ファイアウォールルールの作成と表示 DNS Firewall のルール設定 DNS Firewall でのルールアクション

DNS Firewall ルールの設定と管理

ファイアウォールルールの作成と表示

ファイアウォールルールはRoute 53 Global Resolver がドメインリスト、マネージドドメインリスト、コンテンツカテゴリ、または高度な脅威保護に基づいて DNS クエリを処理する方法を定義します。各ルールは、優先度、ターゲットドメイン、実行するアクションを指定します。

ルールの優先度に関するベストプラクティス:

優先度の高い許可ルール (信頼されたドメイン) に優先度 100～999 を使用する
ブロックルール (既知の脅威) に優先度 1000-4999 を使用する
アラートルールに優先度 5000-9999 を使用する (モニタリングと分析)
将来のルール挿入を可能にするために優先順位の間にギャップを残す

DNS Firewall ルールを作成するには

Route 53 Global Resolver コンソールで、DNS ビューに移動します。
ファイアウォールルールタブを選択します。
ファイアウォールルールの作成 を選択します。
ルールの詳細セクションで、次の操作を行います。
1. ルール名には、ルールのわかりやすい名前 (最大 128 文字) を入力します。
2. (オプション) ルールの説明には、ルールの説明を入力します (最大 255 文字）。
ルール設定セクションで、ルール設定タイプを選択します。
- カスタマーマネージドドメインリスト - 作成して管理するドメインリストを使用する
- AWS マネージドドメインリスト - 利用できる Amazon が提供するドメインリストを使用します。
- DNS Firewall Advanced Protections - マネージド保護の範囲から選択し、信頼度しきい値を指定します。
ルールアクションで、ルールが一致するときに実行するアクションを選択します。
- 許可 - DNS クエリが解決されました
- アラート - DNS クエリを許可しますが、アラートを作成します
- ブロック - DNS クエリがブロックされます
ファイアウォールルールの作成 を選択します。

割り当てられたルールを表示するには、次の手順に従います。ルールとルール設定を更新することもできます。

ルールを表示および更新するには

Route 53 Global Resolver コンソールで、DNS ビューに移動します。
DNS ファイアウォールルールタブを選択します。
表示または編集するルールを選択し、編集を選択します。
ルールページで、設定を表示および編集できます。

ルールの値の詳細については、「DNS Firewall のルール設定」を参照してください。

ルールを削除するには

Route 53 Global Resolver コンソールで、DNS ビューに移動します。
DNS ファイアウォールルールタブを選択します。
削除するルールを選択し、削除を選択して削除を確定します。

DNS Firewall のルール設定

DNS ビューで DNS ファイアウォールルールを作成または編集するときは、次の値を指定します。

名前

DNS ビューのルールの一意の識別子。

(オプション) 説明

ルールの詳細についての簡単な説明。

ドメインリスト

ルールが調査するドメインのリスト。独自のドメインリストを作成および管理することも、が AWS 管理するドメインリストにサブスクライブすることもできます。

ルールには、ドメインリストまたは DNS Firewall Advanced 保護を含めることができますが、両方を含めることはできません。

クエリタイプ (ドメインリストのみ)

ルールが検査する DNS クエリタイプのリスト。有効な値を次に示します。

A: IPv4 アドレスを返します。
AAAA: Ipv6 アドレスを返します。
CAA: ドメインの SSL/TLS 証明書を作成できる CA を制限します。
CNAME: 別のドメイン名を返します。
DS: 委任ゾーンの DNSSEC 署名キーを識別するレコード。
MX: メールサーバーを指定します。
NAPTR: ドメイン名の正規表現ベースの書き換え。
NS: 権威ネームサーバー。
PTR: IP アドレスをドメイン名にマッピングします。
SOA: ゾーンの管理情報の始点レコード。
SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。
SRV: サーバーを識別するアプリケーション固有の値。
TXT: E メール送信者とアプリケーション固有の値を検証します。

DNS タイプ ID を使用して定義するクエリタイプ (例えば、AAAA の場合は 28)。値は TYPE として定義する必要があります。ここでNUMBER、は 1～65334、たとえば TYPE28 NUMBERです。詳細については、「DNS レコードタイプの一覧」を参照してください。

ルールごとに 1 つのクエリタイプを作成できます。

DNS Firewall Advanced 保護

DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。保護は、以下から選択できます。

ドメイン生成アルゴリズム (DGAs)

DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
DNS トンネリング

DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。

詳細については、「DNS Firewall Advanced Protections」を参照してください。

ルールには、DNS Firewall Advanced 保護またはドメインリストを含めることができますが、両方を含めることはできません。

信頼度のしきい値 (DNS Firewall Advanced のみ)。

DNS Firewall Advanced の信頼度のしきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。

高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。
中 − 脅威の検出と誤検出のバランスが取れています。
低 − 脅威の検出率が最も高いが、誤検出も増加します。

詳細については、「DNS Firewall のルール設定」を参照してください。

Action

DNS Firewall で、ルールのドメインリストの仕様と一致するドメイン名を持つ DNS クエリを処理する方法詳細については、「DNS Firewall でのルールアクション」を参照してください。

優先度

処理順序を決定する DNS ビュー内のルールの一意の正の整数設定。DNS Firewall は、DNS ビューのルールに対して DNS クエリを検査します。優先順位は数値が最も低い設定から順に上がります。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。

DNS Firewall でのルールアクション

DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。

作成する各ルールで、次のオプションのいずれかを指定する必要があります：

許可 – クエリの検査を停止し、実行を許可します。DNS Firewall Advanced では使用できません。
アラート – クエリの検査を停止し、通過を許可して、Route 53 Resolver ログにクエリのアラートを記録します。
ブロック – クエリの検査を中止し、目的の宛先へのクエリのブロックアクションを Route 53 Resolver ログに記録します。

次のように、設定されたブロックレスポンスで応答します。
- NODATA – クエリが成功したが、応答がないことを示す応答。
- NXDOMAIN – クエリのドメイン名が存在しないことを示す応答。
- OVERRIDE – レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
  - レコード値 – クエリに応答して返すカスタム DNS レコード。
  - レコードタイプ – DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、CNAME である必要があります。
  - 秒単位の存続時間 – DNS リゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリに応答してそれを使用するのに推奨される時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

DNS の保護

マネージドドメインリスト