Route 53 Resolver DNS Firewall 入门
DNS Firewall 控制台提供有向导,引导您完成开始使用 DNS Firewall 的以下步骤:
-
为要使用的每组规则创建规则组。
-
对于每个规则,填充要检查的域列表。您可以创建自己的域列表,也可以使用 Amazon 托管域列表。
-
将规则组与要使用它们的 VPC 关联起来。
Route 53 Resolver DNS Firewall 围墙花园示例
在本教程中,您将创建一个规则组,该规则组会阻止除您信任的选定域组以外的所有域。这就是所谓的封闭平台,或称围墙花园法。
要使用控制台向导配置 DNS Firewall 规则组
-
登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。 - 或者 -
登录到 Amazon Web Services Management Console并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Rule groups (规则组)。
-
在导航栏中,选择规则组的区域。
-
在 Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。
-
对于规则组名称,输入
WalledGardenExample
。如果您想要其它说明,请输入该说明。 -
选择 Next (下一步)。
-
在 Add rules(添加规则)页面,选择 Add rule(添加规则)。
-
在 Rule details(规则详细信息)窗格中,输入规则名称
BlockAll
。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)中选择 Create new domain(创建新域列表)。
-
输入域列表名称
AllDomains
,然后在文本框中,输入星号:*
。 -
对于操作,请选择 BLOCK(阻止),然后将响应保留在原定设置 NODATA 状态下等待发送。
-
选择 Add rule。向导将显示规则组的 Add page(添加规则)页面,其中列示您的 BlockAll 规则。
-
-
选择 Add rule(添加规则),将第二个规则添加到规则组。
-
在 Rule details(规则详细信息)窗格中,输入规则名称
AllowSelectDomains
并将描述留空。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。
-
输入域列表名称
ExampleDomains
。 -
在文本框的第一行中,输入
example.com
,然后在第二行输入example.org
。注意 如果希望此规则也应用于子域,则需要将这些域添加到列表中。例如,要添加示例 .com 的所有子域,请将
*.example.com
添加到列表中。 -
对于操作,请选择 ALLOW(允许)。
-
选择 Add rule。此向导将显示 Add rules(添加规则)页面,其中列出了您的两个规则。
-
-
选择 Next (下一步)。
-
在 Set rule priority(设定规则优先级)页面上,您可以调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此列表顶部的规则将第一个评估。在此示例中,我们希望 DNS Firewall 首先识别并允许对选定的域列表进行 DNS 查询,然后阻止任何剩余的查询。
选择并调整规则顺序,以便第一个列示 AllowSelectDomains。
-
选择 Next (下一步)。
-
在 Add tags(添加标签)页面中,选择 Next(下一步)。标签可帮助您组织和管理 Amazon 资源。有关更多信息,请参阅给 Amazon Route 53 资源贴标签。
-
在 Review and create(审核和创建)页面上,确认上一页上指定的设置是否正确。如有必要,针对适用部分选择 Edit (编辑),并更新设置。如果对设置满意,请选择 Create rule group(创建规则组)。向导会带您返回新的规则组所在的 Rule groups(规则组)页面。
现在,您有了一个只允许通过特定域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。
Route 53 Resolver DNS Firewall 阻止列表示例
在本教程中,您将创建一个规则组,用于阻止已知为恶意域。规则组允许通过 Route 53 Resolver 的所有其它出站 DNS 请求。
要使用控制台向导配置 DNS Firewall 阻止列表
-
登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。 - 或者 -
登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Rule groups (规则组)。
-
在导航栏中,选择规则组的区域。
-
在 Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。
-
对于规则组名称,输入
BlockListExample
。如果您想要其它说明,请输入该说明。 -
选择 Next (下一步)。
-
在 Add rules(添加规则)页面,选择 Add rule(添加规则)。
-
在 Rule details(规则详细信息)窗格中,输入规则名称
BlockList
。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。
-
输入域名列表名称
MaliciousDomains
,然后在文本框中输入要阻止的域。例如:example.org
。每行输入一个域。注意 如果希望此规则也应用于子域,则必须将这些域添加到列表中。例如,要添加示例 .org 的所有子域,请将
*.example.org
添加到列表中。 -
对于操作,请选择 BLOCK(阻止),然后将响应保留在原定设置 NODATA 状态下等待发送。
-
选择 Add rule。向导将显示规则组的 Add page(添加规则)页面,其中列示您的 BlockList 规则。
-
-
选择 Next (下一步)。
-
在 Set rule priority(设定规则优先级)页面上,您可以调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此列表顶部的规则将第一个评估。
选择并调整规则顺序,以便 BlockList 在您可能拥有的任何其它规则之前或之后进行评估。大多数情况下,应首先阻止已知的恶意域。也就是说,与它们关联的规则应具有最低的优先级编号。
在 Add tags(添加标签)页上,您可以选择添加标签,以便用于搜索和筛选 Amazon 资源。
-
选择 Next(下一步),然后选择 Create rule group(创建规则组)。
您现在拥有阻止特定恶意域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。