設定和管理 DNS 防火牆規則 - Amazon Route 53
建立和檢視防火牆規則DNS 防火牆中的規則設定DNS 防火牆中的規則動作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定和管理 DNS 防火牆規則

建立和檢視防火牆規則

防火牆規則定義 Route 53 Global Resolver 如何處理以網域清單、受管網域清單、內容類別或進階威脅防護為基礎的 DNS 查詢。每個規則都會指定優先順序、目標網域和要採取的動作。

規則優先順序的最佳實務:

  • 將優先順序 100-999 用於高優先順序允許規則 (受信任網域)

  • 針對區塊規則 (已知威脅) 使用優先順序 1000-4999

  • 針對警示規則使用優先順序 5000-9999 (監控和分析)

  • 在優先順序之間保留差距,以允許未來規則插入

建立 DNS 防火牆規則

  1. 在 Route 53 全域解析程式主控台中,導覽至您的 DNS 檢視。

  2. 選擇防火牆規則索引標籤。

  3. 選擇建立防火牆規則

  4. 規則詳細資訊區段中:

    1. 針對規則名稱,輸入規則的描述性名稱 (最多 128 個字元)。

    2. (選用) 針對規則描述,輸入規則的描述 (最多 255 個字元)。

  5. 規則組態區段中,選擇規則組態類型

    • 客戶受管網域清單 - 使用您建立和管理的網域清單

    • AWS 受管網域清單 - 使用 Amazon 提供的網域清單,供您使用

    • DNS Firewall Advanced 保護 - 從一系列受管保護中選擇並指定可信度閾值

  6. 針對規則動作,選擇規則符合時要採取的動作:

    • 允許 - DNS 查詢已解析

    • 提醒 - 允許 DNS 查詢,但會建立提醒

    • 封鎖 - DNS 查詢遭到封鎖

  7. 選擇建立防火牆規則

使用下列程序來檢視指派給他們的規則。您也可以更新規則和規則設定。

檢視和更新規則

  1. 在 Route 53 全域解析程式主控台中,導覽至您的 DNS 檢視。

  2. 選擇 DNS 防火牆規則索引標籤。

  3. 選擇您要檢視或編輯的規則,然後選擇編輯

  4. 規則頁面中,您可以檢視和編輯設定。

如需有關規則值的資訊,請參閱 DNS 防火牆中的規則設定

刪除規則

  1. 在 Route 53 全域解析程式主控台中,導覽至您的 DNS 檢視。

  2. 選擇 DNS 防火牆規則索引標籤。

  3. 選擇您要刪除的規則,然後選擇刪除,然後確認刪除。

DNS 防火牆中的規則設定

當您在 DNS 檢視中建立或編輯 DNS 防火牆規則時,您可以指定下列值:

Name

DNS 檢視中規則的唯一識別符。

(選用) 說明

提供規則詳細資訊的簡短說明。

網域清單

規則檢查的網域清單。您可以建立和管理自己的網域清單,也可以訂閱為您 AWS 管理的網域清單。

規則可以包含網域清單或 DNS Firewall Advanced 保護,但不能同時包含兩者。

查詢類型 (僅限網域清單)

規則檢查的 DNS 查詢類型清單。以下是有效值:

  • 答:傳回 IPv4 地址。

  • AAAA:傳回 Ipv6 地址。

  • CAA:限制可建立網域 SSL/TLS 憑證的 CAs。

  • CNAME:傳回另一個網域名稱。

  • DS:識別委派區域的 DNSSEC 簽署金鑰的記錄。

  • MX:指定郵件伺服器。

  • NAPTR:以Regular-expression-based網域名稱重寫。

  • NS:授權名稱伺服器。

  • PTR:將 IP 地址映射至網域名稱。

  • SOA:區域的授權記錄開始。

  • SPF:列出授權從網域傳送電子郵件的伺服器。

  • SRV:識別伺服器的應用程式特定值。

  • TXT:驗證電子郵件寄件者和應用程式特定值。

您使用 DNS 類型 ID 定義的查詢類型,例如 28 for AAAA。這些值必須定義為 TYPENUMBER,其中 NUMBER可以是 1-65334,例如 TYPE28。如需詳細資訊,請參閱 DNS 記錄類型的清單

您可以為每個規則建立一個查詢類型。

DNS 防火牆進階保護

根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護:

  • 網域產生演算法 (DGAs)

    攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。

  • DNS 通道

    攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。

在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。

如需詳細資訊,請參閱 DNS Firewall Advanced 保護。

規則可以包含 DNS Firewall Advanced 保護或網域清單,但不能同時包含兩者。

可信度閾值 (僅限 DNS Firewall Advanced)

進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時,必須提供此值。安心程度值,意即:

  • 高 — 僅偵測得到最充分證實的威脅,誤報率較低。

  • 中 — 在偵測威脅和誤報之間取得平衡。

  • 低 — 提供最高的威脅偵測率,但也會增加誤報。

如需詳細資訊,請參閱 DNS 防火牆中的規則設定。

Action

您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊,請參閱DNS 防火牆中的規則動作

Priority

DNS 檢視中決定處理順序之規則的唯一正整數設定。DNS 防火牆會針對 DNS 檢視中的規則檢查 DNS 查詢,從最低的數值優先順序設定開始,然後繼續執行。您可以隨時變更規則的優先順序,例如變更處理順序或為其他規則騰出空間。

DNS 防火牆中的規則動作

當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時,它會將規則中指定的動作套用至查詢。

您需要在建立的每個規則中指定下列其中一個選項:

  • 允許 – 停止檢查查詢並允許其通過。不適用於 DNS Firewall Advanced。

  • 提醒 – 停止檢查查詢、允許查詢通過,並在 Route 53 Resolver 日誌中記錄查詢的提醒。

  • 封鎖 – 停止查詢的檢查、封鎖查詢前往其預期目的地,並在 Route 53 Resolver 日誌中記錄查詢的封鎖動作。

    以如下內容回覆設定的封鎖回應:

    • NODATA – 回應表示查詢成功,但沒有可用的回應。

    • NXDOMAIN – 回應表示查詢的網域名稱不存在。

    • OVERRIDE – 在回應中提供自訂覆寫。此選項需要下列附加設定:

      • 記錄值 – 要傳回以回應查詢的自訂 DNS 記錄。

      • 記錄類型 – DNS 記錄的類型。這會決定記錄值的格式。這必須是 CNAME

      • 秒為單位的存留時間 – DNS 解析程式或 Web 瀏覽器快取覆寫記錄的建議時間,如果再次收到,請使用它來回應此查詢。預設情況下,時間為零,而且不會快取記錄。