Konfigurasikan dan kelola aturan DNS Firewall - Amazon Route 53
Membuat dan melihat aturan firewallPengaturan aturan di DNS FirewallAturan tindakan di DNS Firewall

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan dan kelola aturan DNS Firewall

Membuat dan melihat aturan firewall

Aturan firewall menentukan cara Route 53 Global Resolver menangani kueri DNS berdasarkan daftar domain, daftar domain terkelola, kategori konten, atau perlindungan ancaman lanjutan. Setiap aturan menentukan prioritas, domain target, dan tindakan yang harus diambil.

Praktik terbaik untuk prioritas aturan:

  • Gunakan prioritas 100-999 untuk aturan izin prioritas tinggi (domain tepercaya)

  • Gunakan prioritas 1000-4999 untuk aturan blok (ancaman yang diketahui)

  • Gunakan prioritas 5000-9999 untuk aturan peringatan (pemantauan dan analisis)

  • Tinggalkan celah di antara prioritas untuk memungkinkan penyisipan aturan di masa depan

Untuk membuat aturan DNS Firewall

  1. Di konsol Route 53 Global Resolver, navigasikan ke tampilan DNS Anda.

  2. Pilih tab Aturan Firewall.

  3. Pilih Buat aturan firewall.

  4. Di bagian Rincian aturan:

    1. Untuk nama Aturan, masukkan nama deskriptif untuk aturan (hingga 128 karakter).

    2. (Opsional) Untuk deskripsi Aturan, masukkan deskripsi untuk aturan (hingga 255 karakter).

  5. Di bagian konfigurasi Aturan, pilih tipe konfigurasi Aturan:

    • Daftar domain terkelola pelanggan - Gunakan daftar domain yang Anda buat dan kelola

    • AWS daftar domain terkelola - Gunakan daftar domain yang disediakan oleh Amazon yang dapat Anda manfaatkan

    • Perlindungan lanjutan DNS Firewall - Pilih dari berbagai perlindungan terkelola dan tentukan ambang batas kepercayaan

  6. Untuk tindakan Aturan, pilih tindakan yang akan diambil ketika aturan cocok:

    • Izinkan - Kueri DNS diselesaikan

    • Peringatan - Memungkinkan kueri DNS tetapi membuat peringatan

    • Blokir - Kueri DNS diblokir

  7. Pilih Buat aturan firewall.

Gunakan prosedur berikut untuk melihat aturan yang ditetapkan untuk mereka. Anda juga dapat memperbarui pengaturan aturan dan aturan.

Untuk melihat dan memperbarui aturan

  1. Di konsol Route 53 Global Resolver, navigasikan ke Tampilan DNS Anda.

  2. Pilih tab Aturan DNS Firewall.

  3. Pilih aturan yang ingin Anda lihat atau edit, dan pilih Edit.

  4. Di halaman Aturan, Anda dapat melihat dan mengedit pengaturan.

Untuk informasi tentang nilai aturan, lihat Pengaturan aturan di DNS Firewall.

Untuk menghapus aturan

  1. Di konsol Route 53 Global Resolver, navigasikan ke Tampilan DNS Anda.

  2. Pilih tab Aturan DNS Firewall.

  3. Pilih aturan yang ingin Anda hapus, lalu pilih Hapus, dan konfirmasikan penghapusan.

Pengaturan aturan di DNS Firewall

Saat membuat atau mengedit aturan DNS Firewall di Tampilan DNS, Anda menentukan nilai berikut:

Nama

Pengidentifikasi unik untuk aturan dalam Tampilan DNS.

Deskripsi (Opsional)

Deskripsi singkat yang memberikan informasi lebih lanjut tentang aturan.

Daftar domain

Daftar domain yang diperiksa oleh aturan. Anda dapat membuat dan mengelola daftar domain Anda sendiri atau Anda dapat berlangganan daftar domain yang AWS mengelola untuk Anda.

Aturan dapat berisi eter daftar domain atau perlindungan DNS Firewall Advanced, tetapi tidak keduanya.

Jenis kueri (hanya daftar domain)

Daftar jenis kueri DNS yang diperiksa aturan. Berikut ini adalah nilai yang valid:

  • A: Mengembalikan IPv4 alamat.

  • AAAA: Mengembalikan alamat Ipv6.

  • CAA: Membatasi CAs yang dapat membuat SSL/TLS sertifikasi untuk domain.

  • CNAME: Mengembalikan nama domain lain.

  • DS: Rekam yang mengidentifikasi kunci penandatanganan DNSSEC dari zona yang didelegasikan.

  • MX: Menentukan server email.

