기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# DNS 방화벽 규칙 그룹 및 규칙
<a name="resolver-dns-firewall-rule-groups"></a>

이 섹션에서는 VPC의 DNS 방화벽 동작을 정의하기 위해 구성할 수 있는 DNS 방화벽 규칙 그룹 및 규칙의 설정을 설명합니다. 또한 규칙 그룹 및 규칙의 설정을 관리하는 방법에 대해서도 설명합니다.

규칙 그룹을 원하는 방식으로 구성한 경우 규칙 그룹을 직접 사용하고, 계정 간 및 AWS Organizations의 조직 간에 규칙 그룹을 공유하고 관리할 수 있습니다.
+ 규칙 그룹을 여러 VPC와 연결하여 조직 전체에서 일관된 동작을 실행할 수 있습니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 단원을 참조하세요.
+ 조직 전체에서 일관된 DNS 쿼리 관리를 위해 계정 간에 규칙 그룹을 공유할 수 있습니다. 자세한 내용은 [AWS 계정 간에 Resolver DNS 방화벽 규칙 그룹 공유](resolver-dns-firewall-rule-group-sharing.md) 단원을 참조하세요.
+  AWS Firewall Manager 정책에서 규칙 그룹을 관리 AWS Organizations 하여에서 조직 전체의 규칙 그룹을 사용할 수 있습니다. Firewall Manager[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)에 대한 자세한 내용은 *AWS WAF AWS Firewall Manager, 및 AWS Shield Advanced 개발자 안내서*의 섹션을 참조하세요.

# DNS 방화벽의 규칙 그룹 설정
<a name="resolver-dns-firewall-rule-group-settings"></a>

DNS 방화벽 규칙을 생성하거나 편집할 때 다음 값을 지정합니다.

**이름**  
대시보드에서 규칙 그룹을 쉽게 찾을 수 있게 해 주는 고유한 이름입니다.

**(선택 사항) 설명**  
규칙 그룹에 대한 추가 컨텍스트를 제공하는 간단한 설명입니다.

**리전**  
규칙 그룹을 생성할 때 선택하는 AWS 리전입니다. 한 리전에서 생성한 규칙 그룹은 해당 리전에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙 그룹을 사용하려면 리전마다 규칙 그룹을 생성해야 합니다.

**규칙**  
규칙 그룹 필터링 동작은 해당 규칙에 포함되어 있습니다. 자세한 내용은 다음 섹션을 참조하세요.

**Tags**  
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.  
에서 청구서를 구성하기 AWS 위해 AWS 결제 및 비용 관리 제공하는 태그입니다. 비용 할당 태그 사용에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [비용 할당 태그 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)을 참조하세요.

# DNS 방화벽의 규칙 설정
<a name="resolver-dns-firewall-rule-settings"></a>

DNS 방화벽 규칙 그룹을 생성하거나 편집할 때 다음 값을 지정합니다.

**이름**  
규칙 그룹의 규칙에 대한 고유 식별자입니다.

**(선택 사항) 설명**  
규칙에 대한 자세한 정보를 제공하는 간단한 설명입니다.

**도메인 목록**  
규칙이 검사하는 도메인 목록입니다. 자신의 도메인 목록을 만들고 관리하거나 AWS 에서 대신 관리하는 도메인 목록에 가입할 수 있습니다. 자세한 내용은 [Resolver DNS 방화벽 도메인 목록](resolver-dns-firewall-domain-lists.md) 단원을 참조하십시오.  
규칙에는 도메인 목록 또는 DNS Firewall Advanced 보호를 포함할 수 있지만 둘 다 포함할 수는 없습니다.

