在 Route 53 全域解析程式中設定 DNS 檢視的設定 - Amazon Route 53
設定用戶端群組的 DNS 設定組織用戶端裝置群組的最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Route 53 全域解析程式中設定 DNS 檢視的設定

Route 53 Global Resolver 可讓您根據不同的用戶端裝置群組的安全需求和存取需求,設定不同的 DNS 政策和存取控制。根據不同用戶端裝置群組的安全需求和存取需求,在 Route 53 Global Resolver 中設定 DNS 政策和存取控制。

設定用戶端群組的 DNS 設定

每個 DNS 檢視都有數個設定,可控制不同用戶端裝置群組的 DNS 查詢處理和解決方式。

DNSSEC 驗證

DNSSEC 驗證有助於確保公有網域的 DNS 回應是真實的,並且尚未遭到竄改。當您啟用 DNSSEC 驗證時,Route 53 Global Resolver 會檢查 DNSSEC 簽章,並針對具有無效簽章的網域傳回 SERVFAIL。

如果出現下列情況,請考慮啟用 DNSSEC 驗證:

  • 您的組織需要 DNS 回應的密碼編譯驗證

  • 您想要防範 DNS 詐騙和快取中毒攻擊

  • 您有需要 DNSSEC 驗證的合規要求

注意

DNSSEC 驗證僅適用於公有網域。私有託管區域使用自己的身分驗證機制。

EDNS 用戶端子網路 (ECS)

EDNS 用戶端子網路包含傳送至授權伺服器的 DNS 查詢中用戶端網路位置的相關資訊。這可讓內容交付網路和地理分佈服務提供適合位置的回應。

ECS 可協助您:

  • 從地理分佈的服務獲得更好的效能

  • 改善內容交付網路路由準確性

  • 更符合區域內容限制

隱私權考量:

  • ECS 向授權伺服器顯示部分用戶端 IP 資訊 (IPv4 上限為 /24,IPv6 為 /48)

  • 啟用 之前,請考慮您組織的隱私權要求

防火牆故障開啟

防火牆故障開啟設定會決定 DNS 防火牆規則因服務受損或組態問題而無法評估時會發生的情況。

已停用 (預設)

當防火牆規則無法評估時,會封鎖 DNS 查詢。這可提供最大的安全性,但可能會影響服務問題期間的可用性。

已啟用

當防火牆規則無法評估時,允許 DNS 查詢。這會將服務問題期間的可用性優先於安全性。

組織用戶端裝置群組的最佳實務

為不同的用戶端裝置群組設計 DNS 檢視時,請遵循下列最佳實務:

檢視組織策略

  • 依安全需求分隔 - 為具有不同安全許可或存取層級的用戶端裝置建立不同的檢視

  • 依位置組織 - 針對不同的地理位置或網路區段使用不同的檢視

  • 依裝置類型分組 - 建立伺服器、工作站、行動裝置或 IoT 裝置的專用檢視

  • 使用描述性名稱 - 選擇可清楚指出檢視用途和目標用戶端裝置的名稱

安全考量

  • 最低權限原則 - 使用用戶端裝置所需的最低存取權設定每個檢視

  • 預設拒絕 - 從限制性防火牆規則開始,並視需要新增例外狀況

  • 定期檢閱 - 定期檢閱和更新 DNS 檢視組態

  • 監控用量 - 使用 DNS 查詢日誌來監控和分析 DNS 檢視用量模式