本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Route 53 全球解析器中配置 DNS 视图设置
Route 53 Global Resolver 允许您根据不同的客户端设备组的安全要求和访问需求为其配置不同的 DNS 策略和访问控制。根据不同的客户端设备组的安全要求和访问需求,在 Route 53 Global Resolver 中为其设置 DNS 策略和访问控制。
为客户端组配置 DNS 设置
每个 DNS 视图都有多个设置,用于控制如何处理和解析不同客户端设备组的 DNS 查询。
DNSSEC 验证
DNSSEC 验证有助于确保公共域名的 DNS 响应是真实的,并且没有被篡改。启用 DNSSEC 验证后,Route 53 Global Resolver 会检查 DNSSEC 签名,并针对签名无效的域返回 SERVFAIL。
在以下情况下,可以考虑启用 DNSSEC 验证:
-
您的组织需要对 DNS 响应进行加密验证
-
你需要防御 DNS 欺骗和缓存中毒攻击
-
您的合规性要求需要 DNSSEC 验证
注意
DNSSEC 验证仅适用于公共域。私有托管区域使用自己的身份验证机制。
EDNS 客户端子网 (ECS)
EDNS 客户端子网在发送到权威服务器的 DNS 查询中包含有关客户端网络位置的信息。这使内容交付网络和地理分布的服务能够提供适合位置的响应。
ECS 可以帮助您:
-
从地理分布的服务中获得更好的性能
-
提高内容分发网络路由的准确性
-
更好地遵守区域内容限制
隐私注意事项:
-
ECS 向权威服务器显示部分客户端 IP 信息(最大值为 /24,最大值为 IPv4 /48) IPv6
-
在启用之前,请考虑贵组织的隐私要求
防火墙无法打开
防火墙失效打开设置决定了由于服务受损或配置问题而无法评估 DNS 防火墙规则时会发生什么。
- 已禁用(默认)
-
如果无法评估防火墙规则,则会阻止 DNS 查询。这为您提供了最大的安全性,但可能会在服务出现问题期间影响可用性。
- 已启用
-
如果无法评估防火墙规则,则允许 DNS 查询。在出现服务问题期间,这会优先考虑可用性而不是安全性。
组织客户端设备组的最佳实践
在为不同的客户端设备组设计 DNS 视图时,请遵循以下最佳实践:
查看组织策略
-
按安全要求分开-为具有不同安全许可或访问级别的客户端设备创建不同的视图
-
按位置整理-对不同的地理位置或网段使用不同的视图
-
按设备类型分组-为服务器、工作站、移动设备或物联网设备创建专用视图
-
使用描述性名称-选择能清楚表明视图目的和目标客户机设备的名称
安全注意事项
-
最低权限原则-为每个视图配置其客户端设备所需的最低访问权限
-
默认拒绝-从限制性防火墙规则开始,然后根据需要添加例外情况
-
定期审查-定期检查和更新 DNS 视图配置
-
监控使用情况-使用 DNS 查询日志监控和分析 DNS 视图使用模式