Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Domain-Listen von Resolver DNS Firewall
<a name="resolver-dns-firewall-domain-lists"></a>

Eine *Domainliste* ist ein wiederverwendbarer Satz von Domainspezifikationen, die Sie in einer DNS-Firewall-Regel innerhalb einer Regelgruppe verwenden. Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domainlisten, die in den Regeln verwendet werden. Wenn es eine Übereinstimmung findet, verarbeitet es die DNS-Abfrage gemäß der Aktion der Übereinstimmungsregel. Weitere Informationen zu Regelgruppen und Regeln finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 

Mit Domainlisten können Sie Ihre expliziten Domainspezifikationen von den Aktionen trennen, die Sie für sie ausführen möchten. Sie können eine einzelne Domainliste in mehreren Regeln verwenden, und alle Aktualisierungen, die Sie an der Domainliste vornehmen, wirken sich automatisch auf alle Regeln aus, die sie verwenden. 

Domainlisten lassen sich in zwei Hauptkategorien einteilen: 
+ Verwaltete Domainlisten, die für Sie AWS erstellt und verwaltet werden.
+ Eigene Domainlisten, die Sie erstellen und pflegen.

In diesem Abschnitt werden die Arten von verwalteten Domainlisten beschrieben, die Ihnen zur Verfügung stehen, und bietet Anleitungen zum Erstellen und Verwalten Ihrer eigenen Domainlisten, wenn Sie dies wünschen. 

# Verwaltete Domainlisten
<a name="resolver-dns-firewall-managed-domain-lists"></a>

Verwaltete Domainlisten enthalten Domainnamen, die mit böswilligen Aktivitäten oder anderen potenziellen Bedrohungen in Verbindung stehen. AWS verwaltet diese Listen, damit Route 53 VPC Resolver-Kunden ausgehende DNS-Abfragen kostenlos mit ihnen vergleichen können, wenn sie die DNS-Firewall verwenden. 

Sich über die sich ständig ändernde Bedrohungslandschaft auf dem Laufenden zu halten, kann zeitaufwändig und teuer sein. Mit verwalteten Domänenlisten können Sie Zeit sparen, wenn Sie die DNS-Firewall implementieren und verwenden. AWS aktualisiert die Listen automatisch, wenn neue Sicherheitslücken und Bedrohungen auftauchen. AWS wird häufig vor der Veröffentlichung über neue Sicherheitslücken informiert, sodass die DNS-Firewall häufig Gegenmaßnahmen für Sie ergreifen kann, bevor eine neue Bedrohung allgemein bekannt wird. 

Verwaltete Domainlisten können vor gängigen Internet-Bedrohungen schützen und fügen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Die AWS verwalteten Domainlisten beziehen ihre Daten sowohl aus internen AWS Quellen als [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future)auch aus internen Quellen und werden ständig aktualisiert. AWS Verwaltete Domänenlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht Amazon GuardDuty, z. B. solche, die von den ausgewählten AWS Ressourcen bestimmt werden.

Als bewährte Methode sollten Sie eine verwaltete Domainliste in einer Nicht-Produktionsumgebung testen, bevor Sie sie in der Produktion verwenden, wobei die Regelaktion auf `Alert` festgelegt ist. Evaluieren Sie die Regel anhand von CloudWatch Amazon-Metriken in Kombination mit von Resolver DNS Firewall gesammelten Anfragen oder DNS-Firewall-Protokollen. Wenn Sie überzeugt sind, dass die Regel das tut, was Sie wollen, ändern Sie die Aktionseinstellung nach Bedarf. 

**Verfügbare AWS verwaltete Domainlisten**  
In diesem Abschnitt werden die derzeit verfügbaren Listen der verwalteten Domains beschrieben. Wenn Sie sich in einer Region befinden, in der diese Listen unterstützt werden, werden sie in der Konsole angezeigt, wenn Sie Domainlisten verwalten und wenn Sie die Domainliste für eine Regel angeben. In den Protokollen wird die Domainliste innerhalb der `firewall_domain_list_id field` protokolliert.

