本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 解析器 DNS 防火墙高级
DNS 防火墙高级版根据已知威胁签名在 DNS 查询中检测可疑的 DNS 查询。您可以在规则组内的 DNS 防火墙规则中使用的规则中指定威胁类型。当您将规则组与 VPC 关联时,DNS 防火墙会将您的 DNS 查询与规则中标记的域进行比较。如果找到匹配项,则会根据匹配规则的操作处理 DNS 查询。
DNS Firewall Advanced 的工作原理是通过检查 DNS 有效负载中的一系列关键标识符(包括请求的时间戳、请求和响应的频率、DNS 查询字符串以及出站和入站 DNS 查询的长度、类型或大小)来识别可疑的 DNS 威胁签名。根据威胁签名的类型,您可以配置要阻止的策略,或者干脆对查询进行记录和提醒。通过使用一组扩展的威胁标识符,您可以防范来自域名来源的 DNS 威胁,这些威胁可能尚未被更广泛的安全社区维护的威胁情报源分类。
目前,DNS 防火墙高级版提供以下保护:
域生成算法 (DGAs)
DGAs 被攻击者用来生成大量域来发起恶意软件攻击。
DNS 隧道传输
攻击者使用 DNS 隧道通过使用 DNS 隧道从客户端泄露数据,而无需与客户端建立网络连接。
要了解如何创建规则,请参阅创建规则组和规则和DNS Firewall 中的规则设置。
减少误报情况
如果您在使用 DNS 防火墙高级保护来阻止查询的规则中遇到误报情况,请执行以下步骤:
-
在解析器日志中,确定导致误报的规则组和 DNS 防火墙高级保护。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了规则组、规则操作和 DNS 防火墙高级保护。有关日志的更多信息,请参阅 显示在 Resolver 查询日志中的值。
-
在规则组中创建一个新规则,明确允许被阻止的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。要遵循有关规则组和规则管理的指导,请访问 创建规则组和规则。
-
确定规则组内新规则的优先级,使其在使用托管列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。
更新了规则组后,新规则将在阻止规则运行之前明确允许您希望允许使用的域名。