本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# DNS Firewall 规则组和规则
<a name="resolver-dns-firewall-rule-groups"></a>

本节介绍您可以为 DNS 防火墙规则组和规则配置的设置，以定义您的 DNS 防火墙行为 VPCs。它还介绍了如何管理规则组和规则的设置。

按照需要的方式配置规则组后，您可以直接使用它们，并且您可以在 AWS Organizations的各个账户和组织之间共享和管理这些规则组。
+ 您可以将一个规则组与多个规则组相关联 VPCs，以便在整个组织中提供一致的行为。有关信息，请参阅[管理您的 VPC 和解析器 DNS 防火墙规则组之间的关联](resolver-dns-firewall-vpc-associating-rule-group.md)。
+ 您可以在账户之间共享规则组，从而在整个组织中实现一致的 DNS 查询管理。有关信息，请参阅[在账户之间 AWS 共享解析器 DNS 防火墙规则组](resolver-dns-firewall-rule-group-sharing.md)。
+ 您可以通过在 AWS Firewall Manager 策略中管理规则组 AWS Organizations 来在整个组织中使用规则组。有关 Firewall Manager 的信息，请参阅*AWS WAF AWS Firewall Manager、和 AWS Shield Advanced 开发者指南[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*中的。

# DNS Firewall 中的规则组设置
<a name="resolver-dns-firewall-rule-group-settings"></a>

创建或编辑 DNS Firewall 规则组时，您指定以下值：

**Name**  
通过唯一名称可在控制面板上轻松找到规则组。

**（可选）描述**  
为规则组提供更多上下文的简短描述。

**Region**  
您在创建规则组时选择的 AWS 区域。您在一个区域中创建的规则组仅在该区域中可用。要在多个区域中使用同一个规则，您必须在各个区域中创建该规则。

**Rules**  
规则组筛选行为包含在其规则中。有关信息，请参阅以下部分。

**标签**  
指定一个或多个键及对应的值。例如，您可以为 **Key**（密钥）指定 **Cost center**（成本中心），并为 **Value**（值）指定 **456**。  
这些是 AWS 账单与成本管理 用于整理 AWS 账单的标签。有关对成本分配使用标签的更多信息，请参阅 *AWS Billing 用户指南*中的[使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。

# DNS Firewall 中的规则设置
<a name="resolver-dns-firewall-rule-settings"></a>

创建或编辑 DNS Firewall 规则组时，您指定以下值：

**Name**  
用于规则组中规则的唯一标识符。

**（可选）描述**  
提供有关规则的更多信息的简短描述。

**域名清单**  
规则检查的域列表。您可以创建和管理自己的域列表，也可以订阅 AWS 为您管理的域列表。有关更多信息，请参阅 [解析器 DNS 防火墙域列表](resolver-dns-firewall-domain-lists.md)。  
规则可以包含域列表或 DNS Firewall Advanced 保护，但不能同时包含两者。

**域重定向设置（仅限域列表）**  
您可以选择让 DNS Firewall 规则仅检查 DNS 重定向链中的第一个域或所有（默认）域，比如 CNAME、DNAME 等。如果选择检查所有域，则必须将 DNS 重定向链中的后续域添加到域列表中，并将其设置为需要规则采取的行动，即 ALLOW、BLOCK 或 ALERT。有关更多信息，请参阅 [解析器 DNS 防火墙组件和设置](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)。  
域重定向设置的信任行为仅适用于单个 DNS 查询交易。如果主机上的 DNS 客户端单独查询 DNS 重定向链中出现的域（例如，直接查询重定向目标），则 DNS Firewall 会将其评估为独立查询，与原始查询没有信任上下文。要允许此类查询，请将重定向目标域名添加到您的域名列表中。

