Actions de règle dans le pare-feu DNS - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions de règle dans le pare-feu DNS

Lorsque le pare-feu DNS trouve une correspondance entre une requête DNS et une spécification de domaine dans une règle, il applique à la requête l'action indiquée dans la règle.

Vous devez indiquer l'une des options suivantes dans chaque règle que vous créez :

  • Allow— Arrêtez d'inspecter la requête et autorisez-la à passer. Non disponible pour DNS Firewall Advanced.

  • Alert— Arrêtez d'inspecter la requête, autorisez-la à passer et enregistrez une alerte pour la requête dans les journaux du résolveur Route 53.

  • Block— Interrompez l'inspection de la requête, empêchez-la d'atteindre sa destination prévue et enregistrez l'action de blocage de la requête dans les journaux du résolveur Route 53.

    Répondez avec la réponse de blocage configurée, à partir de la liste suivante :

    • NODATA— Répond indiquant que la requête a abouti, mais qu'aucune réponse n'est disponible pour celle-ci.

    • NXDOMAIN— Répondez en indiquant que le nom de domaine de la requête n'existe pas.

    • OVERRIDE— Fournissez une dérogation personnalisée dans la réponse. Cette option nécessite les paramètres supplémentaires suivants :

      • Record value— L'enregistrement DNS personnalisé à renvoyer en réponse à la requête.

      • Record type— Le type d'enregistrement DNS. Il détermine le format de la valeur d'enregistrement. Il doit être CNAME.

      • Time to live in seconds— Durée recommandée pour que le résolveur DNS ou le navigateur Web mettent en cache l'enregistrement de remplacement et l'utilisent en réponse à cette requête, s'il est reçu à nouveau. Par défaut, ce paramètre est défini sur zéro et l'enregistrement n'est pas mis en cache.

Pour en savoir plus sur la configuration et le contenu des journaux de requête, consultez Journalisation des requêtes Resolver et Valeurs qui apparaissent dans les journaux de requête Resolver.

Utiliser Alert pour tester les règles de blocage

Lorsque vous créez une règle de blocage pour la première fois, vous pouvez la tester en la configurant avec l'action définie sur Alert. Vous pouvez ensuite examiner le nombre de requêtes pour lesquelles la règle crée une alerte afin de voir combien de requêtes seraient bloquées si vous définissez l'action sur Block.