AWS bietet die folgenden verwalteten Domänenlisten in den Regionen, in denen sie verfügbar sind, für alle Benutzer der Resolver DNS Firewall. 
+ `AWSManagedDomainsMalwareDomainList` – – Domains, die mit dem Senden von Malware, Hosting von Malware oder dem Verteilen von Malware in Verbindung gebracht werden.
+ `AWSManagedDomainsBotnetCommandandControl` – Domains, die mit der Kontrolle von Computernetzwerken verbunden sind, die mit Spam-Malware infiziert sind. 
+ `AWSManagedDomainsAggregateThreatList`— Domänen, die mehreren DNS-Bedrohungskategorien zugeordnet sind, darunter Malware, Ransomware, Botnet, Spyware und DNS-Tunneling, um verschiedene Arten von Bedrohungen zu blockieren. `AWSManagedDomainsAggregateThreatList`umfasst alle Domänen in den anderen hier AWS aufgelisteten verwalteten Domainlisten.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domains, die mit Amazon GuardDuty DNS-Sicherheitsergebnissen verknüpft sind. Die Domains stammen ausschließlich aus den GuardDuty Bedrohungsinformationssystemen von und enthalten keine Domains, die aus externen Quellen Dritter stammen. Insbesondere blockiert diese Liste derzeit nur Domains, die intern generiert und für folgende Erkennungen verwendet werden GuardDuty: Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ AbusedDomainRequest .Reputation, Impact: BitcoinDomainRequest .Reputation. MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

  Weitere Informationen [finden Sie im * GuardDuty Amazon-Benutzerhandbuch* unter Typen suchen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html).

AWS Verwaltete Domainlisten können nicht heruntergeladen oder durchsucht werden. Um geistiges Eigentum zu schützen, können Sie die einzelnen Domainspezifikationen in AWS verwalteten Domainlisten nicht anzeigen oder bearbeiten. Diese Einschränkung trägt auch dazu bei, böswillige Benutzer daran zu hindern, Bedrohungen zu entwickeln, die speziell zur Umgehung veröffentlichter Listen dienen. 

**Um die Listen der verwalteten Domänen zu testen**  
Zum Testen der verwalteten Domainlisten stehen folgende Domains zur Verfügung:

**AWSManagedDomainsBotnetCommandandControl**  
+  controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsMalwareDomainList**  
+  controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsAggregateThreatList und AWSManaged DomainsAmazonGuardDutyThreatList**  
+  controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Diese Domains werden in 1.2.3.4 aufgelöst, wenn sie nicht blockiert werden. Wenn Sie die verwalteten Domainlisten in einer VPC verwenden, wird bei der Abfrage dieser Domains die Antwort zurückgegeben, auf die eine Blockaktion in der Regel festgelegt ist (z. B. NODATA). 

Weitere Informationen zu verwalteten Domainlisten erhalten Sie vom [AWS Support -Center](https://console.aws.amazon.com/support/home#/). 

In der folgenden Tabelle sind die verfügbaren Regionen für AWS verwaltete Domainlisten aufgeführt.


**Verfügbarkeit verwalteter Domainlisten nach Region**  

| Region | Sind verwaltete Domainlisten verfügbar? | 
| --- | --- | 
|  Afrika (Kapstadt)   |  Ja  | 
|  Asien-Pazifik (Hongkong)  | Ja | 
|  Asien-Pazifik (Hyderabad)  | Ja | 
|  Asien-Pazifik (Jakarta)   |  Ja  | 
|  Asien-Pazifik (Malaysia)  |  Ja  | 
|  Asien-Pazifik (Melbourne)  | Ja | 
|  Asien-Pazifik (Mumbai)  |  Ja  | 
|  Region Asien-Pazifik (Osaka)  |  Ja  | 
|  Asien-Pazifik (Seoul)  |  Ja  | 
|  Asien-Pazifik (Singapore)  |  Ja  | 
|  Asien-Pazifik (Sydney)  |  Ja  | 
|  Asien-Pazifik (Thailand)  |  Ja  | 
|  Asien-Pazifik (Tokyo)  |  Ja  | 
|  Region Kanada (Zentral)  |  Ja  | 
|  Kanada West (Calgary)  |  Ja  | 
|  Region Europa (Frankfurt)  |  Ja  | 
|  Region Europa (Irland)  |  Ja  | 
|  Region Europa (London)  |  Ja  | 
|  Europa (Milan)   |  Ja  | 
|  Region Europa (Paris)  |  Ja  | 
|  Europa (Spain)  | Ja | 
|  Europa (Stockholm)  |  Ja  | 
|  Europa (Zürich)  | Ja | 
|  Israel (Tel Aviv)  | Ja | 
|  Middle East (Bahrain)  | Ja | 
|  Naher Osten (VAE)  | Ja | 
|  Südamerika (São Paulo)  |  Ja  | 
|  USA Ost (Nord-Virginia)  |  Ja  | 
|  USA Ost (Ohio)  |  Ja  | 
|  USA West (Nordkalifornien)  |  Ja  | 
|  USA West (Oregon)  |  Ja  | 
|  China (Peking)   |  Ja  | 
|  China (Ningxia)   |  Ja  | 
|  AWS GovCloud (US)  |  Ja  | 

