配置和管理 DNS 防火墙规则 - Amazon Route 53
创建和查看防火墙规则DNS Firewall 中的规则设置DNS Firewall 中的规则操作

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置和管理 DNS 防火墙规则

创建和查看防火墙规则

防火墙规则定义了 Route 53 Global Resolver 如何根据域列表、托管域列表、内容类别或高级威胁防护处理 DNS 查询。每条规则都指定了优先级、目标域和要采取的操作。

规则优先级的最佳实践:

  • 将优先级 100-999 用于高优先级允许规则(可信域)

  • 使用优先级 1000-4999 设置屏蔽规则(已知威胁)

  • 对警报规则(监控和分析)使用优先级 5000-9999

  • 在优先级之间留出空白,以便将来可以插入 future 规则

创建 DNS 防火墙规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 “防火墙规则” 选项卡。

  3. 选择创建防火墙规则

  4. 在 “规则详情” 部分:

    1. 规则名称中,输入规则的描述性名称(最多 128 个字符)。

    2. (可选)在规则描述中,输入规则的描述(最多 255 个字符)。

  5. 规则配置部分,选择规则配置类型

    • 客户管理的域名列表-使用您创建和管理的域名列表

    • AWS 托管域名列表-使用 Amazon 提供的可供您使用的域名列表

    • DNS 防火墙高级保护-从一系列托管保护中进行选择并指定置信阈值

  6. 在 “规则操作” 中,选择规则匹配时要采取的操作:

    • 允许-DNS 查询已解决

    • 警报-允许 DNS 查询但会创建警报

    • 屏蔽-DNS 查询已被阻止

  7. 选择创建防火墙规则

使用以下步骤查看分配给他们的规则。您也可以更新规则和规则设置。

查看和更新规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 DNS 防火墙规则选项卡。

  3. 选择要查看或编辑的规则,然后选择编辑

  4. 在 “规则” 页面中,您可以查看和编辑设置。

有关规则的值的信息,请参阅 DNS Firewall 中的规则设置

删除规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 DNS 防火墙规则选项卡。

  3. 选择要删除的规则,然后选择删除,然后确认删除。

DNS Firewall 中的规则设置

在 DNS 视图中创建或编辑 DNS 防火墙规则时,需要指定以下值:

Name

DNS 视图中规则的唯一标识符。

(可选)描述

提供有关规则的更多信息的简短描述。

域名清单

规则检查的域列表。您可以创建和管理自己的域名列表,也可以订阅为您 AWS 管理的域名列表。

规则可以包含域列表或 DNS Firewall Advanced 保护,但不能同时包含两者。

查询类型(仅限域列表)

此规则检查的 DNS 查询类型列表。有效值如下所示:

  • 答:返回 IPv4 地址。

  • AAAA:返回 IPv6 地址。

  • CAA: CAs 可以为域名创建 SSL/TLS 认证的限制。

  • CNAME:返回另一个域名。

  • DS:标识委派区域 DNSSEC 签名密钥的记录。

  • MX:指定邮件服务器。

  • NAPTR: Regular-expression-based重写域名。

  • NS:权威名称服务器。

  • PTR:将 IP 地址映射到域名。

  • SOA:此区的授权起始点记录。

  • SPF:列出有权从某个域发送电子邮件的服务器。

  • SRV:用于标识服务器的特定应用程序值。

  • TXT:验证电子邮件发件人和特定应用程序的值。

您使用 DNS 类型 ID 定义的查询类型,例如 AAAA 的类型为 28。这些值必须定义为 TYPENUMBER,其中NUMBER可以是 1-65334,例如,。 TYPE28有关更多信息,请参阅 DNS 记录类型列表

您可以为每条规则创建一个查询类型。

DNS Firewall Advanced 保护

根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以选择如下方面的保护:

  • 域生成算法 (DGAs)

    DGAs 被攻击者用来生成大量域来发起恶意软件攻击。

  • DNS 隧道

    DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。

在 DNS Firewall Advanced 规则中,您可以选择阻止与威胁匹配的查询或针对其发出提醒。

有关更多信息,请参阅 DNS 防火墙高级保护。

规则可以包含 DNS Firewall Advanced 保护或域列表,但不能同时包含两者。

置信度阈值(仅限 DNS Firewall Advanced)

DNS Firewall Advanced 的置信度阈值。创建 DNS Firewall Advanced 规则时必须提供此值。置信度值代表:

  • 高 – 仅检测证实度最高的威胁,误报率低。

  • 中 – 在检测威胁和误报之间保持平衡。

  • 低 – 提供最高威胁检测率,但也会增加误报。

有关更多信息,请参阅 DNS 防火墙中的规则设置。

Action

您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息,请参阅 DNS Firewall 中的规则操作

优先级

用于确定处理顺序的 DNS 视图中规则的唯一正整数设置。DNS Firewall 根据 DNS 视图中的规则检查 DNS 查询,从最低的数字优先级设置开始,然后向上移动。您可以随时更改规则的优先级,例如更改处理顺序或为其它规则留出空间。

DNS Firewall 中的规则操作

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一:

  • 允许-停止检查查询并允许其通过。不适用于 DNS Firewall Advanced。

  • 警报 — 停止检查查询,允许其通过,并在 Route 53 Resolver 日志中记录查询警报。

  • 阻止 — 停止检查查询,阻止其前往其预期目的地,并将该查询的阻止操作记录在 Route 53 Resolver 日志中。

    回复已配置的阻止响应,具体如下:

    • NODAT A — 响应表示查询成功,但没有可用的响应。

    • NXDOMAI N — 响应表示查询的域名不存在。

    • 覆盖-在响应中提供自定义覆盖。此选项需要以下额外设置:

      • 记录值-为响应查询而发送回的自定义 DNS 记录。

      • 记录类型-DNS 记录的类型。这决定了记录值的格式。必须是 CNAME

      • 存@@ 活时间(以秒为单位)— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间(如果再次收到该查询)。预设情况下,此值为零,并且记录不会被缓存。