänenliste mit einer Testdomäne erstellen, um zu überprüfen, ob Ihre Firewallregeln ordnungsgemäß funktionieren. Weitere Informationen zu verwalteten Domänenlisten finden Sie unter Verwaltete Domänenlisten.

  4. Suchen Sie in der Route 53 Global Resolver-Konsole nach Abfrageprotokollen und Filteraktivitäten.

Umfassende Testverfahren und Problembehebungen finden Sie unter Problembehandlung bei Route 53 Global Resolver.

Schritt 5: Überwachung der DNS-Aktivität

Konfigurieren Sie die Protokollierung für Ihre DNS-Aktivität.

  1. Wählen Sie eine Observability-Region aus.

  2. Wählen Sie das Ziel für Abfrageprotokolle aus.

Umfassende Testverfahren und Problembehebung finden Sie unter Route 53 Global Resolver testen und beheben.

Schritt 6: Aufräumen (optional)

Wenn Sie diese Konfiguration zu Testzwecken erstellt haben und Route 53 Global Resolver nicht weiter verwenden möchten, bereinigen Sie die Ressourcen, um laufende Gebühren zu vermeiden.

  1. Löschen Sie in der Route 53 Global Resolver-Konsole alle Firewallregeln, die Sie erstellt haben.

  2. Löschen Sie alle Access Source-Regeln, die Sie erstellt haben.

  3. Löschen Sie die DNS-Ansicht.

  4. Löschen Sie den globalen Resolver.

Wichtig

Durch das Löschen dieser Ressourcen wird die DNS-Auflösung für alle Clients beendet, die für deren Verwendung konfiguriert sind. Aktualisieren Sie Ihre Client-Konfigurationen, bevor Sie den Resolver löschen oder die Zugriffsregeln entfernen.

Nächste Schritte

Da Sie nun über eine grundlegende Route 53 Global Resolver-Konfiguration verfügen, können Sie weitere Funktionen erkunden:

  • Konfigurieren Sie Client-Geräte so, dass sie Ihren Resolver verwenden (für die Produktion erforderlich). Aktualisieren Sie Ihre Client-DNS-Einstellungen, um die von Ihrem globalen Resolver bereitgestellten Anycast-IP-Adressen zu verwenden.

  • Richten Sie die Protokollierung zur Überwachung und Einhaltung von Vorschriften ein (für die Produktion empfohlen). Konfigurieren Sie die Protokollierung bei Amazon CloudWatch, Amazon S3 oder Amazon Data Firehose zur Überwachung und Analyse. Weitere Informationen finden Sie unter .

  • Konfigurieren Sie die Weiterleitung von privaten gehosteten Zonen für interne Domains (erforderlich, wenn Sie über private AWS Ressourcen verfügen). Weitere Informationen finden Sie unter Arbeiten mit privat gehosteten Zonen.

  • Richten Sie verschlüsselte DNS-Konnektivität mit DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) ein. Weitere Informationen finden Sie unter Verschlüsseltes DNS konfigurieren.

  • Erstellen Sie benutzerdefinierte Domänenlisten und erweiterte Filterregeln. Weitere Informationen finden Sie unter DNS-Filterung.