Route 53 Resolver DNS Firewall の使用を開始する - Amazon Route 53
Route 53 Resolver DNS ファイアウォールのウォールドガーデンの例 (walled garden)Route 53 Resolver DNS ファイアウォールブロックリストの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Route 53 Resolver DNS Firewall の使用を開始する

DNS Firewall コンソールには、DNS Firewall の開始方法を次の手順で説明するウィザードが含まれています。

  • 使用するルールセットごとにルールグループを作成します。

  • ルールごとに、調査するドメインリストを設定します。独自のドメインリストを作成し、 AWS マネージドドメインリストを使用できます。

  • 使用する VPC にルールグループを関連付けます。

Route 53 Resolver DNS ファイアウォールのウォールドガーデンの例 (walled garden)

このチュートリアルでは、信頼できるドメインのうち選択されたグループを除くすべてのドメインをブロックするルールグループを作成します。これは、クローズドプラットフォーム、またはウォールドガーデンアプローチと呼ばれます。

コンソールウィザードを使用して DNS Firewall ルールグループを設定するには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

    ナビゲーションペインで、[DNS ファイアウォール] を選択し、Amazon VPC コンソールの [ルールグループ] ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

    - または -

    にサインイン AWS マネジメントコンソール して を開きます。

    https://console.aws.amazon.com/vpc/ から、Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[DNS ファイアウォール] の下にある [ルールグループ] を選択します。

  3. ナビゲーションバーで、ルールグループのリージョンを選択します。

  4. [ルールグループ] ページで、[ルールグループの追加] を選択します。

  5. ルールグループ名に「WalledGardenExample」と入力します。

    [タグ] セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「Amazon Route 53 リソースのタグ付け」を参照してください。

  6. [ルールグループを追加] を選択します。

  7. WalledGardenExample の詳細ページで、[ルール] タブ、[ルールを追加] の順に選択します。

  8. [ルールの詳細] ペインで、ルール名に「 BlockAll」と入力します。

  9. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  10. [Choose or create a new domain list (新しいドメインリストを選択または作成)][Create new domain list (新しいドメインリストの作成)] を選択します。

  11. ドメインリスト名 を入力しAllDomains、Enter one domain per line テキストボックスにアスタリスク * を入力します。

  12. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  13. [アクション] については、[BLOCK] を選択し、送信するレスポンスをデフォルト設定の [NODATA] のままにしておきます。

  14. [ルールを追加] を選択してください。ルール BlockAll は、WalledGardenExample ページのルールタブに表示されます。

  15. [WalledGardenExample] ページで、[ルールを追加] を選択して、ルールグループに 2 番目のルールを追加します。

  16. [ルールの詳細] ペインで、ルール名に「 AllowSelectDomains」と入力します。

  17. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  18. [Choose or create a new domain list (新しいドメインリストの選択または作成)]で、[Create new domain list (新しいドメインリストの作成)]を選択します。

  19. ドメインリスト名に「ExampleDomains」と入力します。

  20. [1 行につき 1 つのドメインを入力] テキストボックスの最初の行に「example.com」、2 行目に「example.org」と入力します。

    注記

    ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.com のすべてのサブドメインを追加するには、*.example.com をリストに追加します。

  21. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  22. [アクション] については、[ALLOW] を選択します。

  23. [ルールを追加] を選択してください。ルールは両方とも、WalledGardenExample ページのルールタブに表示されます。

  24. [WalledGardenExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。この例では、最初に DNS Firewall でドメインの選択リストの DNS クエリを特定して許可し、残りのクエリをすべてブロックします。

    [AllowSelectDomains] の優先度が低くなるようにルールの優先度を調整します。

これで、特定のドメインクエリのみを許可するルールグループができました。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください。

Route 53 Resolver DNS ファイアウォールブロックリストの例

このチュートリアルでは、悪意があることが判明しているドメインをブロックするルールグループを作成します。ブロックされたリストのドメインに許可される DNS クエリタイプも追加します。このルールグループは、これ以外のアウトバウンド DNS リクエストはすべて許可します (Route 53 Resolver 経由)。

コンソールウィザードを使用して DNS ファイアウォールブロックリストを設定するには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

    ナビゲーションペインで、[DNS ファイアウォール] を選択し、Amazon VPC コンソールの [ルールグループ] ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

    - または -

    にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[DNS ファイアウォール] の下にある [ルールグループ] を選択します。

  3. ナビゲーションバーで、ルールグループのリージョンを選択します。

  4. [ルールグループ] ページで、[ルールグループの追加] を選択します。

  5. ルールグループ名に「BlockListExample」と入力します。

    [タグ] セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「Amazon Route 53 リソースのタグ付け」を参照してください。

  6. BlockListExample の詳細ページで、ルールタブを選択し、ルールを追加します

  7. [ルールの詳細] ペインで、ルール名に「 BlockList」と入力します。

  8. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  9. [Choose or create a new domain list (新しいドメインリストの選択または作成)]で、[Create new domain list (新しいドメインリストの作成)] を選択します。

  10. ドメインリスト名 MaliciousDomains を入力し、次にテキストボックスにブロックするドメインを入力します。例えば、 example.org。1 行に 1 つドメインを入力します。

    注記

    ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.org のすべてのサブドメインを追加するには、*.example.org をリストに追加します。

  11. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  12. アクションについては、BLOCK を選択し、送信するレスポンスをデフォルト設定の NODATA のままにしておきます。

  13. [ルールを追加] を選択してください。ルールが BlockListExample ページのルールタブに表示されます。

  14. [BlockedListExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。

    ルールの優先度を選択して、[ブロックリスト] の他のルールの前または後に評価されるようルールの優先度を調整します。ほとんどの場合、既知の悪意のあるドメインを最初にブロックしてください。つまり、これらに関連付けられているルールは、最も小さい優先順位番号にする必要があります。

  15. BlockList ドメインの MX レコードを許可するルールを追加するには、ルールタブの BlockedListExample の詳細ページで、ルールの追加を選択します。

  16. [ルールの詳細] ペインで、ルール名に「 BlockList-allowMX」と入力します。

  17. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加)] を選択します。

  18. [新しいドメインリストを選択または作成] で、[ MaliciousDomains] を選択します。

  19. [ドメインリダイレクト設定] では、デフォルトを受け入れます。

  20. [DNS クエリタイプ] リストで、[MX: メールサーバーを指定する] を選択します。

  21. アクションについては、[ALLOW] を選択します。

  22. [ルールを追加] を選択してください。

  23. [BlockedListExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。

    ルールの優先度を選択して、[BlockList-allowMX] は、他のルールの前または後に評価されるようルールの優先度を調整します。MX クエリを許可するため、[BlockList -allowMX] ルールが [ブラックリスト] よりも優先度が低いことを確認してください。

これで、特定の悪意のあるドメインクエリをブロックするルールグループができましたが、特定の DNS クエリタイプが許可されます。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください。