本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# DNS 防火墻規則群組與規則
<a name="resolver-dns-firewall-rule-groups"></a>

本節說明您可以為 DNS 防火牆規則群組和規則進行的設定，以定義 VPC 的 DNS 防火牆行為。它也說明如何管理規則群組和規則的設定。

以所需的方式設定規則群組之後，您可以直接使用這些規則群組，而且可以在 AWS Organizations中於帳戶之間和組織間共用和管理這些群組。
+ 您可以將規則群組與多個 VPC 產生關聯，以便在整個組織中提供一致的行為。如需相關資訊，請參閱 [管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
+ 您可以在帳戶之間共用規則群組，以便在整個組織中進行一致的 DNS 查詢管理。如需相關資訊，請參閱[在 AWS 帳戶之間共用解析程式 DNS 防火牆規則群組](resolver-dns-firewall-rule-group-sharing.md)。
+ 您可以在 中使用整個組織的規則群組 AWS Organizations ，方法是在 AWS Firewall Manager 政策中管理它們。如需 Firewall Manager 的詳細資訊，請參閱[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)《》中的 *AWS WAF AWS Firewall Manager和 AWS Shield Advanced 開發人員指南*。

# DNS 防火牆中的規則群組設定
<a name="resolver-dns-firewall-rule-group-settings"></a>

當您建立或編輯 DNS 防火墻規則群組時，請指定下列值：

**名稱**  
獨特的名稱可讓您在儀表板中輕鬆找出規則群組。

**(選用) 說明**  
為規則群組提供更多內容的簡短說明。

**區域**  
您在建立規則群組時選擇 AWS 的區域。您在某個區域中建立的規則群組只能在該區域中使用。若要在多個區域中使用相同的規則群組，您必須在每個區域中建立該規則。

**規則**  
規則群組篩選行為包含在其規則中。有關資訊，請參閱下一節。

**Tags (標籤)**  
指定一或多個金鑰和對應的值。例如，您可以為**金鑰**指定**成本中心**，為**值** 指定 **456**。  
這些是 AWS 帳單與成本管理 提供用於組織帳單 AWS 的標籤。如需有關使用成本分配標籤的詳細資訊，請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。

# DNS 防火牆中的規則設定
<a name="resolver-dns-firewall-rule-settings"></a>

當您建立或編輯 DNS 防火墻規則群組中的規則時，請指定下列值：

**名稱**  
規則群組中規則的唯一識別符。

**(選用) 說明**  
提供規則詳細資訊的簡短說明。

**網域清單**  
規則檢查的網域清單。您可以建立和管理自己的網域清單，也可以訂閱 AWS 會為您管理的網域清單。如需詳細資訊，請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)。  
規則可以包含網域清單或 DNS Firewall Advanced 保護，但不能同時包含兩者。

**網域重新導向設定 （僅限網域清單）**  
您可以選擇讓 DNS 防火牆規則僅檢查 DNS 重新導向鏈中的第一個網域或所有網域 （預設），例如 CNAME、DNAME 等。如果您選擇檢查所有網域，則必須將 DNS 重新導向鏈中的後續網域新增至網域清單，並將 設定為您希望規則採取的動作，包括 ALLOW、BLOCK 或 ALERT。如需詳細資訊，請參閱[解析程式 DNS 防火牆元件和設定](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)。  
網域重新導向設定的信任行為僅適用於單一 DNS 查詢交易。如果主機上的 DNS 用戶端分別查詢出現在 DNS 重新導向鏈中的網域 （例如，直接查詢重新導向目標），DNS 防火牆會將其評估為獨立查詢，而原始查詢沒有信任內容。若要允許此類查詢，請將重新導向目標網域新增至您的網域清單。

