As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Regras e grupos de regras do Firewall DNS
<a name="resolver-dns-firewall-rule-groups"></a>

Esta seção descreve as configurações que você pode definir para seus grupos de regras e regras do Firewall DNS, para definir o comportamento do Firewall DNS para seu. VPCs Ela também descreve como gerenciar as configurações para seus grupos de regras e regras. 

Quando você tiver seus grupos de regras configurados da maneira desejada, você os usa diretamente e poderá compartilhá-los e gerenciá-los entre contas e em toda a organização no AWS Organizations.
+ Você pode associar um grupo de regras a vários VPCs para fornecer um comportamento consistente em toda a organização. Para mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Você pode compartilhar grupos de regras entre contas, para gerenciamento consistente de consultas de DNS em toda a organização. Para mais informações, consulte [Compartilhando grupos de regras do Resolver DNS Firewall entre contas AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Você pode usar grupos de regras em toda a sua organização AWS Organizations gerenciando-os em AWS Firewall Manager políticas. Para obter informações sobre o Firewall Manager, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)o *AWS WAF AWS Firewall Manager, e o Guia AWS Shield Advanced do Desenvolvedor*.

# Configurações de grupo de regras no Firewall DNS
<a name="resolver-dns-firewall-rule-group-settings"></a>

Ao criar ou editar um grupo de regras do Firewall DNS, especifique os seguintes valores:

**Nome**  
Um nome exclusivo que permite encontrar facilmente um grupo de regras no painel.

**Descrição (opcional)**  
Uma descrição curta que fornece mais contexto para o grupo de regras. 

**Região**  
A AWS região que você escolhe ao criar o grupo de regras. Um grupo de regras que você cria em uma região está disponível somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.

**Regras**  
O comportamento de filtragem do grupo de regras está contido em suas regras. Para obter mais informações, consulte a seção a seguir.

**Tags**  
Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o **Cost center (Centro de custo)** para **Key (Chave)** e especificar **456** para **Value (Valor)**.  
Essas são as etiquetas Gerenciamento de Faturamento e Custos da AWS que permitem organizar sua AWS fatura. Para obter mais informações sobre como usar tags para alocação de custos, consulte [Como usar tags de alocação de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Manual do usuário do AWS Billing *.

# Configurações de regra no Firewall DNS
<a name="resolver-dns-firewall-rule-settings"></a>

Ao criar ou editar uma regra em um grupo de regras do Firewall DNS, especifique os seguintes valores:

**Nome**  
O identificador exclusivo da regra a ser excluída do grupo de regras.

**Descrição (opcional)**  
Uma breve descrição que fornece mais informações sobre a regra. 

**Lista de domínios**  
A lista de domínios que a regra inspeciona. Você pode criar e gerenciar sua própria lista de domínios ou pode se inscrever em uma lista de domínios que a AWS gerencia para você. Para obter mais informações, consulte [Listas de domínios do DNS Firewall do Resolver](resolver-dns-firewall-domain-lists.md).   
Uma regra pode conter uma lista de domínios ou uma proteção do Firewall de DNS Avançado, mas não ambas.

**Configuração do redirecionamento do domínio (apenas listas de domínios)**  
Você pode escolher se a regra do DNS Firewall inspecionará apenas o primeiro domínio ou todos (padrão) os domínios na cadeia de redirecionamento de DNS, como CNAME, DNAME etc. Se optar por inspecionar todos os domínios, deverá adicionar os domínios subsequentes na cadeia de direcionamento de DNS a uma lista de domínios e definir a ação que deseja que a regra aplique, PERMITIR, BLOQUEAR ou ALERTAR. Para obter mais informações, consulte [Componentes e configurações do Resolver DNS Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
O comportamento de confiança da configuração de redirecionamento de domínio só se aplica a uma única transação de consulta de DNS. Se um cliente DNS em seu host consultar separadamente um domínio que aparece em uma cadeia de redirecionamento de DNS (por exemplo, consultando diretamente o destino do redirecionamento), o Firewall do DNS a avalia como uma consulta independente, sem contexto de confiança da consulta original. Para permitir essas consultas, adicione os domínios de destino de redirecionamento à sua lista de domínios.

