翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DNS Firewall でのルールアクション
DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。
作成する各ルールで、次のオプションのいずれかを指定する必要があります:
-
Allow – クエリの検査を停止し、クエリの実行を許可します。DNS Firewall Advanced では使用できません。
-
Alert – クエリの検査を停止し、通過を許可して、Route 53 Resolver ログにクエリのアラートを記録します。
-
Block – クエリの検査を中止し、目的の宛先へのクエリのブロックアクションを Route 53 Resolver ログに記録します。
次のように、設定されたブロックレスポンスで応答します。
-
NODATA – クエリが成功したが、応答が利用できないことを示す応答。
-
NXDOMAIN – クエリのドメイン名が存在しないことを示す応答。
-
OVERRIDE – レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
-
Record value – クエリに応答して返送するカスタム DNS レコード。
-
Record type – DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、
CNAMEである必要があります。 -
Time to live in seconds – DNS リゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリへの応答に使用するのに推奨される時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。
-
-
クエリログの設定と内容の詳細については、「リゾルバーでのクエリのログ記録」および「Resolver クエリログに表示される値」を参照してください。
Alert を使用してブロックルールをテストする
ブロックルールを初めて作成する際は、アクションを Alert に設定して、ブロックルールをテストします。次に、ルールが警告するクエリの数を調べて、アクションを Block に設定した場合にブロックされるクエリの数を確認します。
