

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Règles et groupes de règles de pare-feu DNS
<a name="resolver-dns-firewall-rule-groups"></a>

Cette section décrit les paramètres que vous pouvez configurer pour les groupes de règles et les règles de votre pare-feu DNS, afin de définir le comportement de votre pare-feu DNS VPCs. Elle décrit également comment gérer les paramètres de vos règles et groupes de règles. 

Une fois vos groupes de règles configurés comme vous le souhaitez, vous les utilisez directement et vous pouvez les partager et les gérer entre les comptes et dans l'ensemble de votre organisation dans AWS Organizations.
+ Vous pouvez associer un groupe de règles à plusieurs VPCs afin de garantir un comportement cohérent au sein de votre organisation. Pour plus d'informations, consultez [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Vous pouvez partager des groupes de règles entre les comptes pour bénéficier d'une gestion cohérente des requêtes DNS dans l'ensemble de votre organisation. Pour plus d'informations, consultez [Partage des groupes de règles du pare-feu DNS Resolver entre les comptes AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Vous pouvez utiliser les groupes de règles au sein de votre organisation AWS Organizations en les gérant dans AWS Firewall Manager des politiques. Pour plus d'informations sur Firewall Manager, consultez [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)le *AWS WAF et le Guide AWS Shield Advanced du développeur*. AWS Firewall Manager

# Paramètres de groupe de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-group-settings"></a>

Lorsque vous créez ou modifiez un groupe de règles de pare-feu DNS, spécifiez les valeurs suivantes :

**Nom**  
Un nom unique qui vous permet de retrouver facilement un groupe de règles sur le tableau de bord.

**(Facultatif) Description**  
Une brève description qui fournit plus de contexte pour le groupe de règles. 

**Région**  
La AWS région que vous choisissez lorsque vous créez le groupe de règles. Les groupes de règles que vous créez dans une région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez la créer dans chaque région.

**Rules**  
Le comportement de filtrage du groupe de règles est contenu dans ses règles. Pour plus d'informations, consultez la section suivante.

**Étiquettes**  
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.  
Ce sont les tags qui AWS Billing and Cost Management permettent d'organiser votre AWS facture. Pour en savoir plus sur l'utilisation des identifications pour la répartition des coûts, consultez [Utilisation des identifications de répartition des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.

# Paramètres de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-settings"></a>

Lorsque vous créez ou modifiez une règle dans un groupe de règles de pare-feu DNS, spécifiez les valeurs suivantes :

**Nom**  
Un identifiant unique pour la règle dans le groupe de règles.

**(Facultatif) Description**  
Une brève description qui fournit plus d'informations sur la règle. 

**Liste de domaines**  
La liste des domaines que la règle inspecte. Vous pouvez créer et gérer vos propres listes de domaines ou vous abonner à une liste de domaines qu' AWS gère pour vous. Pour de plus amples informations, veuillez consulter [Listes de domaines du pare-feu DNS Resolver](resolver-dns-firewall-domain-lists.md).   
Une règle peut contenir une liste de domaines ou une protection avancée du pare-feu DNS, mais pas les deux.

**Paramètre de redirection de domaines (listes de domaines uniquement)**  
Vous pouvez choisir que la règle du pare-feu DNS n'inspecte que le premier domaine ou tous les domaines (par défaut) de la chaîne de redirection DNS, tels que CNAME, DNAME, etc. Si vous choisissez d'inspecter tous les domaines, vous devez ajouter les domaines suivants de la chaîne de redirection DNS à la liste des domaines et définir l'action que vous souhaitez que la règle exécute, soit ALLOW, BLOCK ou ALERT. Pour de plus amples informations, veuillez consulter [Composants et paramètres du pare-feu DNS Resolver](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
Le comportement de confiance du paramètre de redirection de domaine ne s'applique qu'au sein d'une seule transaction de requête DNS. Si un client DNS de votre hôte interroge séparément un domaine qui apparaît dans une chaîne de redirection DNS (par exemple, en interrogeant directement la cible de redirection), DNS Firewall l'évalue comme une requête indépendante sans contexte de confiance par rapport à la requête d'origine. Pour autoriser de telles requêtes, ajoutez les domaines cibles de redirection à votre liste de domaines.