**Tipo de consulta (apenas listas de domínios)**  
A lista de tipos de consulta ao DNS que a regra inspeciona. Os valores válidos são os seguintes:  
+  R: Retorna um IPv4 endereço.
+ AAAA: retorna um endereço IPv6.
+ CAA: restrições CAs que podem criar SSL/TLS certificações para o domínio.
+ CNAME: retorna outro nome de domínio.
+ DS: registro que identifica a chave de assinatura DNSSEC de uma zona delegada.
+ MX: especifica servidores de e-mail.
+ NAPTR: Regular-expression-based reescrita de nomes de domínio.
+ NS: servidores de nomes legítimos.
+ PTR: mapeia um endereço IP para um nome de domínio.
+ SOA: início do registo de autoridade (SOA) para a zona.
+ SPF: lista os servidores autorizados a enviar e-mails de um domínio.
+ SRV: valores específicos da aplicação que identificam servidores.
+ TXT: verifica os remetentes de e-mail e os valores específicos da aplicação.
+ Um tipo de consulta que você define usando o ID de tipo de DNS, por exemplo, 28 para AAAA. Os valores devem ser definidos como TYPE* NUMBER*, onde *NUMBER* podem ser 1-65334, por exemplo,. TYPE28 Para obter mais informações, consulte [List of DNS record types](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Você pode criar um único tipo de consulta por regra.
**nota**  
Se você configurar uma regra BLOCK de firewall com a ação NXDOMAIN no tipo de consulta igual a AAAA, essa ação não será aplicada aos IPv6 endereços sintéticos gerados quando ativada. DNS64 

**Proteção do Firewall de DNS Avançado.**  
Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível escolher proteção contra:  
+ Algoritmos de geração de domínio (DGAs)

  DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Tunelamento de DNS

  O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
+ Dicionário DGA

   DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control 
Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça.   
Para obter mais informações, consulte [Resolver DNS Firewall Avançado](firewall-advanced.md).   
Uma regra pode conter uma proteção do Firewall de DNS Avançado ou uma lista de domínios, mas não ambos.

**Limiar de confiança (apenas Firewall de DNS Avançado)**  
O limite de confiança do DNS Firewall Advanced. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:  
+ Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.
+ Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.
+ Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.
Para obter mais informações, consulte [Configurações de regra no Firewall DNS](#resolver-dns-firewall-rule-settings). 

**Ação**  
Como você deseja que o Firewall DNS manipule uma consulta de DNS cujo nome de domínio corresponda às especificações na lista de domínios da regra. Para obter mais informações, consulte [Ações de regra no Firewall DNS](resolver-dns-firewall-rule-actions.md). 

**Prioridade**  
A configuração de inteiro positivo exclusivo para a regra no grupo de regras que determina a ordem de processamento. O DNS Firewall inspeciona consultas de DNS contra as regras em um grupo de regras começando com a configuração de prioridade numérica mais baixa e indo para cima. Você pode alterar a prioridade de uma regra a qualquer momento, por exemplo, para alterar a ordem de processamento ou abrir espaço para outras regras. 

# Ações de regra no Firewall DNS
<a name="resolver-dns-firewall-rule-actions"></a>

Quando o Firewall DNS localiza uma correspondência entre uma consulta de DNS e uma especificação de domínio em uma regra, ele aplica a ação especificada na regra à consulta. 

Você tem que especificar uma das seguintes opções em cada regra criada: 
+ **Allow**— Pare de inspecionar a consulta e permita que ela seja processada. Não disponível para o Firewall de DNS Avançado.
+ **Alert**— Pare de inspecionar a consulta, permita que ela continue e registre um alerta para a consulta nos registros do Route 53 VPC Resolver. 
+ **Block**— Interrompa a inspeção da consulta, impeça que ela vá para o destino pretendido e registre a ação de bloqueio da consulta nos registros do Route 53 VPC Resolver. 

  Responda com a resposta de bloco configurada, a partir do seguinte: 
  + **NODATA**— Responder indicando que a consulta foi bem-sucedida, mas nenhuma resposta está disponível para ela.
  + **NXDOMAIN**— Responda indicando que o nome de domínio da consulta não existe.
  + **OVERRIDE**— Forneça uma substituição personalizada na resposta. Além disso, essa instrução requer as seguintes configurações: 
    + **Record value**— O registro DNS personalizado a ser enviado de volta em resposta à consulta. 
    + **Record type**— O tipo do registro DNS. Isso determina o formato do valor do registro. Deve ser `CNAME`.
    + **Time to live in seconds**— O tempo recomendado para o resolvedor de DNS ou o navegador da Web armazenar em cache o registro de substituição e usá-lo em resposta a essa consulta, caso ele seja recebido novamente. Por padrão, isso é zero e o registro não está armazenado em cache.