**도메인 리디렉션 설정(도메인 목록만 해당)**  
DNS 방화벽 규칙에서 CNAME, DNAME 등과 같은 DNS 리디렉션 체인의 첫 번째 도메인 또는 모든 도메인(기본값)만 검사하도록 선택할 수 있습니다. 모든 도메인을 검사하도록 선택한 경우 DNS 리디렉션 체인의 후속 도메인을 도메인 목록에 추가하고 규칙을 수행할 작업인 ALLOW, BLOCK 또는 ALERT로 설정해야 합니다. 자세한 내용은 [해석기 DNS 방화벽 구성 요소 및 설정](resolver-dns-firewall-overview.md#resolver-dns-firewall-components) 단원을 참조하십시오.  
도메인 리디렉션 설정의 신뢰 동작은 단일 DNS 쿼리 트랜잭션 내에서만 적용됩니다. 호스트의 DNS 클라이언트가 DNS 리디렉션 체인에 나타나는 도메인을 별도로 쿼리하는 경우(예: 리디렉션 대상을 직접 쿼리) DNS 방화벽은 원본 쿼리의 신뢰 컨텍스트가 없는 독립 쿼리로 평가합니다. 이러한 쿼리를 허용하려면 리디렉션 대상 도메인을 도메인 목록에 추가합니다.

**쿼리 유형(도메인 목록만 해당)**  
규칙이 검사하는 DNS 쿼리 유형의 목록입니다. 유효한 값은 다음과 같습니다.  
+  A: IPv4 주소를 반환합니다.
+ AAAA: Ipv6 주소를 반환합니다.
+ CAA: 도메인에 대한 SSL/TLS 인증을 생성할 수 있는 CA를 제한합니다.
+ CNAME: 다른 도메인 이름을 반환합니다.
+ DS: 위임된 영역의 DNSSEC 서명 키를 식별하는 레코드입니다.
+ MX: 메일 서버를 지정합니다.
+ NAPTR: 정규 표현식을 기반으로 도메인 이름을 다시 작성합니다.
+ NS: 권한 이름 서버입니다.
+ PTR: IP 주소를 도메인 이름에 매핑합니다.
+ SOA: 해당 영역의 권한 레코드를 시작합니다.
+ SPF: 도메인에서 이메일을 보낼 권한이 있는 서버를 나열합니다.
+ SRV: 서버를 식별하는 애플리케이션별 값입니다.
+ TXT: 이메일 발신자와 애플리케이션별 값을 확인합니다.
+ AAAA의 경우 DNS 유형 ID(예: 28)를 사용하여 정의하는 쿼리 유형입니다. 값은 TYPE* NUMBER*로 정의되어야 합니다. 여기서 *NUMBER*는 TYPE28과 같이 1\$165334일 수 있습니다. 자세한 내용은 [DNS 레코드 유형 목록](https://en.wikipedia.org/wiki/List_of_DNS_record_types)을 참조하세요.

  규칙당 하나의 쿼리 유형을 생성할 수 있습니다.
**참고**  
쿼리 유형에 대한 작업 NXDOMAIN이 AAAA와 동일한 방화벽 차단 규칙을 설정한 경우, DNS64가 활성화될 때 생성된 합성 IPv6 주소에는 이 작업이 적용되지 않습니다.

**DNS Firewall Advanced 보호**  
DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 선택할 수 있는 보호는 다음과 같습니다.  
+ 도메인 생성 알고리즘(DGA)

  DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.
+ DNS 터널링

  DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.
+ 사전 DGA

  공격자는 사전 DGAs를 사용하여 맬웨어 command-and-control 통신에서 탐지를 회피하는 사전 단어를 사용하여 도메인을 생성합니다.
DNS Firewall Advanced 규칙에서 위협과 일치하는 쿼리를 차단하거나 알리도록 선택할 수 있습니다.  
자세한 내용은 [해석기 DNS 방화벽 고급](firewall-advanced.md) 단원을 참조하십시오.  
규칙에는 DNS Firewall Advanced 보호 또는 도메인 목록을 포함할 수 있지만 둘 다 포함할 수는 없습니다.

**신뢰도 임계값(DNS Firewall Advanced만 해당)**  
DNS Firewall Advanced의 신뢰도 임계값입니다. DNS 방화벽 고급 규칙을 생성할 때 이 값을 제공해야 합니다. 신뢰 수준 값은 다음을 의미합니다.  
+ 높음 - 오탐지율이 낮고 가장 확실히 확인된 위협만 탐지합니다.
+ 중간 - 위협 탐지와 오탐지 간의 균형을 제공합니다.
+ 낮음 - 위협 탐지율이 가장 높지만 오탐지도 증가합니다.
자세한 내용은 [DNS 방화벽의 규칙 설정](#resolver-dns-firewall-rule-settings) 단원을 참조하십시오.

