Route 53 Resolver DNS Firewall 入门 - Amazon Route 53
Route 53 Resolver DNS Firewall 围墙花园示例Route 53 Resolver DNS Firewall 阻止列表示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Route 53 Resolver DNS Firewall 入门

DNS Firewall 控制台提供有向导,引导您完成开始使用 DNS Firewall 的以下步骤:

  • 为要使用的每组规则创建规则组。

  • 对于每个规则,填充要检查的域列表。您可以创建自己的域列表,也可以使用 Amazon 托管域列表。

  • 将规则组与要使用它们的 VPC 关联起来。

Route 53 Resolver DNS Firewall 围墙花园示例

在本教程中,您将创建一个规则组,该规则组会阻止除您信任的选定域组以外的所有域。这就是所谓的封闭平台,或称围墙花园法。

要使用控制台向导配置 DNS Firewall 规则组

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

    - 或者 -

    登录到 Amazon Web Services Management Console并打开

    Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Rule groups (规则组)。

  3. 在导航栏中,选择规则组的区域。

  4. Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。

  5. 对于规则组名称,输入 WalledGardenExample。如果您想要其它说明,请输入该说明。

  6. 选择 Next (下一步)

  7. Add rules(添加规则)页面,选择 Add rule(添加规则)。

    1. Rule details(规则详细信息)窗格中,输入规则名称 BlockAll

    2. Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。

    3. Choose or create a new domain list(选择或创建新的域列表)中选择 Create new domain(创建新域列表)。

    4. 输入域列表名称 AllDomains,然后在文本框中,输入星号:*

    5. 对于操作,请选择 BLOCK(阻止),然后将响应保留在原定设置 NODATA 状态下等待发送。

    6. 选择 Add rule。向导将显示规则组的 Add page(添加规则)页面,其中列示您的 BlockAll 规则。

  8. 选择 Add rule(添加规则),将第二个规则添加到规则组。

    1. Rule details(规则详细信息)窗格中,输入规则名称 AllowSelectDomains 并将描述留空。

    2. Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。

    3. Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。

    4. 输入域列表名称 ExampleDomains

    5. 在文本框的第一行中,输入 example.com,然后在第二行输入 example.org

      注意

      如果希望此规则也应用于子域,则需要将这些域添加到列表中。例如,要添加示例 .com 的所有子域,请将 *.example.com 添加到列表中。

    6. 对于操作,请选择 ALLOW(允许)。

    7. 选择 Add rule。此向导将显示 Add rules(添加规则)页面,其中列出了您的两个规则。

  9. 选择 Next (下一步)

  10. Set rule priority(设定规则优先级)页面上,您可以调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此列表顶部的规则将第一个评估。在此示例中,我们希望 DNS Firewall 首先识别并允许对选定的域列表进行 DNS 查询,然后阻止任何剩余的查询。

    选择并调整规则顺序,以便第一个列示 AllowSelectDomains

  11. 选择 Next (下一步)

  12. Add tags(添加标签)页面中,选择 Next(下一步)。标签可帮助您组织和管理 Amazon 资源。有关更多信息,请参阅给 Amazon Route 53 资源贴标签

  13. Review and create(审核和创建)页面上,确认上一页上指定的设置是否正确。如有必要,针对适用部分选择 Edit (编辑),并更新设置。如果对设置满意,请选择 Create rule group(创建规则组)。向导会带您返回新的规则组所在的 Rule groups(规则组)页面。

现在,您有了一个只允许通过特定域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联

Route 53 Resolver DNS Firewall 阻止列表示例

在本教程中,您将创建一个规则组,用于阻止已知为恶意域。规则组允许通过 Route 53 Resolver 的所有其它出站 DNS 请求。

要使用控制台向导配置 DNS Firewall 阻止列表

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

    - 或者 -

    登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Rule groups (规则组)。

  3. 在导航栏中,选择规则组的区域。

  4. Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。

  5. 对于规则组名称,输入 BlockListExample。如果您想要其它说明,请输入该说明。

  6. 选择 Next (下一步)

  7. Add rules(添加规则)页面,选择 Add rule(添加规则)。

    1. Rule details(规则详细信息)窗格中,输入规则名称 BlockList

    2. Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。

    3. Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。

    4. 输入域名列表名称 MaliciousDomains,然后在文本框中输入要阻止的域。例如:example.org。每行输入一个域。

      注意

      如果希望此规则也应用于子域,则必须将这些域添加到列表中。例如,要添加示例 .org 的所有子域,请将 *.example.org 添加到列表中。

    5. 对于操作,请选择 BLOCK(阻止),然后将响应保留在原定设置 NODATA 状态下等待发送。

    6. 选择 Add rule。向导将显示规则组的 Add page(添加规则)页面,其中列示您的 BlockList 规则。

  8. 选择 Next (下一步)

  9. Set rule priority(设定规则优先级)页面上,您可以调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此列表顶部的规则将第一个评估。

    选择并调整规则顺序,以便 BlockList 在您可能拥有的任何其它规则之前或之后进行评估。大多数情况下,应首先阻止已知的恶意域。也就是说,与它们关联的规则应具有最低的优先级编号。

  10. Add tags(添加标签)页上,您可以选择添加标签,以便用于搜索和筛选 Amazon 资源。

  11. 选择 Next(下一步),然后选择 Create rule group(创建规则组)。

您现在拥有阻止特定恶意域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联