Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Grup aturan dan aturan DNS Firewall
<a name="resolver-dns-firewall-rule-groups"></a>

Bagian ini menjelaskan pengaturan yang dapat Anda konfigurasikan untuk grup dan aturan aturan DNS Firewall Anda, untuk menentukan perilaku DNS Firewall untuk Anda. VPCs Ini juga menjelaskan cara mengelola pengaturan untuk grup dan aturan aturan Anda. 

Saat Anda memiliki grup aturan yang dikonfigurasi seperti yang Anda inginkan, Anda menggunakannya secara langsung dan Anda dapat berbagi serta mengelolanya antar akun dan di seluruh organisasi Anda di AWS Organizations.
+ Anda dapat mengaitkan grup aturan dengan beberapa VPCs, untuk memberikan perilaku yang konsisten di seluruh organisasi Anda. Untuk informasi, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Anda dapat berbagi grup aturan di antara akun, untuk manajemen kueri DNS yang konsisten di seluruh organisasi Anda. Untuk informasi, lihat [Berbagi grup aturan DNS Firewall Resolver antar akun AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Anda dapat menggunakan grup aturan di seluruh organisasi Anda AWS Organizations dengan mengelolanya dalam AWS Firewall Manager kebijakan. Untuk informasi tentang Firewall Manager, lihat [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)di *AWS WAF, AWS Firewall Manager, dan Panduan AWS Shield Advanced Pengembang*.

# Pengaturan grup aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Saat Anda membuat atau mengedit grup aturan DNS Firewall, Anda menentukan nilai berikut:

**Nama**  
Nama unik yang memudahkan Anda menemukan grup aturan di dasbor.

**Deskripsi (Opsional)**  
Deskripsi singkat yang memberikan lebih banyak konteks untuk grup aturan. 

**Region**  
 AWS Wilayah yang Anda pilih saat Anda membuat grup aturan. Grup aturan yang Anda buat di satu Wilayah hanya tersedia di Wilayah itu. Untuk menggunakan grup aturan yang sama di lebih dari satu Wilayah, Anda harus membuatnya di setiap Wilayah.

**Aturan**  
Perilaku pemfilteran grup aturan terkandung dalam aturannya. Untuk informasi, lihat bagian berikut.

**Tag**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.  
Ini adalah tag yang AWS Manajemen Penagihan dan Biaya menyediakan untuk mengatur AWS tagihan Anda. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Gunakan Tanda Alokasi Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.

# Pengaturan aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Saat Anda membuat atau mengedit aturan di grup aturan DNS Firewall, Anda menentukan nilai berikut:

**Nama**  
Pengidentifikasi unik untuk aturan dalam grup aturan.

**Deskripsi (Opsional)**  
Deskripsi singkat yang memberikan informasi lebih lanjut tentang aturan. 

**Daftar domain**  
Daftar domain yang diperiksa oleh aturan. Anda dapat membuat dan mengelola daftar domain Anda sendiri atau Anda dapat berlangganan daftar domain yang dikelola AWS untuk Anda. Untuk informasi selengkapnya, lihat [Daftar domain DNS Firewall Resolver](resolver-dns-firewall-domain-lists.md).   
Aturan dapat berisi eter daftar domain atau perlindungan DNS Firewall Advanced, tetapi tidak keduanya.

**Pengaturan pengalihan domain (hanya daftar domain)**  
Anda dapat memilih aturan DNS Firewall untuk memeriksa hanya domain pertama atau semua (default) domain dalam rantai pengalihan DNS, seperti CNAME, DNAME, dll. Jika Anda memilih untuk memeriksa semua domain, Anda harus menambahkan domain berikutnya dalam rantai pengalihan DNS ke daftar domain dan mengatur ke tindakan yang Anda ingin aturan untuk mengambil, baik ALLOW, BLOCK, atau ALERT. Untuk informasi selengkapnya, lihat [Resolver DNS Firewall komponen dan pengaturan](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
Perilaku kepercayaan dari pengaturan pengalihan domain hanya berlaku dalam satu transaksi kueri DNS. Jika klien DNS di host Anda secara terpisah menanyakan domain yang muncul dalam rantai pengalihan DNS (misalnya, menanyakan target pengalihan secara langsung), DNS Firewall mengevaluasinya sebagai kueri independen tanpa konteks kepercayaan dari kueri asli. Untuk mengizinkan kueri tersebut, tambahkan domain target pengalihan ke daftar domain Anda.