**查询类型（仅限域列表）**  
此规则检查的 DNS 查询类型列表。有效值如下所示：  
+  答：返回 IPv4 地址。
+ AAAA：返回 IPv6 地址。
+ CAA： CAs 可以为域名创建 SSL/TLS 认证的限制。
+ CNAME：返回另一个域名。
+ DS：标识委派区域 DNSSEC 签名密钥的记录。
+ MX：指定邮件服务器。
+ NAPTR： Regular-expression-based重写域名。
+ NS：权威名称服务器。
+ PTR：将 IP 地址映射到域名。
+ SOA：此区的授权起始点记录。
+ SPF：列出有权从某个域发送电子邮件的服务器。
+ SRV：用于标识服务器的特定应用程序值。
+ TXT：验证电子邮件发件人和特定应用程序的值。
+ 您使用 DNS 类型 ID 定义的查询类型，例如 AAAA 的类型为 28。这些值必须定义为 TYPE* NUMBER*，其中*NUMBER*可以是 1-65334，例如，。 TYPE28有关更多信息，请参阅 [DNS 记录类型列表](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。

  您可以为每条规则创建一个查询类型。
**注意**  
如果您设置的防火墙阻止规则的操作为 NXDOMAIN 查询类型等于 AAAA，则此操作将不会应用于启用时生成的合成 IPv6 地址。 DNS64 

**DNS Firewall Advanced 保护**  
根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以选择如下方面的保护：  
+ 域生成算法 (DGAs)

  DGAs 被攻击者用来生成大量域来发起恶意软件攻击。
+ DNS 隧道

  DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据，而无需与客户端建立网络连接。
+ DGA 字典

  攻击 DGAs 者使用字典通过字典单词生成域名，以逃避恶意软件command-and-control 通信中的检测。
在 DNS Firewall Advanced 规则中，您可以选择阻止与威胁匹配的查询或针对其发出提醒。  
有关更多信息，请参阅 [解析器 DNS 防火墙高级](firewall-advanced.md)。  
规则可以包含 DNS Firewall Advanced 保护或域列表，但不能同时包含两者。

**置信度阈值（仅限 DNS Firewall Advanced）**  
DNS Firewall Advanced 的置信度阈值。创建 DNS Firewall Advanced 规则时必须提供此值。置信度值代表：  
+ 高 – 仅检测证实度最高的威胁，误报率低。
+ 中 – 在检测威胁和误报之间保持平衡。
+ 低 – 提供最高威胁检测率，但也会增加误报。
有关更多信息，请参阅 [DNS Firewall 中的规则设置](#resolver-dns-firewall-rule-settings)。

**处理建议**  
您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息，请参阅 [DNS Firewall 中的规则操作](resolver-dns-firewall-rule-actions.md)。

**优先级**  
规则组中唯一确定处理顺序的正整数设置。DNS Firewall 根据规则组中的规则检查 DNS 查询，从最低数值优先级设置开始并向上检查。您可以随时更改规则的优先级，例如更改处理顺序或为其它规则留出空间。

# DNS Firewall 中的规则操作
<a name="resolver-dns-firewall-rule-actions"></a>

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时，它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一：
+ **Allow**— 停止检查查询并允许其通过。不适用于 DNS Firewall Advanced。
+ **Alert**— 停止检查查询，允许其通过，并在 Route 53 VPC 解析器日志中记录查询警报。
+ **Block**— 停止检查查询，阻止其前往其预期目的地，并将该查询的阻止操作记录在 Route 53 VPC 解析器日志中。

  回复已配置的阻止响应，具体如下：
  + **NODATA**— 响应表示查询成功，但没有可用的响应。
  + **NXDOMAIN**— 响应表示查询的域名不存在。
  + **OVERRIDE**— 在响应中提供自定义替换。此选项需要以下额外设置：
    + **Record value**— 为响应查询而发送回的自定义 DNS 记录。
    + **Record type**— DNS 记录的类型。这决定了记录值的格式。必须是 `CNAME`。
    + **Time to live in seconds**— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间（如果再次收到该查询）。预设情况下，此值为零，并且记录不会被缓存。