**查詢類型 （僅限網域清單）**  
規則檢查的 DNS 查詢類型清單。以下是有效值：  
+  答：傳回 IPv4 地址。
+ AAAA：傳回 Ipv6 地址。
+ CAA：限制可建立網域 SSL/TLS 憑證的 CAs。
+ CNAME：傳回另一個網域名稱。
+ DS：識別委派區域的 DNSSEC 簽署金鑰的記錄。
+ MX：指定郵件伺服器。
+ NAPTR：以Regular-expression-based網域名稱重寫。
+ NS：授權名稱伺服器。
+ PTR：將 IP 地址映射至網域名稱。
+ SOA：區域的授權記錄開始。
+ SPF：列出授權從網域傳送電子郵件的伺服器。
+ SRV：識別伺服器的應用程式特定值。
+ TXT：驗證電子郵件寄件者和應用程式特定值。
+ 您使用 DNS 類型 ID 定義的查詢類型，例如 28 for AAAA。這些值必須定義為 TYPE* NUMBER*，其中 *NUMBER* 可以是 1-65334，例如 TYPE28。如需詳細資訊，請參閱 [DNS 記錄類型的清單](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。

  您可以為每個規則建立一個查詢類型。
**注意**  
如果您在查詢類型上設定具有動作 NXDOMAIN 的防火牆 BLOCK 規則等於 AAAA，則此動作不會套用至啟用 DNS64 時產生的合成 IPv6 地址。 DNS64 

**DNS 防火牆進階保護**  
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護：  
+ 網域產生演算法 (DGAs)

  攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道

  攻擊者會使用 DNS 通道，透過使用 DNS 通道從用戶端洩漏資料，而無需與用戶端建立網路連線。
+ 字典 DGA

  攻擊者會使用字典 DGAs 來產生使用字典文字的網域，以在惡意軟體command-and-control通訊中逃避偵測。
在 DNS Firewall Advanced 規則中，您可以選擇封鎖或提醒符合威脅的查詢。  
如需詳細資訊，請參閱 [解析程式 DNS 防火牆進階](firewall-advanced.md)。  
規則可以包含 DNS Firewall Advanced 保護或網域清單，但不能同時包含兩者。

**可信度閾值 （僅限 DNS Firewall Advanced)**  
進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時，必須提供此值。安心程度值，意即：  
+ 高 — 僅偵測得到最充分證實的威脅，誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率，但也會增加誤報。
如需詳細資訊，請參閱[DNS 防火牆中的規則設定](#resolver-dns-firewall-rule-settings)。

**Action**  
您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊，請參閱[DNS 防火牆中的規則動作](resolver-dns-firewall-rule-actions.md)。

**Priority**  
在規則群組中決定處理順序的唯一正整數規則設定。DNS 防火墻會根據規則群組中的規則檢查 DNS 查詢，從最低數值優先順序設定開始處理。您可以隨時變更規則的優先順序，例如變更處理順序或為其他規則騰出空間。

# DNS 防火牆中的規則動作
<a name="resolver-dns-firewall-rule-actions"></a>

當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時，它會將規則中指定的動作套用至查詢。

您需要在建立的每個規則中指定下列其中一個選項：
+ ** Allow ** – 停止檢查查詢並允許其通過。不適用於 DNS 防火牆進階。
+ ** Alert ** – 停止檢查查詢，允許其通過，並在 Route 53 VPC Resolver 日誌中記錄查詢的提醒。
+ ** Block ** – 停止查詢的檢查、封鎖查詢前往其預期目的地，並在 Route 53 VPC Resolver 日誌中記錄查詢的封鎖動作。

  以如下內容回覆設定的封鎖回應：
  + ** NODATA ** – 回應表示查詢成功，但沒有可用的回應。
  + ** NXDOMAIN **– 回應，指出查詢的網域名稱不存在。
  + ** OVERRIDE **– 在回應中提供自訂覆寫。此選項需要下列附加設定：
    + ** Record value ** – 要傳回以回應查詢的自訂 DNS 記錄。
    + ** Record type **– DNS 記錄的類型。這會決定記錄值的格式。這必須是 `CNAME`。
    + ** Time to live in seconds **– DNS 解析程式或 Web 瀏覽器快取覆寫記錄並用於回應此查詢的建議時間長度，如果再次收到的話。預設情況下，時間為零，而且不會快取記錄。

如需查詢日誌組態和內容的詳細資訊，請參閱 [解析程式查詢日誌記錄](resolver-query-logs.md) 和 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。