**Jenis kueri (hanya daftar domain)**  
Daftar jenis kueri DNS yang diperiksa aturan. Berikut ini adalah nilai yang valid:  
+  A: Mengembalikan IPv4 alamat.
+ AAAA: Mengembalikan alamat Ipv6.
+ CAA: Membatasi CAs yang dapat membuat SSL/TLS sertifikasi untuk domain.
+ CNAME: Mengembalikan nama domain lain.
+ DS: Rekam yang mengidentifikasi kunci penandatanganan DNSSEC dari zona yang didelegasikan.
+ MX: Menentukan server email.
+ NAPTR: Regular-expression-based menulis ulang nama domain.
+ NS: Server nama otoritatif.
+ PTR: Memetakan alamat IP ke nama domain.
+ SOA: Mulai dari catatan otoritas untuk zona tersebut.
+ SPF: Daftar server yang berwenang untuk mengirim email dari domain.
+ SRV: Nilai spesifik aplikasi yang mengidentifikasi server.
+ TXT: Memverifikasi pengirim email dan nilai khusus aplikasi.
+ Jenis kueri yang Anda tentukan dengan menggunakan ID tipe DNS, misalnya 28 untuk AAAA. Nilai harus didefinisikan sebagai TYPE* NUMBER*, di mana *NUMBER* bisa 1-65334, misalnya,. TYPE28 Untuk informasi selengkapnya, lihat [Daftar jenis rekaman DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Anda dapat membuat satu jenis kueri per aturan.
**catatan**  
Jika Anda mengatur aturan BLOCK firewall dengan tindakan NXDOMAIN pada jenis kueri sama dengan AAAA, tindakan ini tidak akan diterapkan ke IPv6 alamat sintetis yang dihasilkan saat diaktifkan. DNS64 

**DNS Firewall Perlindungan tingkat lanjut**  
Mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Anda dapat memilih perlindungan dari:  
+ Algoritma Pembuatan Domain () DGAs

  DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.
+ Terowongan DNS

  Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.
+ Kamus DGA

  Kamus DGAs digunakan oleh penyerang untuk menghasilkan domain menggunakan kata-kata kamus untuk menghindari deteksi dalam komunikasi malware. command-and-control 
Dalam aturan DNS Firewall Advanced, Anda dapat memilih untuk memblokir, atau memberi peringatan pada kueri yang cocok dengan ancaman.   
Untuk informasi lebih lanjut, lihat Untuk informasi lebih lanjut, lihat [Resolver DNS Firewall Lanjutan](firewall-advanced.md).   
Aturan dapat berisi eter perlindungan DNS Firewall Advanced atau daftar domain, tetapi tidak keduanya.

**Ambang kepercayaan (DNS Firewall Advanced saja)**  
Ambang batas kepercayaan untuk DNS Firewall Advanced. Nilai ini harus diisi saat membuat aturan DNS Firewall Advanced. Nilai tingkat kepercayaan berarti:  
+ Tinggi – Hanya mendeteksi ancaman yang telah dikonfirmasi dengan tingkat false positive yang rendah.
+ Sedang – Menyediakan keseimbangan antara deteksi ancaman dan false positive.
+ Rendah – Memberikan tingkat deteksi tertinggi untuk ancaman, tetapi juga meningkatkan false positive.
Untuk informasi selengkapnya, lihat [Pengaturan aturan di DNS Firewall](#resolver-dns-firewall-rule-settings). 

**Tindakan**  
Bagaimana Anda ingin DNS Firewall menangani kueri DNS yang nama domainnya cocok dengan spesifikasi dalam daftar domain aturan. Untuk informasi selengkapnya, lihat [Aturan tindakan di DNS Firewall](resolver-dns-firewall-rule-actions.md). 

**Prioritas**  
Setelan bilangan bulat positif unik untuk aturan dalam grup aturan yang menentukan urutan pemrosesan. DNS Firewall memeriksa kueri DNS terhadap aturan dalam grup aturan dimulai dengan pengaturan prioritas numerik terendah dan naik. Anda dapat mengubah prioritas aturan kapan saja, misalnya mengubah urutan pemrosesan atau memberi ruang untuk aturan lain. 

# Aturan tindakan di DNS Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Saat DNS Firewall menemukan kecocokan antara kueri DNS dan spesifikasi domain dalam aturan, hal ini menerapkan tindakan yang ditentukan dalam aturan ke kueri. 

Anda harus menentukan salah satu opsi berikut di setiap aturan yang Anda buat: 
+ **Allow**— Berhenti memeriksa kueri dan membiarkannya masuk. Tidak tersedia untuk DNS Firewall Advanced.
+ **Alert**— Berhenti memeriksa kueri, izinkan untuk melewati, dan catat peringatan untuk kueri di log Resolver VPC Route 53. 
+ **Block**— Hentikan pemeriksaan kueri, blokir agar tidak pergi ke tujuan yang dimaksudkan, dan catat tindakan blok untuk kueri di log Resolver VPC Route 53. 

