Configura e gestisci le regole del firewall DNS - Amazon Route 53
Creazione e visualizzazione delle regole del firewallImpostazioni delle regole in DNS FirewallOperazioni delle regole in DNS Firewall

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura e gestisci le regole del firewall DNS

Creazione e visualizzazione delle regole del firewall

Le regole del firewall definiscono il modo in cui Route 53 Global Resolver gestisce le query DNS in base a elenchi di domini, elenchi di domini gestiti, categorie di contenuti o protezione avanzata dalle minacce. Ogni regola specifica una priorità, i domini di destinazione e un'azione da intraprendere.

Procedure consigliate per la priorità delle regole:

  • Utilizza la priorità 100-999 per le regole di autorizzazione ad alta priorità (domini affidabili)

  • Usa la priorità 1000-4999 per le regole di blocco (minacce note)

  • Usa la priorità 5000-9999 per le regole di avviso (monitoraggio e analisi)

  • Lascia degli spazi tra le priorità per consentire l'inserimento di regole future

Per creare una regola DNS Firewall

  1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.

  2. Scegli la scheda Regole del firewall.

  3. Scegli Crea regola firewall.

  4. Nella sezione Dettagli della regola:

    1. Per Nome regola, inserisci un nome descrittivo per la regola (fino a 128 caratteri).

    2. (Facoltativo) Per Descrizione della regola, inserisci una descrizione per la regola (fino a 255 caratteri).

  5. Nella sezione Configurazione delle regole, scegli il tipo di configurazione della regola:

    • Elenchi di domini gestiti dal cliente: utilizza un elenco di domini creato e gestito dall'utente

    • AWS elenchi di domini gestiti: utilizza elenchi di domini forniti da Amazon che puoi utilizzare

    • Protezioni DNS Firewall Advanced: scegli tra una gamma di protezioni gestite e specifica una soglia di confidenza

  6. In Rule action, scegli l'azione da intraprendere quando la regola corrisponde:

    • Consenti: la query DNS è stata risolta

    • Avviso: consente la query DNS ma crea un avviso

    • Blocca: la query DNS è bloccata

  7. Scegli Crea regola firewall.

Utilizzate la seguente procedura per visualizzare le regole loro assegnate. È inoltre possibile aggiornare la regola e le impostazioni delle regole.

Per visualizzare e aggiornare una regola

  1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.

  2. Scegli la scheda Regole DNS Firewall.

  3. Scegli la regola che desideri visualizzare o modificare e scegli Modifica.

  4. Nella pagina Regola, puoi visualizzare e modificare le impostazioni.

Per informazioni sui valori per le regole, consulta Impostazioni delle regole in DNS Firewall.

Come eliminare una regola

  1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.

  2. Scegli la scheda Regole DNS Firewall.

  3. Scegli la regola che desideri eliminare, quindi scegli Elimina e conferma l'eliminazione.

Impostazioni delle regole in DNS Firewall

Quando crei o modifichi una regola del firewall DNS nella visualizzazione DNS, specifichi i seguenti valori:

Name

Un identificatore univoco per la regola nella vista DNS.

(Facoltativo) Descrizione

Una breve descrizione che fornisce ulteriori informazioni sulla regola.

Elenco di domini

L'elenco dei domini controllati dalla regola. Puoi creare e gestire il tuo elenco di domini oppure puoi iscriverti a un elenco di domini che AWS gestisca per te.

Una regola può contenere un elenco di domini o una protezione DNS Firewall Advanced, ma non entrambe.

Tipo di query (solo elenchi di domini)

L'elenco dei tipi di query DNS esaminati dalla regola. Di seguito sono riportati i valori validi:

  • R: Restituisce un IPv4 indirizzo.

  • AAAA: restituisce un indirizzo Ipv6.

  • CAA: limita CAs chi può creare SSL/TLS certificazioni per il dominio.

