Perlindungan tingkat lanjut DNS Firewall - Amazon Route 53
Mengurangi skenario positif palsu

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan tingkat lanjut DNS Firewall

DNS Firewall Advanced mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Anda dapat menentukan jenis ancaman dalam aturan yang Anda gunakan dalam aturan DNS Firewall, yang terkait dengan Tampilan DNS.

DNS Firewall Advanced bekerja dengan mengidentifikasi tanda tangan ancaman DNS yang mencurigakan dengan memeriksa berbagai pengidentifikasi kunci dalam muatan DNS termasuk stempel waktu permintaan, frekuensi permintaan dan tanggapan, string kueri DNS, dan panjang, jenis atau ukuran kueri DNS keluar dan masuk. Berdasarkan jenis tanda tangan ancaman, Anda dapat mengonfigurasi kebijakan untuk memblokir, atau cukup log dan peringatan pada kueri. Dengan menggunakan serangkaian pengidentifikasi ancaman yang diperluas, Anda dapat melindungi terhadap ancaman DNS dari sumber domain yang mungkin belum diklasifikasikan oleh umpan intelijen ancaman yang dikelola oleh komunitas keamanan yang lebih luas.

Saat ini, DNS Firewall Advanced menawarkan perlindungan dari:

  • Algoritma Pembuatan Domain () DGAs

    DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.

  • Terowongan DNS

    Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.

Untuk mempelajari cara membuat aturan, lihatKonfigurasikan dan kelola aturan DNS Firewall.

Mengurangi skenario positif palsu

Jika Anda menghadapi skenario positif palsu dalam aturan yang menggunakan perlindungan DNS Firewall Advanced untuk memblokir kueri, lakukan langkah-langkah berikut:

  1. Dalam log Global Resolver, identifikasi aturan dan perlindungan DNS Firewall Advanced yang menyebabkan false positive. Anda melakukan ini dengan menemukan log untuk kueri yang diblokir oleh DNS Firewall, tetapi yang ingin Anda izinkan. Catatan log mencantumkan Tampilan DNS, aturan, tindakan aturan, dan perlindungan DNS Firewall Advanced.

  2. Buat aturan baru di Tampilan DNS yang secara eksplisit memungkinkan kueri yang diblokir. Saat Anda membuat aturan, Anda dapat menentukan daftar domain Anda sendiri hanya dengan spesifikasi domain yang ingin Anda izinkan. Ikuti panduan untuk manajemen aturan diKonfigurasikan dan kelola aturan DNS Firewall.

  3. Prioritaskan aturan baru di dalam aturan sehingga berjalan sebelum aturan yang menggunakan daftar terkelola. Untuk melakukan ini, berikan aturan baru pengaturan prioritas numerik yang lebih rendah.

Ketika Anda telah memperbarui aturan Anda, aturan baru akan secara eksplisit mengizinkan nama domain yang ingin Anda izinkan sebelum aturan pemblokiran berjalan.