DNS 방화벽의 규칙 동작

DNS 방화벽이 DNS 쿼리와 규칙의 도메인 사양 간에 일치하는 항목을 찾으면 규칙에 지정된 작업이 쿼리에 적용됩니다.

생성하는 각 규칙에서 다음 옵션 중 하나를 지정해야 합니다.

Allow - 쿼리 검사를 중지하고 쿼리가 통과하도록 허용합니다. DNS Firewall Advanced에는 사용할 수 없습니다.
Alert - 쿼리 검사를 중지하고, 쿼리를 통과하도록 허용하고, Route 53 VPC Resolver 로그에 쿼리에 대한 알림을 기록합니다.
Block - 쿼리 검사를 중단하고 의도한 대상으로 가는 것을 차단한 다음 Route 53 VPC Resolver 로그에 쿼리에 대한 차단 작업을 기록합니다.

다음에서 구성된 블록 응답으로 회신합니다.
- NODATA - 쿼리가 성공했지만 사용할 수 있는 응답이 없음을 나타내는 응답입니다.
- NXDOMAIN - 쿼리의 도메인 이름이 존재하지 않음을 나타내는 응답입니다.
- OVERRIDE - 응답에 사용자 지정 재정의를 제공합니다. 이 옵션은 다음과 같은 추가 설정이 필요합니다.
  - Record value - 쿼리에 대한 응답으로 다시 보낼 사용자 지정 DNS 레코드입니다.
  - Record type - DNS 레코드의 유형입니다. 이렇게 하면 레코드 값의 형식을 결정할 수 있습니다. 반드시 CNAME이여야 합니다.
  - Time to live in seconds - DNS 해석기 또는 웹 브라우저가 재정의 레코드를 캐싱하고 다시 수신되는 경우이 쿼리에 대한 응답으로 사용할 수 있는 권장 시간입니다. 기본적으로 0이며 레코드는 캐시되지 않습니다.

쿼리 로그 구성 및 내용에 대한 자세한 사항은 Resolver 쿼리 로깅 및 VPC Resolver 쿼리 로그에 표시되는 값 섹션을 참조하세요.

차단 규칙을 처음 만들 때 Alert로 설정된 작업으로 규칙을 구성하여 테스트할 수 있습니다. 그런 다음 규칙이 경고하는 쿼리 수를 확인하여 작업을 Block으로 설정한 경우 몇 개나 차단했는지 확인할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

DNS 방화벽의 규칙 설정

DNS 방화벽 규칙 그룹 및 규칙 관리