**Type de requête (listes de domaines uniquement)**  
Liste des types de requêtes DNS inspectés par la règle. Les valeurs valides sont les suivantes :  
+  R : Renvoie une IPv4 adresse.
+ AAAA : renvoie une adresse IPv6.
+ CAA : restrictions CAs qui peuvent créer des SSL/TLS certifications pour le domaine.
+ CNAME : renvoie un autre nom de domaine.
+ DS : enregistrement identifiant la clé de signature DNSSEC d'une zone déléguée.
+ MX : Spécifie les serveurs de messagerie.
+ NAPTR : Regular-expression-based réécriture de noms de domaine.
+ NS : serveurs de noms faisant autorité.
+ PTR : associe une adresse IP à un nom de domaine.
+ SOA : Début de l'enregistrement d'autorité pour la zone.
+ SPF : répertorie les serveurs autorisés à envoyer des e-mails depuis un domaine.
+ SRV : valeurs spécifiques à l'application qui identifient les serveurs.
+ TXT : vérifie les expéditeurs d'e-mails et les valeurs spécifiques à l'application.
+ Type de requête que vous définissez à l'aide de l'ID de type DNS, par exemple 28 pour AAAA. Les valeurs doivent être définies comme TYPE* NUMBER*, où elles *NUMBER* peuvent être comprises entre 1 et 65334, par exemple. TYPE28 Pour plus d'informations, consultez la section [Liste des types d'enregistrements DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Vous pouvez créer un type de requête par règle.
**Note**  
Si vous configurez une règle BLOCK de pare-feu dont l'action NXDOMAIN sur le type de requête est égale à AAAA, cette action ne sera pas appliquée aux IPv6 adresses synthétiques générées lorsqu'elle DNS64 est activée. 

**Protection avancée du pare-feu DNS**  
Détecte les requêtes DNS suspectes en fonction des signatures de menaces connues dans les requêtes DNS. Vous pouvez choisir une protection parmi :  
+ Algorithmes de génération de domaines (DGAs)

  DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.
+ Tunneling DNS

  Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.
+ Dictionnaire DGA

   DGAs Les dictionnaires sont utilisés par les attaquants pour générer des domaines à l'aide de mots du dictionnaire afin d'échapper à la détection des command-and-control communications par des logiciels malveillants.
Dans une règle avancée de pare-feu DNS, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace.   
Pour de plus amples informations, veuillez consulter [Pare-feu DNS Resolver Advanced](firewall-advanced.md).   
Une règle peut contenir une protection avancée du pare-feu DNS ou une liste de domaines, mais pas les deux.

**Seuil de confiance (DNS Firewall Advanced uniquement)**  
Seuil de confiance pour DNS Firewall Advanced. Vous devez spécifier cette valeur lorsque vous créez une règle DNS Firewall Advanced. Les valeurs du seuil de confiance sont les suivantes :  
+ Élevé : détecte uniquement les menaces les plus corroborées avec un faible taux de faux positifs.
+ Moyen : assure un équilibre entre détection des menaces et faux positifs.
+ Faible : fournit le taux de détection de menaces le plus élevé, mais augmente également le nombre de faux positifs.
Pour de plus amples informations, veuillez consulter [Paramètres de règles dans le pare-feu DNS](#resolver-dns-firewall-rule-settings). 

**Action**  
La manière dont le pare-feu DNS doit gérer une requête DNS dont le nom de domaine correspond aux spécifications de la liste de domaines de la règle. Pour de plus amples informations, veuillez consulter [Actions de règle dans le pare-feu DNS](resolver-dns-firewall-rule-actions.md). 

**Priority**  
Paramètre d'entier positif unique pour la règle au sein du groupe de règles qui détermine l'ordre de traitement. Le pare-feu DNS inspecte les requêtes DNS par rapport aux règles d'un groupe de règles en commençant par le paramètre de priorité numérique le plus bas. Vous pouvez modifier la priorité d'une règle à tout moment, par exemple pour modifier l'ordre de traitement ou créer de l'espace pour d'autres règles. 

# Actions de règle dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-actions"></a>

Lorsque le pare-feu DNS trouve une correspondance entre une requête DNS et une spécification de domaine dans une règle, il applique à la requête l'action indiquée dans la règle. 

Vous devez indiquer l'une des options suivantes dans chaque règle que vous créez : 
+ **Allow**— Arrêtez d'inspecter la requête et autorisez-la à passer. Non disponible pour DNS Firewall Advanced.
+ **Alert**— Arrêtez d'inspecter la requête, autorisez-la à passer et enregistrez une alerte pour la requête dans les journaux du résolveur VPC Route 53. 
+ **Block**— Interrompez l'inspection de la requête, empêchez-la d'atteindre sa destination prévue et enregistrez l'action de blocage de la requête dans les journaux du résolveur VPC Route 53. 

  Répondez avec la réponse de blocage configurée, à partir de la liste suivante : 
  + **NODATA**— Répond indiquant que la requête a abouti, mais qu'aucune réponse n'est disponible pour celle-ci.
  + **NXDOMAIN**— Répondez en indiquant que le nom de domaine de la requête n'existe pas.
  + **OVERRIDE**— Fournissez une dérogation personnalisée dans la réponse. Cette option nécessite les paramètres supplémentaires suivants : 
    + **Record value**— L'enregistrement DNS personnalisé à renvoyer en réponse à la requête. 
    + **Record type**— Le type d'enregistrement DNS. Il détermine le format de la valeur d’enregistrement. Il doit être `CNAME`.
    + **Time to live in seconds**— Durée recommandée pour que le résolveur DNS ou le navigateur Web mettent en cache l'enregistrement de remplacement et l'utilisent en réponse à cette requête, s'il est reçu à nouveau. Par défaut, ce paramètre est défini sur zéro et l'enregistrement n'est pas mis en cache.

