Route 53 Resolver DNS 방화벽 고급 - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 Resolver DNS 방화벽 고급

DNS Firewall Advanced는 DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 규칙 그룹 내에서 DNS 방화벽 규칙에 사용하는 규칙에서 위협 유형을 지정할 수 있습니다. 규칙 그룹을 VPC와 연결하면 DNS 방화벽은 DNS 쿼리를 규칙에 플래그가 지정된 도메인과 비교합니다. 일치하는 항목을 찾으면 일치 규칙의 작업에 따라 DNS 쿼리를 처리합니다.

DNS Firewall Advanced는 요청 타임스탬프, 요청 및 응답 빈도, DNS 쿼리 문자열, 아웃바운드 및 인바운드 DNS 쿼리의 길이, 유형 또는 크기를 포함하여 DNS 페이로드의 다양한 키 식별자를 검사하여 의심스러운 DNS 위협 서명을 식별하는 방식으로 작동합니다. 위협 서명 유형에 따라 정책을 구성하여 쿼리를 차단하거나 쿼리를 로깅하고 알릴 수 있습니다. 확장된 위협 식별자 세트를 사용하면 더 광범위한 보안 커뮤니티에서 유지 관리하는 위협 인텔리전스 피드로 아직 분류되지 않을 수 있는 도메인 소스의 DNS 위협으로부터 보호할 수 있습니다.

현재 DNS Firewall Advanced는 다음과 같은 보호 기능을 제공합니다.

  • 도메인 생성 알고리즘(DGAs)

    공격자는 DGAs 사용하여 많은 수의 도메인을 생성하여 맬웨어 공격을 시작합니다.

  • DNS 터널링

    DNS 터널링은 공격자가 클라이언트에 대한 네트워크 연결 없이 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.

규칙을 생성하는 방법을 알아보려면 규칙 그룹 및 규칙 생성 및 섹션을 참조하세요DNS 방화벽의 규칙 설정.

거짓 긍정 시나리오 완화

DNS Firewall Advanced 보호를 사용하여 쿼리를 차단하는 규칙에서 거짓 긍정 시나리오가 발생하는 경우 다음 단계를 수행합니다.

  1. 해석기 로그에서 거짓 긍정을 유발하는 규칙 그룹 및 DNS 방화벽 고급 보호를 식별합니다. 이렇게 하려면 DNS 방화벽이 차단하고 있지만 허용하려는 쿼리에 대한 로그를 찾습니다. 로그 레코드에는 규칙 그룹, 규칙 작업 및 DNS Firewall Advanced 보호가 나열됩니다. 로그에 대한 자세한 내용은 Resolver 쿼리 로그에 표시되는 값 섹션을 참조하세요.

  2. 차단된 쿼리를 명시적으로 허용하는 규칙 그룹에 새 규칙을 생성합니다. 규칙을 만들 때 허용하려는 도메인 사양만 사용하여 자체 도메인 목록을 정의할 수 있습니다. 규칙 그룹 및 규칙 생성에 있는 규칙 그룹 및 규칙 관리에 대한 지침을 따르세요.

  3. 관리형 목록을 사용하는 규칙보다 먼저 실행되도록 규칙 그룹 내에서 새 규칙의 우선 순위를 지정합니다. 이렇게 하려면 새 규칙에 더 낮은 숫자의 우선 순위 설정을 부여합니다.

규칙 그룹을 업데이트하면 새 규칙은 차단 규칙이 실행되기 전에 허용할 도메인 이름을 명시적으로 허용합니다.