  • CNAME: restituisce un altro nome di dominio.

  • DS: record che identifica la chiave di firma DNSSEC di una zona delegata.

  • MX: specifica i server di posta.

  • NAPTR: Regular-expression-based riscrittura dei nomi di dominio.

  • NS: server di nomi autorevoli.

  • PTR: associa un indirizzo IP a un nome di dominio.

  • SOA: inizio del record di autorità per la zona.

  • SPF: elenca i server autorizzati a inviare e-mail da un dominio.

  • SRV: valori specifici dell'applicazione che identificano i server.

  • TXT: verifica i mittenti di posta elettronica e i valori specifici dell'applicazione.

Un tipo di query definito utilizzando l'ID del tipo DNS, ad esempio 28 per AAAA. I valori devono essere definiti come TYPENUMBER, dove ad esempio NUMBER può essere 1-65334. TYPE28 Per ulteriori informazioni, vedere Elenco dei tipi di record DNS.

È possibile creare un tipo di query per regola.

Protezione DNS Firewall Advanced

Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Puoi scegliere la protezione tra:

  • Algoritmi di generazione di domini () DGAs

    DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.

  • tunneling DNS

    Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.

In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia.

Per ulteriori informazioni, consulta le protezioni DNS Firewall Advanced.

Una regola può contenere una protezione DNS Firewall Advanced o un elenco di domini, ma non entrambi.

Soglia di confidenza (solo DNS Firewall Advanced)

La soglia di confidenza per DNS Firewall Advanced. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:

  • Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.

  • Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.

  • Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.

Per ulteriori informazioni, consulta Impostazioni delle regole in DNS Firewall.

Azione

Come si desidera che DNS Firewall gestisca una query DNS il cui nome di dominio corrisponde alle specifiche nell'elenco dei domini della regola. Per ulteriori informazioni, consulta Operazioni delle regole in DNS Firewall.

Priorità

Impostazione unica di numeri interi positivi per la regola all'interno di DNS View che determina l'ordine di elaborazione. DNS Firewall esamina le query DNS in base alle regole in una visualizzazione DNS, iniziando con l'impostazione della priorità numerica più bassa e aumentando. È possibile modificare la priorità di una regola in qualsiasi momento, ad esempio per modificare l'ordine di elaborazione o creare spazio per altre regole.

Operazioni delle regole in DNS Firewall

Quando DNS Firewall trova una corrispondenza tra una query DNS e una specifica di dominio in una regola, applica l'operazione specificata nella regola alla query.

Sarà necessario specificare una delle seguenti opzioni in ogni regola creata:

  • Consenti: interrompi l'ispezione della query e consenti che venga eseguita. Non disponibile per DNS Firewall Advanced.

  • Avviso: interrompi l'ispezione della query, consenti che venga eseguita e registra un avviso per la query nei log di Route 53 Resolver.

  • Blocca: interrompe l'ispezione della query, impedisce che raggiunga la destinazione prevista e registra l'azione di blocco per la query nei log di Route 53 Resolver.

    Rispondi con la risposta di blocco configurata, da quanto segue:

    • NODATA: risponde indicando che la query ha avuto esito positivo, ma non è disponibile alcuna risposta.

    • NXDOMAIN: risponde indicando che il nome di dominio della query non esiste.

    • OVERRIDE: fornisce un override personalizzato nella risposta. Questa opzione richiede le seguenti impostazioni aggiuntive:

      • Valore del record: il record DNS personalizzato da inviare in risposta alla query.

      • Tipo di record: il tipo di record DNS. Ciò determina il formato del valore del record. Deve essere CNAME.

      • Tempo di vita in secondi: il periodo di tempo consigliato al resolver DNS o al browser Web per memorizzare nella cache il record di override e utilizzarlo in risposta a questa richiesta, se viene ricevuto nuovamente. Per impostazione predefinita, questo è zero e il record non è memorizzato nella cache.