Pour en savoir plus sur la configuration et le contenu des journaux de requête, consultez [Journalisation des requêtes Resolver](resolver-query-logs.md) et [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md). 

**Utiliser Alert pour tester les règles de blocage**  
Lorsque vous créez une règle de blocage pour la première fois, vous pouvez la tester en la configurant avec l'action définie sur Alert. Vous pouvez ensuite examiner le nombre de requêtes pour lesquelles la règle crée une alerte afin de voir combien de requêtes seraient bloquées si vous définissez l'action sur Block. 

# Gestion des règles et groupes de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-group-managing"></a>

Pour gérer les groupes de règles et les règles dans la console, suivez les instructions de cette section.

Lorsque vous apportez des modifications aux entités du pare-feu DNS, telles que les règles et les listes de domaines, le pare-feu DNS propage les modifications partout où les entités sont stockées et utilisées. Vos modifications sont appliquées en quelques secondes, mais il peut y avoir une brève période d'incohérence lorsque les modifications arrivent à certains endroits et non à d'autres. Par exemple, si vous ajoutez un domaine à une liste de domaines référencée par une règle de blocage, le nouveau domaine peut être brièvement bloqué dans une zone de votre VPC et être toujours autorisé dans une autre. Cette incohérence temporaire peut se produire lorsque vous configurez vos associations de groupes de règles et de VPC pour la première fois et lorsque vous modifiez des paramètres existants. En règle générale, les incohérences de ce type ne durent que quelques secondes.

# Création d'un groupe de règles et de règles
<a name="resolver-dns-firewall-rule-group-adding"></a>

Pour créer un groupe de règles et y ajouter des règles, suivez les étapes de cette procédure.

**Pour créer un groupe de règles et ses règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Choisissez **Add rule group (Ajouter un groupe de règles)**, puis suivez les instructions de l'assistant pour indiquer les paramètres du groupe de règles et des règles.

   Pour plus d'informations sur les valeurs des groupes de règles, consultez [Paramètres de groupe de règles dans le pare-feu DNS](resolver-dns-firewall-rule-group-settings.md).

   Pour plus d'informations sur les valeurs des règles, consultez [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md).

# Affichage et mise à jour d'un groupe de règles et des règles
<a name="resolver-dns-firewall-rule-group-editing"></a>

Utilisez la procédure suivante pour afficher les groupes de règles et les règles qui leur sont assignées. Vous pouvez également mettre à jour le groupe de règles et les paramètres des règles.

**Pour afficher et mettre à jour un groupe de règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sélectionnez le groupe de règles que vous souhaitez afficher ou modifier, puis choisissez **View details (Afficher les détails)**. 

1. Dans la page du groupe de règles, vous pouvez afficher et modifier les paramètres.

   Pour plus d'informations sur les valeurs des groupes de règles, consultez [Paramètres de groupe de règles dans le pare-feu DNS](resolver-dns-firewall-rule-group-settings.md).

   Pour plus d'informations sur les valeurs des règles, consultez [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md).

# Suppression d'un groupe de règles
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Pour supprimer un groupe de règles, suivez la procédure suivante.

**Important**  
Si vous supprimez un groupe de règles associé à un VPC, le pare-feu DNS supprime l'association et arrête les protections que le groupe de règles fournissait au VPC. 

**Suppression des entités du pare-feu DNS**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans le pare-feu DNS, comme une liste de domaines qui peut être utilisée dans un groupe de règles ou un groupe de règles qui peut être associé à un VPC, le pare-feu DNS vérifie si l'entité est actuellement utilisée. S'il constate qu'elle est en cours d'utilisation, le pare-feu DNS vous en avertit. Le pare-feu DNS est presque toujours capable de déterminer si une entité est en cours d'utilisation. Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Si vous devez vous assurer que rien n'utilise actuellement l'entité, vérifiez si elle se trouve dans vos configurations de pare-feu DNS avant de la supprimer. Si l'entité est une liste de domaines référencée, vérifiez qu'aucun groupe de règles ne l'utilise. Si l'entité est un groupe de règles, vérifiez qu'elle n'est associée à aucun groupe de règles VPCs.

**Pour supprimer un groupe de règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sélectionnez le groupe de règles que vous souhaitez supprimer, puis choisissez **Supprimer** et confirmez la suppression.