  • NAPTR: Regular-expression-based menulis ulang nama domain.

  • NS: Server nama otoritatif.

  • PTR: Memetakan alamat IP ke nama domain.

  • SOA: Mulai dari catatan otoritas untuk zona tersebut.

  • SPF: Daftar server yang berwenang untuk mengirim email dari domain.

  • SRV: Nilai spesifik aplikasi yang mengidentifikasi server.

  • TXT: Memverifikasi pengirim email dan nilai khusus aplikasi.

Jenis kueri yang Anda tentukan dengan menggunakan ID tipe DNS, misalnya 28 untuk AAAA. Nilai harus didefinisikan sebagai TYPENUMBER, di mana NUMBER bisa 1-65334, misalnya,. TYPE28 Untuk informasi selengkapnya, lihat Daftar jenis rekaman DNS.

Anda dapat membuat satu jenis kueri per aturan.

DNS Firewall Perlindungan tingkat lanjut

Mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Anda dapat memilih perlindungan dari:

  • Algoritma Pembuatan Domain () DGAs

    DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.

  • Terowongan DNS

    Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.

Dalam aturan DNS Firewall Advanced Anda dapat memilih untuk memblokir, atau memperingatkan pada kueri yang cocok dengan ancaman.

Untuk informasi selengkapnya, lihat Perlindungan DNS Firewall Advanced.

Aturan dapat berisi eter perlindungan DNS Firewall Advanced atau daftar domain, tetapi tidak keduanya.

Ambang kepercayaan (DNS Firewall Advanced saja)

Ambang batas kepercayaan untuk DNS Firewall Advanced. Nilai ini harus diisi saat membuat aturan DNS Firewall Advanced. Nilai tingkat kepercayaan berarti:

  • Tinggi – Hanya mendeteksi ancaman yang telah dikonfirmasi dengan tingkat false positive yang rendah.

  • Sedang – Menyediakan keseimbangan antara deteksi ancaman dan false positive.

  • Rendah – Memberikan tingkat deteksi tertinggi untuk ancaman, tetapi juga meningkatkan false positive.

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

Tindakan

Bagaimana Anda ingin DNS Firewall menangani kueri DNS yang nama domainnya cocok dengan spesifikasi dalam daftar domain aturan. Untuk informasi selengkapnya, lihat Aturan tindakan di DNS Firewall.

Prioritas

Pengaturan bilangan bulat positif unik untuk aturan dalam Tampilan DNS yang menentukan urutan pemrosesan. DNS Firewall memeriksa kueri DNS terhadap aturan dalam Tampilan DNS dimulai dengan pengaturan prioritas numerik terendah dan naik. Anda dapat mengubah prioritas aturan kapan saja, misalnya mengubah urutan pemrosesan atau memberi ruang untuk aturan lain.

Aturan tindakan di DNS Firewall

Saat DNS Firewall menemukan kecocokan antara kueri DNS dan spesifikasi domain dalam aturan, hal ini menerapkan tindakan yang ditentukan dalam aturan ke kueri.

Anda harus menentukan salah satu opsi berikut di setiap aturan yang Anda buat:

  • Izinkan — Berhenti memeriksa kueri dan membiarkannya melewatinya. Tidak tersedia untuk DNS Firewall Advanced.

  • Peringatan — Berhenti memeriksa kueri, mengizinkannya masuk, dan catat peringatan untuk kueri di log Route 53 Resolver.

  • Blokir — Hentikan pemeriksaan kueri, blokir agar tidak pergi ke tujuan yang diinginkan, dan catat tindakan blok untuk kueri di log Route 53 Resolver.

    Balas dengan respons blok yang dikonfigurasi, dari berikut ini:

    • NODATA — Menanggapi yang menunjukkan bahwa kueri berhasil, tetapi tidak ada respons yang tersedia untuk itu.

    • NXDOMAIN — Menanggapi yang menunjukkan bahwa nama domain kueri tidak ada.

    • OVERRIDE - Berikan penggantian khusus dalam respons. Opsi ini memerlukan pengaturan tambahan sebagai berikut:

      • Nilai rekam — Catatan DNS kustom untuk dikirim kembali sebagai respons terhadap kueri.

      • Jenis rekaman — Jenis catatan DNS. Ini akan menentukan format nilai catatan. Ini harus CNAME.

      • Waktu untuk hidup dalam hitungan detik — Jumlah waktu yang disarankan untuk penyelesai DNS atau browser web untuk menyimpan catatan penggantian dan menggunakannya sebagai respons terhadap kueri ini, jika diterima lagi. Secara default, ini adalah nol, dan catatan tidak di-cache.