本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置和管理 DNS 防火墙规则
<a name="gr-configure-manage-firewall-rules"></a>

## 创建和查看防火墙规则
<a name="gr-creating-viewing-firewall-rules"></a>

防火墙规则定义了 Route 53 Global Resolver 如何根据域列表、托管域列表、内容类别或高级威胁防护处理 DNS 查询。每条规则都指定了优先级、目标域和要采取的操作。

**规则优先级的最佳实践：**
+ 将优先级 100-999 用于高优先级允许规则（可信域）
+ 使用优先级 1000-4999 设置屏蔽规则（已知威胁）
+ 对警报规则（监控和分析）使用优先级 5000-9999
+ 在优先级之间留出空白，以便将来可以插入 future 规则

**创建 DNS 防火墙规则**

1. 在 Route 53 全球解析器控制台中，导航到您的 DNS 视图。

1. 选择**防火墙规则**选项卡。

1. 选择**创建防火墙规则**。

1. 在 “**规则详情**” 部分：

   1. 在**规则名称**中，输入规则的描述性名称（最多 128 个字符）。

   1. （可选）在**规则描述**中，输入规则的描述（最多 255 个字符）。

1. 在**规则配置**部分，选择**规则配置类型**：
   + **客户管理的域名列表**-使用您创建和管理的域名列表
   + **Amazon 托管域名列表**-使用 Amazon 提供的可供您使用的域名列表
   + **DNS 防火墙高级保护**-从一系列托管保护中进行选择并指定置信阈值

1. 对于**规则操作**，选择规则匹配时要采取的操作：
   + **允许**-DNS 查询已解决
   + **警报**-允许 DNS 查询但会创建警报
   + **屏蔽**-DNS 查询已被阻止

1. 选择**创建防火墙规则**。

使用以下步骤查看分配给他们的规则。您也可以更新规则和规则设置。

**查看和更新规则**

1. 在 Route 53 全球解析器控制台中，导航到您的 DNS 视图。

1. 选择 **DNS 防火墙规则**选项卡。

1. 选择要查看或编辑的规则，然后选择**编辑**。

1. 在 “**规则**” 页面中，您可以查看和编辑设置。

有关规则的值的信息，请参阅 [DNS Firewall 中的规则设置](#gr-rule-settings-dns-firewall)。

**删除规则**

1. 在 Route 53 全球解析器控制台中，导航到您的 DNS 视图。

1. 选择 **DNS 防火墙规则**选项卡。

1. 选择要删除的规则，然后选择**删除**，然后确认删除。

## DNS Firewall 中的规则设置
<a name="gr-rule-settings-dns-firewall"></a>

在 DNS 视图中创建或编辑 DNS 防火墙规则时，需要指定以下值：

Name  
DNS 视图中规则的唯一标识符。

（可选）描述  
提供有关规则的更多信息的简短描述。

域名清单  
规则检查的域列表。您可以创建和管理自己的域名列表，也可以订阅为您 Amazon 管理的域名列表。  
规则可以包含域列表或 DNS Firewall Advanced 保护，但不能同时包含两者。

查询类型（仅限域列表）  
此规则检查的 DNS 查询类型列表。有效值如下所示：  
+ 答：返回 IPv4 地址。
+ AAAA：返回 IPv6 地址。
+ CAA： CAs 可以为域名创建 SSL/TLS 认证的限制。
+ CNAME：返回另一个域名。
+ DS：标识委派区域 DNSSEC 签名密钥的记录。
+ MX：指定邮件服务器。
+ NAPTR： Regular-expression-based重写域名。
+ NS：权威名称服务器。
+ PTR：将 IP 地址映射到域名。
+ SOA：此区的授权起始点记录。
+ SPF：列出有权从某个域发送电子邮件的服务器。
+ SRV：用于标识服务器的特定应用程序值。
+ TXT：验证电子邮件发件人和特定应用程序的值。
您使用 DNS 类型 ID 定义的查询类型，例如 AAAA 的类型为 28。这些值必须定义为 TYPE`NUMBER`，其中`NUMBER`可以是 1-65334，例如，。 TYPE28有关更多信息，请参阅 [DNS 记录类型列表](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。  
您可以为每条规则创建一个查询类型。

DNS Firewall Advanced 保护  
根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以选择如下方面的保护：  
+ 域生成算法 (DGAs)

  DGAs 被攻击者用来生成大量域来发起恶意软件攻击。
+ DNS 隧道

  DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据，而无需与客户端建立网络连接。
在 DNS Firewall Advanced 规则中，您可以选择阻止与威胁匹配的查询或针对其发出提醒。  
有关更多信息，请参阅 DNS 防火墙高级保护。  
规则可以包含 DNS Firewall Advanced 保护或域列表，但不能同时包含两者。

置信度阈值（仅限 DNS Firewall Advanced）  
DNS Firewall Advanced 的置信度阈值。创建 DNS Firewall Advanced 规则时必须提供此值。置信度值代表：  
+ 高 – 仅检测证实度最高的威胁，误报率低。
+ 中 – 在检测威胁和误报之间保持平衡。
+ 低 – 提供最高威胁检测率，但也会增加误报。
有关更多信息，请参阅 DNS 防火墙中的规则设置。

Action  
您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息，请参阅 [DNS Firewall 中的规则操作](#gr-rule-actions-dns-firewall)。

优先级  
用于确定处理顺序的 DNS 视图中规则的唯一正整数设置。DNS Firewall 根据 DNS 视图中的规则检查 DNS 查询，从最低的数字优先级设置开始，然后向上移动。您可以随时更改规则的优先级，例如更改处理顺序或为其它规则留出空间。

## DNS Firewall 中的规则操作
<a name="gr-rule-actions-dns-firewall"></a>

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时，它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一：
+ **允许**：停止检查查询并容许查询通过。不适用于 DNS Firewall Advanced。
+ **提醒**：停止检查查询，容许查询通过，并在 Route 53 Resolver 日志中记录查询的提醒。
+ **阻止**：停止检查查询，阻止查询前往其预定目标，并在 Route 53 Resolver 日志中记录对查询的阻止操作。

  回复已配置的阻止响应，具体如下：
  + **NODATA**：表示查询成功但不能提供响应的回复。
  + **NXDOMAI** N — 响应表示查询的域名不存在。
  + **覆盖**-在响应中提供自定义覆盖。此选项需要以下额外设置：
    + **记录值**：为响应查询而发送回的自定义 DNS 记录。
    + **记录类型**-DNS 记录的类型。这决定了记录值的格式。必须是 `CNAME`。
    + 存@@ **活时间（以秒**为单位）— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间（如果再次收到该查询）。预设情况下，此值为零，并且记录不会被缓存。