Configurar e gerenciar regras de firewall de DNS - Amazon Route 53
Criação e visualização de regras de firewallConfigurações de regra no Firewall DNSAções de regra no Firewall DNS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar e gerenciar regras de firewall de DNS

Criação e visualização de regras de firewall

As regras de firewall definem como o Route 53 Global Resolver lida com consultas de DNS com base em listas de domínios, listas de domínios gerenciados, categorias de conteúdo ou proteção avançada contra ameaças. Cada regra especifica uma prioridade, domínios de destino e uma ação a ser tomada.

Práticas recomendadas para prioridade de regras:

  • Use a prioridade 100-999 para regras de permissão de alta prioridade (domínios confiáveis)

  • Use a prioridade 1000-4999 para regras de bloqueio (ameaças conhecidas)

  • Use a prioridade 5000-9999 para regras de alerta (monitoramento e análise)

  • Deixe lacunas entre as prioridades para permitir a inserção futura de regras

Para criar uma regra de firewall de DNS

  1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.

  2. Escolha a guia Regras de firewall.

  3. Escolha Criar regra de firewall.

  4. Na seção Detalhes da regra:

    1. Em Nome da regra, insira um nome descritivo para a regra (até 128 caracteres).

    2. (Opcional) Em Descrição da regra, insira uma descrição para a regra (até 255 caracteres).

  5. Na seção Configuração da regra, escolha o tipo de configuração da regra:

    • Listas de domínios gerenciados pelo cliente - Use uma lista de domínios criada e gerenciada por você

    • AWS listas de domínios gerenciados - Use listas de domínio fornecidas pela Amazon que você pode utilizar

    • Proteções avançadas do firewall DNS - Escolha entre uma variedade de proteções gerenciadas e especifique um limite de confiança

  6. Em Ação de regra, escolha a ação a ser tomada quando a regra corresponder:

    • Permitir - A consulta de DNS foi resolvida

    • Alerta - Permite a consulta de DNS, mas cria um alerta

    • Bloquear - A consulta de DNS está bloqueada

  7. Escolha Criar regra de firewall.

Use o procedimento a seguir para visualizar as regras atribuídas a eles. Você também pode atualizar a regra e as configurações da regra.

Para visualizar e atualizar uma regra

  1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.

  2. Escolha a guia Regras de firewall do DNS.

  3. Escolha a regra que você deseja visualizar ou editar e escolha Editar.

  4. Na página Regra, você pode visualizar e editar as configurações.

Para obter informações sobre os valores das regras, consulte Configurações de regra no Firewall DNS.

Para excluir uma regra

  1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.

  2. Escolha a guia Regras de firewall do DNS.

  3. Escolha a regra que você deseja excluir, escolha Excluir e confirme a exclusão.

Configurações de regra no Firewall DNS

Ao criar ou editar uma regra de firewall de DNS em sua visualização de DNS, você especifica os seguintes valores:

Nome

Um identificador exclusivo para a regra na visualização DNS.

Descrição (opcional)

Uma breve descrição que fornece mais informações sobre a regra.

Lista de domínios

A lista de domínios que a regra inspeciona. Você pode criar e gerenciar sua própria lista de domínios ou assinar uma lista de domínios AWS gerenciada por você.

Uma regra pode conter uma lista de domínios ou uma proteção do Firewall de DNS Avançado, mas não ambas.

Tipo de consulta (apenas listas de domínios)

A lista de tipos de consulta ao DNS que a regra inspeciona. Os valores válidos são os seguintes:

  • R: Retorna um IPv4 endereço.

  • AAAA: retorna um endereço IPv6.

  • CAA: restrições CAs que podem criar SSL/TLS certificações para o domínio.

  • CNAME: retorna outro nome de domínio.

  • DS: registro que identifica a chave de assinatura DNSSEC de uma zona delegada.

  • MX: especifica servidores de e-mail.

  • NAPTR: Regular-expression-based reescrita de nomes de domínio.

  • NS: servidores de nomes legítimos.

  • PTR: mapeia um endereço IP para um nome de domínio.

  • SOA: início do registo de autoridade (SOA) para a zona.

  • SPF: lista os servidores autorizados a enviar e-mails de um domínio.

  • SRV: valores específicos da aplicação que identificam servidores.

  • TXT: verifica os remetentes de e-mail e os valores específicos da aplicação.

Um tipo de consulta que você define usando o ID de tipo de DNS, por exemplo, 28 para AAAA. Os valores devem ser definidos como TYPENUMBER, onde NUMBER podem ser 1-65334, por exemplo,. TYPE28 Para obter mais informações, consulte List of DNS record types.

Você pode criar um único tipo de consulta por regra.

Proteção do Firewall de DNS Avançado.

Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível escolher proteção contra:

  • Algoritmos de geração de domínio (DGAs)

    DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.

  • Tunelamento de DNS

    O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.

Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça.

Para obter mais informações, consulte Proteções avançadas do firewall DNS.

Uma regra pode conter uma proteção do Firewall de DNS Avançado ou uma lista de domínios, mas não ambos.

Limiar de confiança (apenas Firewall de DNS Avançado)

O limite de confiança do DNS Firewall Advanced. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:

  • Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.

  • Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.

  • Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.

Para obter mais informações, consulte Configurações de regras no Firewall DNS.

Ação

Como você deseja que o Firewall DNS manipule uma consulta de DNS cujo nome de domínio corresponda às especificações na lista de domínios da regra. Para obter mais informações, consulte Ações de regra no Firewall DNS.

Prioridade

Configuração exclusiva de números inteiros positivos para a regra na Visualização DNS que determina a ordem de processamento. O Firewall do DNS inspeciona as consultas de DNS em relação às regras em uma visualização de DNS, começando com a configuração de prioridade numérica mais baixa e subindo. Você pode alterar a prioridade de uma regra a qualquer momento, por exemplo, para alterar a ordem de processamento ou abrir espaço para outras regras.

Ações de regra no Firewall DNS

Quando o Firewall DNS localiza uma correspondência entre uma consulta de DNS e uma especificação de domínio em uma regra, ele aplica a ação especificada na regra à consulta.

Você tem que especificar uma das seguintes opções em cada regra criada:

  • Permitir — Pare de inspecionar a consulta e permita que ela seja processada. Não disponível para o Firewall de DNS Avançado.

  • Alerta — Pare de inspecionar a consulta, permita que ela prossiga e registre um alerta para a consulta nos registros do Route 53 Resolver.

  • Bloquear — interrompa a inspeção da consulta, impeça que ela vá para o destino pretendido e registre a ação de bloqueio da consulta nos registros do Resolver do Route 53.

    Responda com a resposta de bloco configurada, a partir do seguinte:

    • NODATA — Responda indicando que a consulta foi bem-sucedida, mas nenhuma resposta está disponível para ela.

    • NXDOMAIN — Responda indicando que o nome de domínio da consulta não existe.

    • SUBSTITUIR — Forneça uma substituição personalizada na resposta. Além disso, essa instrução requer as seguintes configurações:

      • Valor do registro — O registro DNS personalizado a ser enviado de volta em resposta à consulta.

      • Tipo de registro — O tipo do registro DNS. Isso determina o formato do valor do registro. Deve ser CNAME.

      • Tempo de vida em segundos — O tempo de vida recomendado para o resolvedor de DNS ou o navegador da Web armazenar em cache o registro de substituição e usá-lo em resposta a essa consulta, caso ele seja recebido novamente. Por padrão, isso é zero e o registro não está armazenado em cache.