有关查询日志配置和内容的更多信息，请参阅 [Resolver 查询日志记录](resolver-query-logs.md) 和 [VPC 解析器查询日志中显示的值](resolver-query-logs-format.md)。

**使用 Alert 测试阻止规则**  
首次创建阻止规则时，可以通过将操作设置为 Alert 以进行测试。然后，您可以查看规则提示的查询数，以查看如果将操作设置为 Block，将会阻止多少查询。

# 管理 DNS Firewall 中的规则组和规则
<a name="resolver-dns-firewall-rule-group-managing"></a>

要在控制台中管理规则组和规则，请按照本节中的指导操作。

当您对 DNS Firewall 实体（如规则和域列表）进行更改时，DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用，但是当更改到达某些位置但没有到达其它剩余位置时，可能会短暂地出现不一致的情况。因此，如果您将域添加到阻止规则引用的域列表中，则新域可能会在 VPC 的一个区域中暂时被阻止，而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时，可能会出现这种临时不一致的情况。通常而言，这种类型的任何不一致情况都只会持续几秒钟。

# 创建规则组和规则
<a name="resolver-dns-firewall-rule-group-adding"></a>

要创建规则组并向其添加规则，请按照此过程中的步骤操作。

**要创建规则组及其规则**

1. 登录 AWS 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在导航窗格中选择 **DNS 防火墙**，以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 3。

   - 或者 - 

   登录到 AWS 管理控制台 并打开 

   下方的亚马逊 VPC 控制台[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **DNS 防火墙**下，选择**规则组**。

1. 在导航栏中，选择规则组的区域。

1. 选择 **Add rule group**（添加规则组），然后按照向导指导来指定您的规则组和规则设置。

   有关规则组的值的信息，请参阅 [DNS Firewall 中的规则组设置](resolver-dns-firewall-rule-group-settings.md)。

   有关规则的值的信息，请参阅 [DNS Firewall 中的规则设置](resolver-dns-firewall-rule-settings.md)。

# 查看和更新规则组和规则
<a name="resolver-dns-firewall-rule-group-editing"></a>

使用以下过程查看规则组以及分配给规则组的规则。您也可以更新规则组和规则设置。

**要查看和更新规则组**

1. 登录 AWS 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在导航窗格中选择 **DNS 防火墙**，以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 3。

   - 或者 - 

   登录到 AWS 管理控制台 并打开 

   下方的亚马逊 VPC 控制台[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **DNS 防火墙**下，选择**规则组**。

1. 在导航栏中，选择规则组的区域。

1. 选择要查看或编辑的规则组，然后选择 **View details**（查看详细信息）。

1. 在规则组的页面中，您可以查看和编辑设置。

   有关规则组的值的信息，请参阅 [DNS Firewall 中的规则组设置](resolver-dns-firewall-rule-group-settings.md)。

   有关规则的值的信息，请参阅 [DNS Firewall 中的规则设置](resolver-dns-firewall-rule-settings.md)。

# 删除规则组
<a name="resolver-dns-firewall-rule-group-deleting"></a>

要删除规则组，请执行以下步骤。

**重要**  
如果您删除与 VPC 关联的规则组，DNS Firewall 将删除该关联并停止该规则组向 VPC 提供的保护。

**删除 DNS Firewall 实体**  
当您删除可以在 DNS Firewall 中使用的实体（例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组）时，DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用，DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下，它可能无法确定。如果您需要确保当前没有任何实体正在使用中，请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表，请检查是否有规则组正在使用它。如果实体是规则组，请检查它是否与任何规则组关联 VPCs。

**删除规则组**

1. 登录 AWS 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在导航窗格中选择 **DNS 防火墙**，以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 3。

   - 或者 - 

   登录到 AWS 管理控制台 并打开 

   下方的亚马逊 VPC 控制台[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **DNS 防火墙**下，选择**规则组**。

1. 在导航栏中，选择规则组的区域。

1. 选择要删除的规则组，然后选择**删除**，并确认删除。