**使用 Alert 來測試封鎖規則**  
當您第一次建立封鎖規則時，可以對其進行測試，方法是以設為 Alert 的動作設定該罪責。然後，您可以查看開啟規則提醒的查詢數目，以瞭解在將動作設定為 Block 時會封鎖的查詢數。

# 管理 DNS 防火牆中的規則群組和規則
<a name="resolver-dns-firewall-rule-group-managing"></a>

若要在主控台中管理規則群組和規則，請遵循本節中的指引。

當您變更 DNS 防火牆實體 (例如規則和網域清單) 時，DNS 防火牆會將變更傳播到儲存和使用該實體的所有位置。您的變更會在幾秒鐘內套用，但是當變更已經到達某些位置而不是在其他位置時，可能會有短暫的不一致的時間。因此，舉例而言，如果您將網域新增至封鎖規則所參考的網域清單中，新網域可能會在 VPC 的某個區域中短暫封鎖，而在另一個區域中仍然得到允許。當您第一次設定規則群組和 VPC 關聯，以及變更現有設定時，可能會發生此暫時不一致的情況。一般來說，這種類型的任何不一致只會持續幾秒鐘。

# 建立規則群組和規則
<a name="resolver-dns-firewall-rule-group-adding"></a>

若要建立規則群組並將其新增規則，請遵循此程序中的步驟。

**若要建立規則群組及其規則**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在導覽窗格中選擇 **DNS 防火牆**，以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。

   - 或 - 

   登入 AWS 管理主控台 並開啟 

   位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。

1. 在導覽窗格中的 **DNS 防火牆**下方，選擇**規則群組**。

1. 在導覽列中，選擇規則群組的區域。

1. 選擇 **Add rule group (新增規則群組)**，然後依照精靈指引來指定規則群組和規則設定。

   如需有關規則群組值的資訊，請參閱 [DNS 防火牆中的規則群組設定](resolver-dns-firewall-rule-group-settings.md)。

   如需有關規則值的資訊，請參閱 [DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。

# 檢視并更新規則群組和規則
<a name="resolver-dns-firewall-rule-group-editing"></a>

使用下列程序來檢視規則群組和指派給他們的規則。您也可以更新規則群組和規則設定。

**若要檢視和更新規則群組**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在導覽窗格中選擇 **DNS 防火牆**，以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。

   - 或 - 

   登入 AWS 管理主控台 並開啟 

   位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。

1. 在導覽窗格中的 **DNS 防火牆**下方，選擇**規則群組**。

1. 在導覽列中，選擇該規則群組的區域。

1. 選取您要檢視或編輯的規則群組，然後選擇 **View details (檢視詳細資訊)**。

1. 在規則群組的頁面中，您可以檢視和編輯設定。

   如需有關規則群組值的資訊，請參閱 [DNS 防火牆中的規則群組設定](resolver-dns-firewall-rule-group-settings.md)。

   如需有關規則值的資訊，請參閱 [DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。

# 刪除規則群組
<a name="resolver-dns-firewall-rule-group-deleting"></a>

若要刪除規則群組，請執行以下程序。

**重要**  
如果您刪除與 VPC 相關聯的規則群組，DNS 防火牆會移除關聯，並停止規則群組提供給 VPC 的保護。

**刪除 DNS 防火墻實體**  
當您刪除可在 DNS 防火牆中使用的實體 (例如規則群組中可能正在使用的網域清單) 或可能與 VPC 關聯的規則群組時，DNS 防火牆會檢查該實體目前是否正在使用中。如果發現該實體正在使用中，DNS 防火牆會警告您。DNS 防火墻幾乎總是能夠判斷實體是否正在使用中。但是在極少數的情況下，它也可能無法判斷。如果您需要確定目前沒有任何物件正在使用該實體，請在 DNS 防火墻組態中檢查它，然後予以刪除。如果實體是參考的網域清單，請檢查沒有規則群組正在使用它。如果實體是規則群組，請檢查該實體是否與任何 VPC 相關聯。

**刪除規則群組**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在導覽窗格中選擇 **DNS 防火牆**，以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。

   - 或 - 

   登入 AWS 管理主控台 並開啟 

   位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。

1. 在導覽窗格中的 **DNS 防火牆**下方，選擇**規則群組**。

1. 在導覽列中，選擇規則群組的區域。

1. 選取您要刪除的規則群組，然後選擇**刪除**，然後確認刪除。