配置和管理 DNS 防火墙规则 - Amazon Route 53
创建和查看防火墙规则DNS Firewall 中的规则设置DNS Firewall 中的规则操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置和管理 DNS 防火墙规则

创建和查看防火墙规则

防火墙规则定义了 Route 53 Global Resolver 如何根据域列表、托管域列表、内容类别或高级威胁防护处理 DNS 查询。每条规则都指定了优先级、目标域和要采取的操作。

规则优先级的最佳实践:

  • 将优先级 100-999 用于高优先级允许规则(可信域)

  • 使用优先级 1000-4999 设置屏蔽规则(已知威胁)

  • 对警报规则(监控和分析)使用优先级 5000-9999

  • 在优先级之间留出空白,以便将来可以插入 future 规则

创建 DNS 防火墙规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 “防火墙规则” 选项卡。

  3. 选择创建防火墙规则

  4. 在 “规则详情” 部分:

    1. 规则名称中,输入规则的描述性名称(最多 128 个字符)。

    2. (可选)在规则描述中,输入规则的描述(最多 255 个字符)。

  5. 规则配置部分,选择规则配置类型

    • 客户管理的域名列表-使用您创建和管理的域名列表

    • Amazon 托管域名列表-使用 Amazon 提供的可供您使用的域名列表

    • DNS 防火墙高级保护-从一系列托管保护中进行选择并指定置信阈值

  6. 在 “规则操作” 中,选择规则匹配时要采取的操作:

    • 允许-DNS 查询已解决

    • 警报-允许 DNS 查询但会创建警报

    • 屏蔽-DNS 查询已被阻止

  7. 选择创建防火墙规则

使用以下步骤查看分配给他们的规则。您也可以更新规则和规则设置。

查看和更新规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 DNS 防火墙规则选项卡。

  3. 选择要查看或编辑的规则,然后选择编辑

  4. 在 “规则” 页面中,您可以查看和编辑设置。

有关规则的值的信息,请参阅 DNS Firewall 中的规则设置

删除规则

  1. 在 Route 53 全球解析器控制台中,导航到您的 DNS 视图。

  2. 选择 DNS 防火墙规则选项卡。

  3. 选择要删除的规则,然后选择删除,然后确认删除。

DNS Firewall 中的规则设置

在 DNS 视图中创建或编辑 DNS 防火墙规则时,需要指定以下值:

Name

DNS 视图中规则的唯一标识符。

(可选)描述

提供有关规则的更多信息的简短描述。

域名清单

规则检查的域列表。您可以创建和管理自己的域名列表,也可以订阅为您 Amazon 管理的域名列表。

规则可以包含域列表或 DNS Firewall Advanced 保护,但不能同时包含两者。

查询类型(仅限域列表)

此规则检查的 DNS 查询类型列表。有效值如下所示:

  • 答:返回 IPv4 地址。

  • AAAA:返回 IPv6 地址。

  • CAA: CAs 可以为域名创建 SSL/TLS 认证的限制。

  • CNAME:返回另一个域名。

  • DS:标识委派区域 DNSSEC 签名密钥的记录。

  • MX:指定邮件服务器。

  • NAPTR: Regular-expression-based重写域名。

  • NS:权威名称服务器。

  • PTR:将 IP 地址映射到域名。

  • SOA:此区的授权起始点记录。

  • SPF:列出有权从某个域发送电子邮件的服务器。

  • SRV:用于标识服务器的特定应用程序值。

  • TXT:验证电子邮件发件人和特定应用程序的值。

您使用 DNS 类型 ID 定义的查询类型,例如 AAAA 的类型为 28。这些值必须定义为 TYPENUMBER,其中NUMBER可以是 1-65334,例如,。 TYPE28有关更多信息,请参阅 DNS 记录类型列表

您可以为每条规则创建一个查询类型。

DNS Firewall Advanced 保护

根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以选择如下方面的保护:

  • 域生成算法 (DGAs)

    DGAs 被攻击者用来生成大量域来发起恶意软件攻击。

  • DNS 隧道

    DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。

在 DNS Firewall Advanced 规则中,您可以选择阻止与威胁匹配的查询或针对其发出提醒。

有关更多信息,请参阅 DNS 防火墙高级保护。

规则可以包含 DNS Firewall Advanced 保护或域列表,但不能同时包含两者。

置信度阈值(仅限 DNS Firewall Advanced)

DNS Firewall Advanced 的置信度阈值。创建 DNS Firewall Advanced 规则时必须提供此值。置信度值代表:

  • 高 – 仅检测证实度最高的威胁,误报率低。

  • 中 – 在检测威胁和误报之间保持平衡。

  • 低 – 提供最高威胁检测率,但也会增加误报。

有关更多信息,请参阅 DNS 防火墙中的规则设置。

Action

您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息,请参阅 DNS Firewall 中的规则操作

优先级

用于确定处理顺序的 DNS 视图中规则的唯一正整数设置。DNS Firewall 根据 DNS 视图中的规则检查 DNS 查询,从最低的数字优先级设置开始,然后向上移动。您可以随时更改规则的优先级,例如更改处理顺序或为其它规则留出空间。

DNS Firewall 中的规则操作

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一:

  • 允许-停止检查查询并允许其通过。不适用于 DNS Firewall Advanced。

  • 警报 — 停止检查查询,允许其通过,并在 Route 53 Resolver 日志中记录查询警报。

  • 阻止 — 停止检查查询,阻止其前往其预期目的地,并将该查询的阻止操作记录在 Route 53 Resolver 日志中。

    回复已配置的阻止响应,具体如下:

    • NODAT A — 响应表示查询成功,但没有可用的响应。

    • NXDOMAI N — 响应表示查询的域名不存在。

    • 覆盖-在响应中提供自定义覆盖。此选项需要以下额外设置:

      • 记录值-为响应查询而发送回的自定义 DNS 记录。

      • 记录类型-DNS 记录的类型。这决定了记录值的格式。必须是 CNAME

      • 存@@ 活时间(以秒为单位)— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间(如果再次收到该查询)。预设情况下,此值为零,并且记录不会被缓存。