Para obter mais informações sobre a configuração dos logs de consulta e o conteúdo, consulte [Log de consultas do Resolver](resolver-query-logs.md) e [Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md). 

**Usar Alert para testar regras de bloqueio**  
Quando você cria uma regra de bloqueio pela primeira vez, pode testá-la configurando-a com a ação definida como Alert. Em seguida, você pode examinar o número de consultas nas quais os alertas de regra para ver quantas seriam bloqueadas se você definir a ação como Block. 

# Como gerenciar grupos de regras e regras no Firewall DNS
<a name="resolver-dns-firewall-rule-group-managing"></a>

Para gerenciar grupos de regras e regras no console, siga as orientações desta seção.

Quando você faz alterações em entidades do Firewall DNS, como regras e listas de domínios, o Firewall DNS propaga as alterações em todos os lugares em que as entidades são armazenadas e usadas. Suas alterações são aplicadas em segundos, mas pode haver um breve período de inconsistência quando as alterações chegam em alguns lugares e não em outros. Assim, por exemplo, se você adicionar um domínio a uma lista de domínios referenciada por uma regra de bloqueio, o novo domínio poderá ser brevemente bloqueado em uma área da VPC, enquanto ainda é permitido em outra. Essa inconsistência temporária pode ocorrer quando você configura pela primeira vez suas associações de grupo de regras e VPC e quando você altera as configurações existentes. Geralmente, quaisquer inconsistências deste tipo duram apenas alguns segundos.

# Criar um grupo de regras e regras
<a name="resolver-dns-firewall-rule-group-adding"></a>

Para criar um grupo de regras e adicionar regras a ele, siga as etapas deste procedimento.

**Para criar um grupo de regras e suas regras**

1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.

   - OU - 

   Faça login no Console de gerenciamento da AWS e abra 

   o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.

1. Na barra de navegação, escolha a região do grupo de regras. 

1. Escolha **Add rule group** (Adicionar grupo de regras) e siga as orientações do assistente para especificar o grupo de regras e as configurações de regras.

   Para obter informações sobre os valores dos grupos de regras, consulte [Configurações de grupo de regras no Firewall DNS](resolver-dns-firewall-rule-group-settings.md).

   Para obter informações sobre os valores das regras, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).

# Como exibir e atualizar um grupo de regras e regras
<a name="resolver-dns-firewall-rule-group-editing"></a>

Use o procedimento a seguir para visualizar os grupos de regras e as regras a eles atribuídas. Você também pode atualizar o grupo de regras e as configurações das regras.

**Para exibir e atualizar um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.

   - OU - 

   Faça login no Console de gerenciamento da AWS e abra 

   o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.

1. Na barra de navegação, escolha a região do grupo de regras. 

1. Selecione o grupo de regras que você deseja exibir ou editar e escolha **View details** (Exibir detalhes). 

1. Na página do grupo de regras, é possível exibir e editar configurações.

   Para obter informações sobre os valores dos grupos de regras, consulte [Configurações de grupo de regras no Firewall DNS](resolver-dns-firewall-rule-group-settings.md).

   Para obter informações sobre os valores das regras, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).

# Excluir um grupo de regras
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Para excluir um grupo de regras, execute o procedimento a seguir.

**Importante**  
Se você excluir um grupo de regras associado a uma VPC, o Firewall DNS removerá a associação e interromperá as proteções que o grupo de regras estava fornecendo à VPC. 

**Como excluir entidades do Firewall DNS**  
Quando você exclui uma entidade que pode usar no Firewall DNS, como uma lista de domínios que pode estar em uso em um grupo de regras ou um grupo de regras que possa estar associado a uma VPC, o Firewall DNS verifica se a entidade está sendo usada no momento. Se ele descobrir que ela está sendo usada, o Firewall DNS avisa. O Firewall DNS quase sempre é capaz de determinar se uma entidade está sendo usada. No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique nas configurações do Firewall DNS antes de excluí-lo. Se a entidade for uma lista de domínios referenciada, verifique se nenhum grupo de regras está utilizando-a. Se a entidade for um grupo de regras, verifique se ela não está associada a nenhum VPCs.

**Para excluir um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.

   - OU - 

   Faça login no Console de gerenciamento da AWS e abra 

   o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.

1. Na barra de navegação, escolha a região do grupo de regras. 

1. Selecione o grupo de regras que você deseja excluir, escolha **Excluir** e confirme a exclusão.