**Zusätzliche Sicherheitsüberlegungen**  
AWS Verwaltete Domainlisten sollen Sie vor gängigen Internet-Bedrohungen schützen. Bei Verwendung gemäß der Dokumentation fügen diese Listen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Verwaltete Domainlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht, die durch die von Ihnen ausgewählten AWS -Ressourcen bestimmt werden. Wie Sie sicherstellen können, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind, finden Sie unter [Modell der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**Beseitigung von False-Positive-Szenarien**  
Wenn Sie in Regeln, die verwaltete Domainlisten zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, führen Sie die folgenden Schritte aus: 

1. Identifizieren Sie in den VPC-Resolver-Protokollen die Regelgruppe und die Liste der verwalteten Domänen, die den Fehlalarm verursacht haben. Dazu finden Sie das Protokoll für die Abfrage, die die DNS-Firewall blockiert, aber die Sie zulassen möchten. Der Protokolldatensatz listet die Regelgruppe, die Regelaktion und die verwalteten Liste auf. Weitere Informationen über Protokolle finden Sie unter [Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md).

1. Erstellen Sie eine neue Regel in der Regelgruppe, die die blockierte Abfrage explizit zulässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anweisungen zur Regelgruppen- und Regelverwaltung unter [Erstellen einer Regelgruppe und -regeln](resolver-dns-firewall-rule-group-adding.md).

1. Priorisieren Sie die neue Regel innerhalb der Regelgruppe, sodass sie vor der Regel ausgeführt wird, die die verwalteten Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regelgruppe aktualisiert haben, lässt die neue Regel explizit den Domainnamen zu, den Sie zulassen möchten, bevor die Blockierungsregel ausgeführt wird. 

# Verwaltung Ihrer eigenen Domainlisten
<a name="resolver-dns-firewall-user-managed-domain-lists"></a>

Sie können eigene Domainlisten erstellen, um Domainkategorien anzugeben, die Sie entweder nicht in den verwalteten Domainlistenangeboten finden oder die Sie lieber selbst bearbeiten. 

Zusätzlich zu den in diesem Abschnitt beschriebenen Verfahren können Sie in der Konsole eine Domänenliste im Kontext der Resolver DNS-Firewall-Regelverwaltung erstellen, wenn Sie eine Regel erstellen oder aktualisieren. 

Jede Domainspezifikation in Ihrer Domainliste muss die folgenden Anforderungen erfüllen: 
+ Es kann optional mit `*` (Sternchen) beginnen.
+ Mit Ausnahme des optionalen Startsterisks und eines Punktes als Trennzeichen zwischen Bezeichnungen darf es nur die folgenden Zeichen enthalten:,`A-Z`, `a-z``0-9`, `-` (Bindestrich).
+ Es muss 1 bis 255 Zeichen lang sein. 

