教學課程:建立您的第一個 Route 53 全域解析程式 - Amazon Route 53
先決條件步驟 1:建立全域解析程式步驟 2:建立 DNS 檢視並設定身分驗證步驟 3:設定 DNS 篩選規則 (選用)步驟 4:測試您的組態步驟 5:監控 DNS 活動步驟 6:清除 (選用)後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:建立您的第一個 Route 53 全域解析程式

此入門指南示範 Route 53 Global Resolver 的基本元件,並選擇性地建立簡單的 DNS 篩選設定。本教學課程涵蓋核心概念,但不包含生產需求,例如用戶端組態、記錄或私有網域解析。

完成後,您將擁有基本的 Route 53 全域解析程式設定,可篩選 DNS 查詢並封鎖惡意網域。

下列各節說明如何使用 Route 53 Global Resolver 快速開始使用 DNS 安全性和篩選。

先決條件

在使用 Route 53 Global Resolver 之前,您需要 AWS 帳戶和適當的許可,才能存取、檢視和編輯 Route 53 Global Resolver 元件。您的系統管理員必須完成 中的步驟設定 Route 53 Global Resolver 的帳戶存取權,然後返回本教學課程。

步驟 1:建立全域解析程式

首先,建立全域解析程式執行個體,然後選取要操作 AWS 的區域。

  1. 在 https://https://console.aws.amazon.com/route53globalresolver/ 開啟 Route 53 Global Resolver 主控台。

  2. 選擇建立全域解析程式

  3. 名稱中,輸入全域解析程式的描述性名稱。

  4. 針對描述,選擇性輸入描述。

  5. 針對區域,選取您要執行個體化全域解析程式的兩個或多個 AWS 區域 區域。選擇最接近您用戶端的區域,以獲得最佳效能。

  6. 或者,新增標籤以協助組織和管理 資源。

  7. 選擇建立全域解析程式

您將會立即收到任何廣播 IPv4 地址,您的用戶端可用來連接解析程式。全域解析程式建立程序需要幾分鐘的時間才能完成,地址才能正常運作。

步驟 2:建立 DNS 檢視並設定身分驗證

建立 DNS 檢視來組織您的用戶端,並使用 IP 存取來源設定身分驗證。本教學課程使用 IP 型身分驗證。您也可以使用 DoH/DoT 通訊協定的存取權杖。

  1. 在 Route 53 全域解析程式主控台中,選擇您的全域解析程式。

  2. 選擇建立 DNS 檢視

  3. 針對名稱,輸入 DNS 檢視的描述性名稱。

  4. 針對描述,選擇性輸入描述。

  5. 選擇建立 DNS 檢視

  6. 建立 DNS 檢視後,選擇存取來源,然後選擇建立存取來源

  7. 針對 CIDR 區塊,輸入用戶端的 IP 地址範圍 (例如 203.0.113.0/24)。

  8. 針對通訊協定,選擇 Do53 (透過連接埠 53 的 DNS) 進行基本設定。

  9. 選擇建立存取來源規則

步驟 3:設定 DNS 篩選規則 (選用)

設定基本 DNS 篩選規則以封鎖對惡意網域的存取。

  1. 在 DNS 檢視中,選擇防火牆規則,然後選擇建立防火牆規則

  2. 針對名稱,輸入規則的描述性名稱。

  3. 針對優先順序,輸入 100(數字越小,優先順序越高)。

  4. 針對動作,選擇封鎖

  5. 針對網域清單類型,選擇AWS 受管網域清單

  6. 針對受管網域清單,選擇 AmazonGuardDutyThreatList惡意軟體和 Botnet 命令和控制,以封鎖已知的惡意網域 (您可以新增其他受管清單,或稍後建立自訂清單)。

  7. 選擇建立防火牆規則

步驟 4:測試您的組態

測試 Route 53 Global Resolver 組態是否正常運作。

  1. 從設定 CIDR 範圍內的用戶端機器,使用全域解析程式提供的任何廣播 IP 地址測試 DNS 解析:

    nslookup example.com <anycast-ip-address>

  2. 驗證合法網域是否正確解析。

  3. 測試封鎖的網域是否已正確篩選。您可以使用測試網域建立自訂網域清單,以驗證防火牆規則是否正常運作。如需受管網域清單的詳細資訊,請參閱受管網域清單

  4. 檢查 Route 53 Global Resolver 主控台是否有查詢日誌和篩選活動。

如需完整的測試程序和故障診斷,請參閱 Route 53 Global Resolver 故障診斷

步驟 5:監控 DNS 活動

為您的 DNS 活動設定記錄。

  1. 選擇可觀測性區域。

  2. 選取查詢日誌的目的地。

如需完整的測試程序和故障診斷,請參閱測試和故障診斷 Route 53 Global Resolver

步驟 6:清除 (選用)

如果您為了測試目的而建立此組態,且不想繼續使用 Route 53 Global Resolver,請清除資源以避免持續收費。

  1. 在 Route 53 Global Resolver 主控台中,刪除您建立的任何防火牆規則。

  2. 刪除您建立的任何存取來源規則。

  3. 刪除 DNS 檢視。

  4. 刪除全域解析程式。

重要

刪除這些資源將停止任何設定為使用它們的用戶端的 DNS 解析。在刪除解析程式或移除存取規則之前,請先更新您的用戶端組態。

後續步驟

現在您已擁有基本的 Route 53 Global Resolver 組態,您可以探索其他功能:

  • 設定用戶端裝置以使用您的解析程式 (生產時需要)。更新您的用戶端 DNS 設定,以使用 全域解析程式所提供的任何廣播 IP 地址。

  • 設定記錄以進行監控和合規 (建議用於生產)。設定記錄到 Amazon CloudWatch、Amazon S3 或 Amazon Data Firehose 以進行監控和分析。如需詳細資訊,請參閱

  • 設定內部網域的私有託管區域轉送 (如果您有私有 AWS 資源,則為必要項目)。如需詳細資訊,請參閱使用私有託管區域

  • 使用 DNS-over-HTTPS (DoH) 或 DNS-over-TLS (DoT) 設定加密 DNS 連線。 DoT 如需詳細資訊,請參閱設定加密的 DNS

  • 建立自訂網域清單和進階篩選規則。如需詳細資訊,請參閱 DNS 篩選