**작업**  
도메인 이름이 규칙의 도메인 목록에 있는 사양과 일치하는 DNS 쿼리를 DNS 방화벽이 처리하도록 하는 방법입니다. 자세한 내용은 [DNS 방화벽의 규칙 동작](resolver-dns-firewall-rule-actions.md) 섹션을 참조하세요.

**우선순위**  
처리 순서를 결정하는 규칙 그룹 내의 규칙에 대한 고유한 양의 정수 설정입니다. DNS Firewall은 우선 순위가 가장 낮은 설정에서 높은 설정 순으로 규칙 그룹의 규칙에 대해 DNS 쿼리를 검사합니다. 처리 순서를 변경하거나 다른 규칙을 위한 공간을 확보하려면 언제든 규칙의 우선 순위를 변경할 수 있습니다.

# DNS 방화벽의 규칙 동작
<a name="resolver-dns-firewall-rule-actions"></a>

DNS 방화벽이 DNS 쿼리와 규칙의 도메인 사양 간에 일치하는 항목을 찾으면 규칙에 지정된 작업이 쿼리에 적용됩니다.

생성하는 각 규칙에서 다음 옵션 중 하나를 지정해야 합니다.
+ ** Allow ** - 쿼리 검사를 중지하고 쿼리가 통과하도록 허용합니다. DNS Firewall Advanced에는 사용할 수 없습니다.
+ ** Alert ** - 쿼리 검사를 중지하고, 쿼리가 통과하도록 허용하고, Route 53 VPC Resolver 로그에 쿼리에 대한 알림을 기록합니다.
+ ** Block ** - 쿼리 검사를 중단하고 의도한 대상으로 가는 것을 차단한 다음 Route 53 VPC Resolver 로그에 쿼리에 대한 차단 작업을 기록합니다.

  다음에서 구성된 블록 응답으로 회신합니다.
  + ** NODATA ** - 쿼리가 성공했지만 사용할 수 있는 응답이 없음을 나타내는 응답입니다.
  + ** NXDOMAIN **- 쿼리의 도메인 이름이 존재하지 않음을 나타내는 응답입니다.
  + ** OVERRIDE **- 응답에 사용자 지정 재정의를 제공합니다. 이 옵션은 다음과 같은 추가 설정이 필요합니다.
    + ** Record value ** - 쿼리에 대한 응답으로 다시 보낼 사용자 지정 DNS 레코드입니다.
    + ** Record type **- DNS 레코드의 유형입니다. 이렇게 하면 레코드 값의 형식을 결정할 수 있습니다. 반드시 `CNAME`이여야 합니다.
    + ** Time to live in seconds **- DNS 해석기 또는 웹 브라우저가 재정의 레코드를 캐싱하고 다시 수신되는 경우이 쿼리에 대한 응답으로 사용할 수 있는 권장 시간입니다. 기본적으로이 값은 0이며 레코드는 캐시되지 않습니다.

쿼리 로그 구성 및 내용에 대한 자세한 사항은 [Resolver 쿼리 로깅](resolver-query-logs.md) 및 [VPC Resolver 쿼리 로그에 표시되는 값](resolver-query-logs-format.md) 섹션을 참조하세요.

**Alert를 사용하여 차단 규칙 테스트**  
차단 규칙을 처음 만들 때 Alert로 설정된 작업으로 규칙을 구성하여 테스트할 수 있습니다. 그런 다음 규칙이 경고하는 쿼리 수를 확인하여 작업을 Block으로 설정한 경우 몇 개나 차단했는지 확인할 수 있습니다.

# DNS 방화벽 규칙 그룹 및 규칙 관리
<a name="resolver-dns-firewall-rule-group-managing"></a>

콘솔에서 규칙 그룹 및 규칙을 관리하려면 이 섹션의 지침을 따르세요.

