DNS 防火墙高级保护 - Amazon Route 53
减少误报情况
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS 防火墙高级保护

DNS Firewall Advanced 根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以在与 DNS 视图关联的 DNS 防火墙规则中使用的规则中指定威胁类型。

DNS Firewall Advanced 的工作原理是通过检查 DNS 有效载荷中的一系列关键标识符来识别可疑的 DNS 威胁特征,包括请求的时间戳、请求和响应的频率、DNS 查询字符串以及出站和入站 DNS 查询的长度、类型或大小。根据威胁签名的类型,您可以配置要阻止的策略,或者直接对查询进行记录和提醒。通过使用一组扩展的威胁标识符,您可以防范来自域来源的 DNS 威胁,这些域来源可能尚未被更广泛的安全社区维护的威胁情报源分类。

目前,DNS Firewall Advanced 提供以下保护:

  • 域生成算法 (DGAs)

    DGAs 被攻击者用来生成大量域来发起恶意软件攻击。

  • DNS 隧道

    DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。

要了解如何创建规则,请参阅配置和管理 DNS 防火墙规则

减少误报情况

如果您在使用 DNS Firewall Advanced 保护阻止查询的规则中遇到误报情况,请执行以下步骤:

  1. 在全局解析器日志中,确定导致误报的规则和 DNS 防火墙高级保护。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了 DNS 视图、规则、规则操作和 DNS 防火墙高级保护。

  2. 在 DNS 视图中创建一条新规则,明确允许被屏蔽的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。请遵循规则管理指南,网址为配置和管理 DNS 防火墙规则

  3. 在规则中优先考虑新规则,使其在使用托管列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。

更新规则后,新规则将在屏蔽规则运行之前明确允许您想要允许的域名。