本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Route 53 Resolver DNS 防火牆進階
DNS Firewall Advanced 根據 DNS 查詢中的已知威脅簽章來偵測可疑的 DNS 查詢。您可以在規則群組內,在 DNS 防火牆規則中使用的規則中指定威脅類型。當您將規則群組與 VPC 建立關聯時,DNS 防火牆會將您的 DNS 查詢與規則中標記的網域進行比較。如果找到相符項目,它會根據比對規則的動作處理 DNS 查詢。
DNS Firewall Advanced 透過檢查 DNS 承載中的一系列金鑰識別符來識別可疑的 DNS 威脅簽章,包括請求的時間戳記、請求和回應的頻率、DNS 查詢字串,以及傳出和傳入 DNS 查詢的長度、類型或大小。根據威脅簽章的類型,您可以設定要封鎖的政策,或直接在查詢上記錄和提醒。透過使用一組擴充的威脅識別符,您可以防止來自網域來源的 DNS 威脅,這些來源可能尚未由更廣泛的安全社群維護的威脅情報摘要進行分類。
目前,DNS Firewall Advanced 提供以下保護:
網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
若要了解如何建立規則,請參閱 建立規則群組和規則和 DNS 防火牆中的規則設定。
減少誤判案例
如果您在使用 DNS Firewall Advanced 保護來封鎖查詢的規則中遇到誤判案例,請執行下列步驟:
-
在解析程式日誌中,識別導致誤報的規則群組和 DNS Firewall Advanced 保護。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。日誌記錄會列出規則群組、規則動作和 DNS Firewall Advanced 保護。如需有關日誌的資訊,請參閱 出現在 Resolver 查詢日誌中的值。
-
在規則群組中建立明確允許封鎖的查詢通過的新規則。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 建立規則群組和規則 中涉及規則群組和規則管理的指引。
-
在規則群組內排定新規則的優先順序,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。
當您更新規則群組時,新規則會明確允許封鎖規則執行前要允許的網域名稱。