규칙 및 도메인 목록과 같은 DNS 방화벽 엔터티를 변경하면 DNS Firewall은 엔터티가 저장되고 사용되는 모든 곳에 변경 사항을 전파합니다. 변경 사항은 몇 초 이내에 적용되지만 변경 사항이 한 위치에는 적용되었는데 다른 위치에는 아직 적용되지 않았을 때 짧은 불일치 기간이 있을 수도 있습니다. 예를 들어, 차단 규칙에서 참조하는 도메인 목록에 도메인을 추가하는 경우 새 도메인이 VPC의 한 영역에서는 짧게 차단되는데 다른 영역에서 계속 허용될 수도 있습니다. 이러한 일시적인 불일치는 규칙 그룹 및 VPC 연결을 처음 구성할 때와 기존 설정을 변경할 때 발생할 수 있습니다. 일반적으로 이러한 유형의 불일치는 몇 초 동안만 일어납니다.

# 규칙 그룹 및 규칙 생성
<a name="resolver-dns-firewall-rule-group-adding"></a>

규칙 그룹을 생성하고 규칙을 추가하려면 이 절차의 단계를 따릅니다.

**규칙 그룹 및 규칙을 생성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.

   탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.

   - 또는 - 

    AWS Management Console 에 로그인하고 

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.

1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.

1. **규칙 그룹 추가(Add rule group)**를 선택한 다음, 마법사 지침에 따라 규칙 그룹 및 규칙 설정을 지정합니다.

   전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 그룹 설정](resolver-dns-firewall-rule-group-settings.md)을 참조하세요.

   전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md)을 참조하세요.

# 규칙 그룹 및 규칙 보기 및 갱신
<a name="resolver-dns-firewall-rule-group-editing"></a>

다음 절차에 따라 규칙 그룹과 할당된 규칙을 볼 수 있습니다. 규칙 그룹 및 규칙 설정을 업데이트할 수도 있습니다.

**규칙 그룹을 보고 업데이트하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.

   탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.

   - 또는 - 

    AWS Management Console 에 로그인하고 

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.

1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.

1. 보거나 편집할 규칙 그룹을 선택한 다음 **세부 정보 보기(View details)**를 선택합니다.

1. 규칙 그룹의 페이지에서 설정을 보고 편집할 수 있습니다.

   전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 그룹 설정](resolver-dns-firewall-rule-group-settings.md)을 참조하세요.

   전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md)을 참조하세요.

# 규칙 그룹 삭제
<a name="resolver-dns-firewall-rule-group-deleting"></a>

전달 규칙을 삭제하려면 다음 절차를 수행하세요.

**중요**  
VPC PC와 연결된 규칙 그룹을 삭제하면 DNS 방화벽이 연결을 제거하고 규칙 그룹이 VPC에 제공한 보호를 중지합니다.

**DNS 방화벽 엔터티 삭제**  
규칙 그룹에서 사용할 수 있는 도메인 목록이나 VPC와 연결할 수 있는 규칙 그룹과 같은 DNS 방화벽에서 사용할 수 있는 엔티티를 삭제하는 경우 DNS 방화벽은 해당 엔티티가 현재 사용 중인지 확인합니다. 사용 중인 것으로 확인되면 DNS 방화벽에서 경고를 표시합니다. DNS 방화벽은 거의 항상 엔터티가 사용 중인지 확인할 수 있습니다. 그러나 드물지만 이러한 작업을 수행할 수 없는 경우도 있습니다. 현재 아무 것도 엔터티를 사용하고 있지 않다는 것을 확인해야 하는 경우 해당 엔티티를 삭제하기 전에 해당 DNS 방화벽 구성에서 확인하세요. 엔터티가 참조된 도메인 목록인 경우에도 어떤 규칙 그룹도 해당 엔티티를 사용하고 있지 않음을 확인합니다. 엔터티가 규칙 그룹인 경우 해당 엔터티가 VPC와 연결되어 있지 않은지 확인합니다.

**규칙 그룹을 삭제하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.

   탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.

   - 또는 - 

    AWS Management Console 에 로그인하고 

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.

1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.

1. 삭제할 규칙 그룹을 선택한 다음 ** 삭제**를 선택하고 삭제를 확인합니다.