  Balas dengan respons blok yang dikonfigurasi, dari berikut ini: 
  + **NODATA**— Menanggapi yang menunjukkan bahwa kueri berhasil, tetapi tidak ada respons yang tersedia untuk itu.
  + **NXDOMAIN**— Menanggapi yang menunjukkan bahwa nama domain kueri tidak ada.
  + **OVERRIDE**— Berikan penggantian khusus dalam respons. Opsi ini memerlukan pengaturan tambahan sebagai berikut: 
    + **Record value**— Catatan DNS khusus untuk dikirim kembali sebagai respons terhadap kueri. 
    + **Record type**— Jenis catatan DNS. Ini akan menentukan format nilai catatan. Ini harus `CNAME`.
    + **Time to live in seconds**— Jumlah waktu yang disarankan untuk resolver DNS atau browser web untuk menyimpan catatan override dan menggunakannya sebagai respons terhadap kueri ini, jika diterima lagi. Secara default, ini adalah nol, dan catatan tidak di-cache.

Untuk informasi selengkapnya tentang konfigurasi log kueri dan konten, lihat [Pencatatan kueri penyelesai](resolver-query-logs.md) dan [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md). 

**Gunakan Alert untuk menguji aturan pemblokiran**  
Saat pertama kali membuat aturan pemblokiran, Anda dapat mengujinya dengan mengonfigurasinya dengan tindakan yang disetel ke Alert. Anda kemudian dapat melihat jumlah kueri yang diperingatkan aturan untuk melihat berapa banyak yang akan diblokir jika Anda menyetel tindakan ke Block. 

# Mengelola grup aturan dan aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-group-managing"></a>

Untuk mengelola grup aturan dan aturan di konsol, ikuti panduan di bagian ini.

Saat Anda membuat perubahan pada entitas DNS Firewall, seperti aturan dan daftar domain, DNS Firewall menyebarkan perubahan di mana pun entitas tersebut disimpan dan digunakan. Perubahan Anda diterapkan dalam hitungan detik, tetapi mungkin ada periode inkonsistensi singkat saat perubahan telah tiba di beberapa tempat dan tidak di tempat lain. Jadi, misalnya, jika Anda menambahkan domain ke daftar domain yang direferensikan oleh aturan pemblokiran, domain baru mungkin diblokir sebentar di satu area VPC Anda sementara masih diizinkan di area lain. Inkonsistensi sementara ini dapat terjadi saat Anda pertama kali mengonfigurasi asosiasi grup aturan dan VPC, serta saat Anda mengubah setelan yang ada. Umumnya, inkonsistensi jenis ini hanya bertahan beberapa detik.

# Membuat grup aturan dan aturan
<a name="resolver-dns-firewall-rule-group-adding"></a>

Untuk membuat grup aturan dan menambahkan aturan ke dalamnya, ikuti langkah-langkah dalam prosedur ini.

**Untuk membuat grup aturan dan aturannya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih **Add rule group** (Tambahkan grup aturan), lalu ikuti panduan wizard untuk menentukan grup aturan dan pengaturan aturan Anda.

   Untuk informasi tentang nilai untuk grup aturan, lihat [Pengaturan grup aturan di DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Untuk informasi tentang nilai aturan, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Melihat dan memperbarui grup aturan dan aturan
<a name="resolver-dns-firewall-rule-group-editing"></a>

Gunakan prosedur berikut untuk melihat grup aturan dan aturan yang ditetapkan untuk mereka. Anda juga dapat memperbarui grup aturan dan pengaturan aturan.

**Untuk melihat dan memperbarui grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih grup aturan yang ingin Anda lihat atau edit, lalu pilih **Lihat detail**. 

1. Di halaman grup aturan, Anda dapat melihat dan mengedit pengaturan.

   Untuk informasi tentang nilai untuk grup aturan, lihat [Pengaturan grup aturan di DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Untuk informasi tentang nilai aturan, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Menghapus grup aturann
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Untuk menghapus grup aturan, lakukan prosedur berikut.

**penting**  
Jika Anda menghapus grup aturan yang terkait dengan VPC, DNS Firewall akan menghapus asosiasi dan menghentikan perlindungan yang diberikan grup aturan ke VPC. 

**Menghapus entitas DNS Firewall**  
Saat Anda menghapus entitas yang dapat Anda gunakan di DNS Firewall, seperti daftar domain yang mungkin digunakan dalam grup aturan, atau grup aturan yang mungkin terkait dengan VPC, DNS Firewall akan memeriksa untuk melihat apakah entitas saat ini sedang digunakan. Jika entitas sedang digunakan, DNS Firewall akan memperingatkan Anda. DNS Firewall hampir selalu dapat menentukan apakah entitas sedang digunakan. Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di konfigurasi DNS Firewall Anda sebelum menghapusnya. Jika entitas adalah daftar domain yang direferensikan, periksa apakah tidak ada grup aturan yang menggunakannya. Jika entitas adalah grup aturan, periksa apakah entitas tersebut tidak terkait dengan apa pun VPCs.

**Untuk menghapus grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih grup aturan yang ingin Anda hapus, lalu pilih **Hapus**, dan konfirmasikan penghapusan.