Configuration et gestion des règles du pare-feu DNS - Amazon Route 53
Création et affichage des règles de pare-feuParamètres de règles dans le pare-feu DNSActions de règle dans le pare-feu DNS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration et gestion des règles du pare-feu DNS

Création et affichage des règles de pare-feu

Les règles de pare-feu définissent la manière dont Route 53 Global Resolver gère les requêtes DNS en fonction des listes de domaines, des listes de domaines gérées, des catégories de contenu ou de la protection avancée contre les menaces. Chaque règle définit une priorité, des domaines cibles et une action à entreprendre.

Bonnes pratiques en matière de priorité des règles :

  • Utilisez la priorité 100-999 pour les règles d'autorisation à priorité élevée (domaines approuvés)

  • Utiliser la priorité 1000-4999 pour les règles de blocage (menaces connues)

  • Utiliser la priorité 5000-9999 pour les règles d'alerte (surveillance et analyse)

  • Laissez des espaces entre les priorités pour permettre l'insertion future de règles

Pour créer une règle de pare-feu DNS

  1. Dans la console Route 53 Global Resolver, accédez à votre vue DNS.

  2. Choisissez l'onglet Règles de pare-feu.

  3. Choisissez Créer une règle de pare-feu.

  4. Dans la section Détails de la règle :

    1. Dans Nom de la règle, entrez un nom descriptif pour la règle (128 caractères maximum).

    2. (Facultatif) Dans Description de la règle, entrez une description de la règle (255 caractères maximum).

  5. Dans la section Configuration des règles, choisissez le type de configuration des règles :

    • Listes de domaines gérées par le client : utilisez une liste de domaines que vous créez et gérez

    • AWS listes de domaines gérées - Utilisez les listes de domaines fournies par Amazon que vous pouvez utiliser

    • Protections avancées du pare-feu DNS : choisissez parmi une gamme de protections gérées et spécifiez un seuil de confiance

  6. Pour Action sur la règle, choisissez l'action à effectuer lorsque la règle correspond :

    • Autoriser : la requête DNS est résolue

    • Alerte - Autorise la requête DNS mais crée une alerte

    • Bloquer : la requête DNS est bloquée

  7. Choisissez Créer une règle de pare-feu.

Utilisez la procédure suivante pour afficher les règles qui leur sont attribuées. Vous pouvez également mettre à jour la règle et ses paramètres.

Pour consulter et mettre à jour une règle

  1. Dans la console Route 53 Global Resolver, accédez à votre vue DNS.

  2. Choisissez l'onglet Règles du pare-feu DNS.

  3. Choisissez la règle que vous souhaitez afficher ou modifier, puis choisissez Modifier.

  4. Sur la page Règle, vous pouvez consulter et modifier les paramètres.

Pour plus d'informations sur les valeurs des règles, consultez Paramètres de règles dans le pare-feu DNS.

Pour supprimer une règle

  1. Dans la console Route 53 Global Resolver, accédez à votre vue DNS.

  2. Choisissez l'onglet Règles du pare-feu DNS.

  3. Choisissez la règle que vous souhaitez supprimer, puis choisissez Supprimer, puis confirmez la suppression.

Paramètres de règles dans le pare-feu DNS

Lorsque vous créez ou modifiez une règle de pare-feu DNS dans votre vue DNS, vous spécifiez les valeurs suivantes :

Name

Identifiant unique pour la règle dans la vue DNS.

(Facultatif) Description

Une brève description qui fournit plus d'informations sur la règle.

Liste de domaines

La liste des domaines que la règle inspecte. Vous pouvez créer et gérer votre propre liste de domaines ou vous abonner à une liste de domaines AWS gérée pour vous.

Une règle peut contenir une liste de domaines ou une protection avancée par pare-feu DNS, mais pas les deux.

Type de requête (listes de domaines uniquement)

Liste des types de requêtes DNS inspectés par la règle. Les valeurs valides sont les suivantes :

  • R : Renvoie une IPv4 adresse.

  • AAAA : Renvoie une adresse IPv6.

  • CAA : restrictions CAs qui peuvent créer des SSL/TLS certifications pour le domaine.

  • CNAME : renvoie un autre nom de domaine.

  • DS : enregistrement identifiant la clé de signature DNSSEC d'une zone déléguée.

  • MX : Spécifie les serveurs de messagerie.

  • NAPTR : Regular-expression-based réécriture de noms de domaine.

  • NS : serveurs de noms faisant autorité.

