本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
DNS 防火牆中的規則設定
當您建立或編輯 DNS 防火墻規則群組中的規則時,請指定下列值:
- Name
-
規則群組中規則的唯一識別符。
- (選用) 說明
-
提供規則詳細資訊的簡短說明。
- 網域清單
-
規則檢查的網域清單。您可以建立和管理自己的網域清單,也可以訂閱 AWS 會為您管理的網域清單。如需詳細資訊,請參閱Route 53 Resolver DNS 防火墻網域清單。
規則可以包含網域清單或 DNS Firewall Advanced 保護,但不能同時包含兩者。
- 網域重新導向設定 (僅限網域清單)
-
您可以選擇 DNS 防火牆規則,只檢查 DNS 重新導向鏈中的第一個網域或所有網域 (預設),例如 CNAME、DNAME 等。如果您選擇檢查所有網域,則必須將 DNS 重新導向鏈中的後續網域新增至網域清單,並將 設定為您希望規則採取的動作,包括 ALLOW、BLOCK 或 ALERT。如需詳細資訊,請參閱Route 53 Resolver DNS 防火墻的元件和設定。
- 查詢類型 (僅限網域清單)
-
規則檢查的 DNS 查詢類型清單。以下是有效值:
-
答:傳回 IPv4 地址。
-
AAAA:傳回 Ipv6 地址。
-
CAA:限制可建立網域 SSL/TLS 憑證的 CAs。
-
CNAME:傳回另一個網域名稱。
-
DS:識別委派區域的 DNSSEC 簽署金鑰的記錄。
-
MX:指定郵件伺服器。
-
NAPTR:以Regular-expression-based網域名稱重寫。
-
NS:授權名稱伺服器。
-
PTR:將 IP 地址映射至網域名稱。
-
SOA:區域的授權記錄開始。
-
SPF:列出授權從網域傳送電子郵件的伺服器。
-
SRV:識別伺服器的應用程式特定值。
-
TXT:驗證電子郵件寄件者和應用程式特定值。
-
您使用 DNS 類型 ID 定義的查詢類型,例如 28 for AAAA。這些值必須定義為 TYPE
NUMBER,其中NUMBER可以是 1-65334,例如 TYPE28。如需詳細資訊,請參閱 DNS 記錄類型的清單。 您可以為每個規則建立一個查詢類型。
注意
如果您在查詢類型上設定具有動作 NXDOMAIN 的防火牆 BLOCK 規則等於 AAAA,則此動作不會套用至啟用 DNS64 時產生的合成 IPv6 地址。 DNS64
-
- DNS 防火牆進階保護
-
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護:
-
網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
-
DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
-
字典 DGA
攻擊者會使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。
在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。
如需詳細資訊,請參閱 Route 53 Resolver DNS 防火牆進階。
規則可以包含 DNS Firewall Advanced 保護或網域清單,但不能同時包含兩者。
-
- 可信度閾值 (僅限 DNS Firewall Advanced)
-
DNS Firewall Advanced 的可信度閾值。建立 DNS Firewall Advanced 規則時,您必須提供此值。可信度層級值表示:
-
高 – 僅偵測具有低誤報率的最可靠威脅。
-
中 — 在偵測威脅和誤報之間取得平衡。
-
低 – 為威脅提供最高偵測率,但也會增加誤報。
如需詳細資訊,請參閱DNS 防火牆中的規則設定。
-
- Action
-
您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊,請參閱DNS 防火牆中的規則動作。
- 優先順序
-
在規則群組中決定處理順序的唯一正整數規則設定。DNS 防火墻會根據規則群組中的規則檢查 DNS 查詢,從最低數值優先順序設定開始處理。您可以隨時變更規則的優先順序,例如變更處理順序或為其他規則騰出空間。