Wenn Sie Änderungen an DNS-Firewall-Entitäten wie Regeln und Domainlisten vornehmen, werden die Änderungen überall dort weitergegeben, wo die Entitäten gespeichert und verwendet werden. Ihre Änderungen werden innerhalb von Sekunden angewendet, es kann jedoch zu einer kurzen Inkonsistenzzeit kommen, wenn die Änderungen an einigen Stellen und nicht an anderen Stellen eingetroffen sind. Wenn Sie beispielsweise eine Domain zu einer Domainliste hinzufügen, auf die durch eine Sperrregel verwiesen wird, wird die neue Domain möglicherweise kurz in einem Bereich Ihrer VPC blockiert, während sie in einem anderen Bereich weiterhin zulässig ist. Diese temporäre Inkonsistenz kann auftreten, wenn Sie die Regelgruppe und VPC-Zuordnungen zum ersten Mal konfigurieren und vorhandene Einstellungen ändern. Im Allgemeinen dauern alle Inkonsistenzen dieses Typs nur wenige Sekunden.

**Testen Sie Ihre Domainliste, bevor Sie sie in der Produktion verwenden**  
Als bewährte Methode sollten Sie eine Domainliste in einer Nicht-Produktionsumgebung testen, bevor Sie sie in der Produktion verwenden, wobei die Regelaktion auf `Alert` festgelegt ist. Evaluieren Sie die Regel anhand von CloudWatch Amazon-Metriken und den VPC-Resolver-Protokollen. Die Protokolle enthalten den Namen der Domainliste für alle Warnungen und Blockierungsaktionen. Wenn Sie sicher sind, dass die Domainliste Ihren DNS-Abfragen entspricht, wie gewünscht, ändern Sie die Einstellung für die Regelaktion nach Bedarf. Informationen zu CloudWatch Metriken und den Abfrageprotokollen finden Sie unter [Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)[Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md), und. [Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten](resolver-query-logging-configurations-managing.md) 

**So fügen Sie eine Domainliste hinzu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie fort mit Schritt 2.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Domainlisten** aus. Auf der Seite **Domainlisten** können Sie vorhandene Domainlisten auswählen und bearbeiten sowie eigene hinzufügen.

1. Um eine Domainliste hinzuzufügen, wählen Sie **Domainliste hinzufügen**. 

1. Geben Sie einen Namen für Ihre Domainliste ein, und geben Sie dann Ihre Domainspezifikationen in das Textfeld ein (jeweils 1 pro Zeile). 

   Wenn Sie **Umschalten zum Massen-Upload** auf **Ein** schieben, geben Sie den URI des Amazon-S3-Buckets ein, in dem Sie eine Domainliste erstellt haben. Diese Domainliste sollte einen Domainnamen pro Zeile haben.
**Anmerkung**  
Doppelte Domainnamen führen dazu, dass der Massenimport fehlschlägt.

1. Klicken Sie auf **Domainliste hinzufügen**. Auf der Seite **Domainlisten** wird Ihre neue Domainliste aufgeführt. 

Nachdem Sie die Domainliste erstellt haben, können Sie sie nach Namen aus Ihren DNS-Firewall-Regeln referenzieren. 

**DNS-Firewall-Entitäten löschen**  
Wenn Sie eine Entität löschen, die Sie in der DNS-Firewall verwenden können, z. B. eine Domainliste, die möglicherweise in einer Regelgruppe verwendet wird, oder eine Regelgruppe, die einer VPC zugeordnet ist, überprüft die DNS-Firewall, ob die Entität derzeit verwendet wird. Wenn es feststellt, dass es verwendet wird, warnt die DNS-Firewall Sie. DNS Firewall kann fast immer bestimmen, ob eine Entität verwendet wird. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicherstellen müssen, dass die Entität derzeit nicht verwendet, überprüfen Sie sie in Ihren DNS-Firewall-Konfigurationen, bevor Sie sie löschen. Wenn es sich bei der Entität um eine referenzierte Domainliste handelt, stellen Sie sicher, dass keine Regelgruppen sie verwenden. Wenn es sich bei der Entität um eine Regelgruppe handelt, überprüfen Sie, ob sie keiner Regelgruppe zugeordnet ist VPCs.

**So löschen Sie eine Domainliste**

1. Wählen Sie im Navigationsbereich **Domainlisten** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Domainliste aus. 

1. Wählen Sie die Domainliste aus, die Sie löschen möchten, wählen Sie dann **Löschen** und bestätigen Sie den Löschvorgang.