  • PTR : associe une adresse IP à un nom de domaine.

  • SOA : Début de l'enregistrement d'autorité pour la zone.

  • SPF : répertorie les serveurs autorisés à envoyer des e-mails depuis un domaine.

  • SRV : valeurs spécifiques à l'application qui identifient les serveurs.

  • TXT : vérifie les expéditeurs d'e-mails et les valeurs spécifiques à l'application.

Type de requête que vous définissez à l'aide de l'ID de type DNS, par exemple 28 pour AAAA. Les valeurs doivent être définies comme TYPENUMBER, où elles NUMBER peuvent être comprises entre 1 et 65334, par exemple. TYPE28 Pour plus d'informations, consultez la section Liste des types d'enregistrements DNS.

Vous pouvez créer un type de requête par règle.

Protection avancée du pare-feu DNS

Détecte les requêtes DNS suspectes en fonction des signatures de menaces connues dans les requêtes DNS. Vous pouvez choisir une protection parmi :

  • Algorithmes de génération de domaines (DGAs)

    DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.

  • Tunneling DNS

    Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.

Dans une règle avancée de pare-feu DNS, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace.

Pour plus d'informations, consultez la section Protections avancées du pare-feu DNS.

Une règle peut contenir une protection avancée du pare-feu DNS ou une liste de domaines, mais pas les deux.

Seuil de confiance (DNS Firewall Advanced uniquement)

Seuil de confiance pour DNS Firewall Advanced. Vous devez spécifier cette valeur lorsque vous créez une règle DNS Firewall Advanced. Les valeurs du seuil de confiance sont les suivantes :

  • Élevé : détecte uniquement les menaces les plus corroborées avec un faible taux de faux positifs.

  • Moyen : assure un équilibre entre détection des menaces et faux positifs.

  • Faible : fournit le taux de détection de menaces le plus élevé, mais augmente également le nombre de faux positifs.

Pour plus d'informations, consultez la section Paramètres des règles dans le pare-feu DNS.

Action

La manière dont le pare-feu DNS doit gérer une requête DNS dont le nom de domaine correspond aux spécifications de la liste de domaines de la règle. Pour de plus amples informations, veuillez consulter Actions de règle dans le pare-feu DNS.

Priority

Paramètre entier positif unique pour la règle dans la vue DNS qui détermine l'ordre de traitement. Le pare-feu DNS inspecte les requêtes DNS par rapport aux règles d'une vue DNS, en commençant par le paramètre de priorité numérique le plus bas et en augmentant. Vous pouvez modifier la priorité d'une règle à tout moment, par exemple pour modifier l'ordre de traitement ou créer de l'espace pour d'autres règles.

Actions de règle dans le pare-feu DNS

Lorsque le pare-feu DNS trouve une correspondance entre une requête DNS et une spécification de domaine dans une règle, il applique à la requête l'action indiquée dans la règle.

Vous devez indiquer l'une des options suivantes dans chaque règle que vous créez :

  • Autoriser — Arrêtez d'inspecter la requête et autorisez-la à passer. Non disponible pour DNS Firewall Advanced.

  • Alerte : arrêtez d'inspecter la requête, autorisez-la à passer et enregistrez une alerte pour la requête dans les journaux du résolveur Route 53.

  • Bloquer : interrompez l'inspection de la requête, empêchez-la d'atteindre sa destination prévue et enregistrez l'action de blocage de la requête dans les journaux du résolveur Route 53.

    Répondez avec la réponse de blocage configurée, à partir de la liste suivante :

    • NODATA — Répond indiquant que la requête a abouti, mais qu'aucune réponse n'est disponible pour celle-ci.

    • NXDOMAIN — Répondez en indiquant que le nom de domaine de la requête n'existe pas.

    • OVERRIDE — Fournissez une dérogation personnalisée dans la réponse. Cette option nécessite les paramètres supplémentaires suivants :

      • Valeur d'enregistrement : enregistrement DNS personnalisé à renvoyer en réponse à la requête.

      • Type d'enregistrement : type d'enregistrement DNS. Il détermine le format de la valeur d'enregistrement. Il doit être CNAME.

      • Durée de vie en secondes : durée recommandée pour que le résolveur DNS ou le navigateur Web mettent en cache l'enregistrement de remplacement et l'utilisent en réponse à cette requête, s'il est reçu à nouveau. Par défaut, ce paramètre est défini sur zéro et l'enregistrement n'est pas mis en cache.