방화벽 규칙 생성 및 보기 DNS 방화벽의 규칙 설정 DNS 방화벽의 규칙 동작

DNS 방화벽 규칙 구성 및 관리

방화벽 규칙 생성 및 보기

방화벽 규칙은 Route 53 Global Resolver가 도메인 목록, 관리형 도메인 목록, 콘텐츠 범주 또는 고급 위협 방지를 기반으로 DNS 쿼리를 처리하는 방법을 정의합니다. 각 규칙은 우선 순위, 대상 도메인 및 수행할 작업을 지정합니다.

규칙 우선 순위 모범 사례:

우선 순위가 높은 허용 규칙(신뢰할 수 있는 도메인)에는 우선 순위 100~999 사용
차단 규칙에 우선 순위 1000-4999 사용(알려진 위협)
알림 규칙에 우선순위 5000-9999 사용(모니터링 및 분석)
향후 규칙 삽입을 허용하기 위해 우선순위 사이에 간격을 둡니다.

DNS 방화벽 규칙을 생성하려면

Route 53 Global Resolver 콘솔에서 DNS 보기로 이동합니다.
방화벽 규칙 탭을 선택합니다.
방화벽 규칙 생성을 선택합니다.
규칙 세부 정보 섹션에서 다음을 수행합니다.
1. 규칙 이름에 규칙에 대한 설명이 포함된 이름(최대 128자)을 입력합니다.
2. (선택 사항) 규칙 설명에 규칙에 대한 설명을 입력합니다(최대 255자).
규칙 구성 섹션에서 규칙 구성 유형을 선택합니다.
- 고객 관리형 도메인 목록 - 생성 및 관리하는 도메인 목록 사용
- AWS 관리형 도메인 목록 - 활용할 수 있는 Amazon에서 제공하는 도메인 목록 사용
- DNS 방화벽 고급 보호 - 다양한 관리형 보호 중에서 선택하고 신뢰도 임계값을 지정합니다.
규칙 작업에서 규칙이 일치할 때 수행할 작업을 선택합니다.
- 허용 - DNS 쿼리가 해결되었습니다.
- 알림 - DNS 쿼리를 허용하지만 알림을 생성합니다.
- 차단 - DNS 쿼리가 차단됨
방화벽 규칙 생성을 선택합니다.

다음 절차에 따라 할당된 규칙을 확인합니다. 규칙 및 규칙 설정을 업데이트할 수도 있습니다.

규칙을 보고 업데이트하려면

Route 53 Global Resolver 콘솔에서 DNS 보기로 이동합니다.
DNS 방화벽 규칙 탭을 선택합니다.
보거나 편집할 규칙을 선택하고 편집을 선택합니다.
규칙 페이지에서 설정을 보고 편집할 수 있습니다.

전달 규칙의 값에 대한 자세한 내용은 DNS 방화벽의 규칙 설정을 참조하세요.

규칙 삭제

Route 53 Global Resolver 콘솔에서 DNS 보기로 이동합니다.
DNS 방화벽 규칙 탭을 선택합니다.
삭제할 규칙을 선택하고 삭제를 선택한 다음 삭제를 확인합니다.

DNS 방화벽의 규칙 설정

DNS 보기에서 DNS 방화벽 규칙을 생성하거나 편집할 때 다음 값을 지정합니다.

이름

DNS 보기의 규칙에 대한 고유 식별자입니다.

(선택 사항) 설명

규칙에 대한 자세한 정보를 제공하는 간단한 설명입니다.

도메인 목록

규칙이 검사하는 도메인 목록입니다. 자체 도메인 목록을 생성 및 관리하거나에서 AWS 관리하는 도메인 목록을 구독할 수 있습니다.

규칙에는 도메인 목록 또는 DNS Firewall Advanced 보호를 포함할 수 있지만 둘 다 포함할 수는 없습니다.

쿼리 유형(도메인 목록만 해당)

규칙이 검사하는 DNS 쿼리 유형의 목록입니다. 유효한 값은 다음과 같습니다.

A: IPv4 주소를 반환합니다.
AAAA: Ipv6 주소를 반환합니다.
CAA: 도메인에 대한 SSL/TLS 인증을 생성할 수 있는 CA를 제한합니다.
CNAME: 다른 도메인 이름을 반환합니다.
DS: 위임된 영역의 DNSSEC 서명 키를 식별하는 레코드입니다.
MX: 메일 서버를 지정합니다.
NAPTR: 정규 표현식을 기반으로 도메인 이름을 다시 작성합니다.
NS: 권한 이름 서버입니다.
PTR: IP 주소를 도메인 이름에 매핑합니다.
SOA: 해당 영역의 권한 레코드를 시작합니다.
SPF: 도메인에서 이메일을 보낼 권한이 있는 서버를 나열합니다.
SRV: 서버를 식별하는 애플리케이션별 값입니다.
TXT: 이메일 발신자와 애플리케이션별 값을 확인합니다.

