Regelaktionen in der DNS-Firewall - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regelaktionen in der DNS-Firewall

Wenn die DNS-Firewall eine Übereinstimmung zwischen einer DNS-Abfrage und einer Domainspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an.

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben:

  • Allow— Hören Sie auf, die Anfrage zu überprüfen, und lassen Sie zu, dass sie bearbeitet wird. Nicht verfügbar für DNS Firewall Advanced.

  • Alert— Beenden Sie die Überprüfung der Abfrage, lassen Sie sie durchlaufen und protokollieren Sie eine Warnung für die Abfrage in den Route 53 Resolver-Protokollen.

  • Block— Unterbrechen Sie die Überprüfung der Abfrage, verhindern Sie, dass sie an ihr beabsichtigtes Ziel weitergeleitet wird, und protokollieren Sie die Blockaktion für die Abfrage in den Route 53 Resolver-Protokollen.

    Antworten Sie mit der konfigurierten Blockantwort wie folgt:

    • NODATA— Antwortet und gibt an, dass die Abfrage erfolgreich war, aber keine Antwort darauf verfügbar ist.

    • NXDOMAIN— Antwortet und gibt an, dass der Domainname der Anfrage nicht existiert.

    • OVERRIDE— Geben Sie in der Antwort eine benutzerdefinierte Überschreibung an. Für diese Option sind die folgenden zusätzlichen Einstellungen erforderlich:

      • Record value— Der benutzerdefinierte DNS-Eintrag, der als Antwort auf die Anfrage zurückgesendet werden soll.

      • Record type— Der Typ des DNS-Eintrags. Dies bestimmt das Format des Datensatzwertes. Dies muss CNAME lauten.

      • Time to live in seconds— Die empfohlene Zeitspanne für den DNS-Resolver oder Webbrowser, um den Override-Eintrag zwischenzuspeichern und ihn als Antwort auf diese Anfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.

Weitere Informationen zur Konfiguration und zum Inhalt der Abfrageprotokolle finden Sie unter Abfrageprotokollierung und Werte in DNS-Abfrageprotokollen.

Verwenden Sie Alert, um die Blockierungsregeln zu testen

Wenn Sie eine Blockierungsregel zum ersten Mal erstellen, können Sie sie testen, indem Sie sie mit der auf Alert festgelegten Aktion konfigurieren. Sie können sich dann die Anzahl der Abfragen ansehen, bei denen die Regel eine Warnung ausgibt, um zu sehen, wie viele blockiert würden, wenn Sie die Aktion auf Block festlegen.