AAAA의 경우 DNS 유형 ID(예: 28)를 사용하여 정의하는 쿼리 유형입니다. 값은 TYPE로 정의되어야 합니다. NUMBER여기서는 TYPE28과 같이 1~65334일 NUMBER 수 있습니다. 자세한 내용은 DNS 레코드 유형 목록을 참조하세요.

규칙당 하나의 쿼리 유형을 생성할 수 있습니다.

DNS Firewall Advanced 보호

DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 선택할 수 있는 보호는 다음과 같습니다.

도메인 생성 알고리즘(DGA)

DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.
DNS 터널링

DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.

DNS Firewall Advanced 규칙에서 위협과 일치하는 쿼리를 차단하거나 알리도록 선택할 수 있습니다.

자세한 내용은 DNS 방화벽 고급 보호를 참조하세요.

규칙에는 DNS Firewall Advanced 보호 또는 도메인 목록을 포함할 수 있지만 둘 다 포함할 수는 없습니다.

신뢰도 임계값(DNS Firewall Advanced만 해당)

DNS Firewall Advanced의 신뢰도 임계값입니다. DNS 방화벽 고급 규칙을 생성할 때 이 값을 제공해야 합니다. 신뢰 수준 값은 다음을 의미합니다.

높음 - 오탐지율이 낮고 가장 확실히 확인된 위협만 탐지합니다.
중간 - 위협 탐지와 오탐지 간의 균형을 제공합니다.
낮음 - 위협 탐지율이 가장 높지만 오탐지도 증가합니다.

자세한 내용은 DNS 방화벽의 규칙 설정을 참조하세요.

작업

도메인 이름이 규칙의 도메인 목록에 있는 사양과 일치하는 DNS 쿼리를 DNS 방화벽이 처리하도록 하는 방법입니다. 자세한 내용은 DNS 방화벽의 규칙 동작 단원을 참조하십시오.

우선순위

처리 순서를 결정하는 DNS 보기 내 규칙에 대한 고유한 양의 정수 설정입니다. DNS 방화벽은 가장 낮은 숫자 우선 순위 설정부터 시작하여 위로 이동하는 DNS 보기의 규칙에 대해 DNS 쿼리를 검사합니다. 처리 순서를 변경하거나 다른 규칙을 위한 공간을 확보하려면 언제든 규칙의 우선 순위를 변경할 수 있습니다.

DNS 방화벽의 규칙 동작

DNS 방화벽이 DNS 쿼리와 규칙의 도메인 사양 간에 일치하는 항목을 찾으면 규칙에 지정된 작업이 쿼리에 적용됩니다.

생성하는 각 규칙에서 다음 옵션 중 하나를 지정해야 합니다.

허용 - 쿼리 검사를 중지하고 쿼리가 통과하도록 허용합니다. DNS Firewall Advanced에는 사용할 수 없습니다.
알림 - 쿼리 검사를 중지하고, 쿼리를 통과하도록 허용하고, Route 53 Resolver 로그에 쿼리에 대한 알림을 기록합니다.
차단 - 쿼리 검사를 중단하고, 의도한 대상으로 가는 것을 차단하고, Route 53 Resolver 로그에 쿼리에 대한 차단 작업을 기록합니다.

다음에서 구성된 블록 응답으로 회신합니다.
- NODATA - 쿼리가 성공했지만 사용할 수 있는 응답이 없음을 나타내는 응답입니다.
- NXDOMAIN - 쿼리의 도메인 이름이 존재하지 않음을 나타내는 응답입니다.
- 재정의 - 응답에 사용자 지정 재정의를 제공합니다. 이 옵션은 다음과 같은 추가 설정이 필요합니다.
  - 레코드 값 - 쿼리에 대한 응답으로 다시 보낼 사용자 지정 DNS 레코드입니다.
  - 레코드 유형 - DNS 레코드의 유형입니다. 이렇게 하면 레코드 값의 형식을 결정할 수 있습니다. 반드시 CNAME이여야 합니다.
  - 초 단위의 시간 - DNS 해석기 또는 웹 브라우저가 재정의 레코드를 캐싱하고 다시 수신되는 경우이 쿼리에 대한 응답으로 사용하는 데 권장되는 시간입니다. 기본적으로 0이며 레코드는 캐시되지 않습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

DNS 보안

관리형 도메인 목록