本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 Resolver DNS Firewall 入门
DNS Firewall 控制台提供有向导,引导您完成开始使用 DNS Firewall 的以下步骤:
-
为要使用的每组规则创建规则组。
-
对于每个规则,填充要检查的域列表。您可以创建自己的域名列表,也可以使用 Amazon 托管域名列表。
-
将您的规则组与您想要使用它们 VPCs 的地方相关联。
Route 53 Resolver DNS Firewall 围墙花园示例
在本教程中,您将创建一个规则组,该规则组会阻止除您信任的选定域组以外的所有域。这就是所谓的封闭平台,或称围墙花园法。
要使用控制台向导配置 DNS Firewall 规则组
-
登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 在导航窗格中选择 DNS 防火墙,以在 Amazon VPC 控制台上打开 DNS 防火墙规则组页面。继续执行步骤 3。
- 或者 -
登录 Amazon Web Services Management Console 并打开
下方的亚马逊 VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的 DNS 防火墙下,选择规则组。
-
在导航栏中,选择规则组的区域。
-
在 Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。
-
对于规则组名称,输入
WalledGardenExample。在标签部分,可以选择输入标签的键-值对。标签可帮助您组织和管理 Amazon 资源。有关更多信息,请参阅 给 Amazon Route 53 资源贴标签。
-
选择添加规则组。
-
在WalledGardenExample详细信息页面上,选择规则选项卡,然后选择添加规则。
-
在规则详细信息窗格中,输入规则名称
BlockAll。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)中选择 Create new domain(创建新域列表)。
-
输入域列表名称
AllDomains,然后在每行输入一个域文本框中,输入星号:*。 对于域重定向设置,可接受默认设置,并将“查询类型-可选”留空。
-
对于操作,请选择阻止,然后将响应保留在原定设置 NODATA 状态下等待发送。
-
选择 添加规则。您的规则显示在WalledGardenExample页面BlockAll的 “规则” 选项卡中。
-
在WalledGardenExample页面上,选择添加规则以向您的规则组添加第二条规则。
-
在规则详细信息窗格中,输入规则名称
AllowSelectDomains。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。
-
输入域列表名称
ExampleDomains。 -
在每行输入一个域文本框的第一行中,输入
example.com,然后在第二行输入example.org。注意
如果希望此规则也应用于子域,则需要将这些域添加到列表中。例如,要添加示例 .com 的所有子域,请将
*.example.com添加到列表中。 对于域重定向设置,可接受默认设置,并将“查询类型-可选”留空。
-
对于操作,请选择允许。
-
选择 添加规则。您的规则都显示在WalledGardenExample页面的 “规则” 选项卡中。
-
在该WalledGardenExample页面的 “规则” 选项卡中,您可以通过选择 “优先级” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此优先级最低的规则将第一个评估。在此示例中,我们希望 DNS Firewall 首先识别并允许对选定的域列表进行 DNS 查询,然后阻止任何剩余的查询。
调整规则优先级,使其AllowSelectDomains具有较低的优先级。
现在,您有了一个只允许通过特定域查询的规则组。要开始使用它,请将其与筛选行为的使用 VPCs 位置相关联。有关更多信息,请参阅 管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。
Route 53 Resolver DNS Firewall 阻止列表示例
在本教程中,您将创建一个规则组,用于阻止已知为恶意域。您还将为阻止列表中的域添加一个允许的 DNS 查询类型。规则组允许通过 Route 53 Resolver 的所有其它出站 DNS 请求。
要使用控制台向导配置 DNS Firewall 阻止列表
-
登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 在导航窗格中选择 DNS 防火墙,以在 Amazon VPC 控制台上打开 DNS 防火墙规则组页面。继续执行步骤 3。
- 或者 -
登录 Amazon Web Services Management Console 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的 DNS 防火墙下,选择规则组。
-
在导航栏中,选择规则组的区域。
-
在 Rule groups(规则组)页面上,选择 Add rule group(添加规则组)。
-
对于规则组名称,输入
BlockListExample。在标签部分,可以选择输入标签的键-值对。标签可帮助您组织和管理 Amazon 资源。有关更多信息,请参阅 给 Amazon Route 53 资源贴标签。
-
在BlockListExample详细信息页面上,选择规则选项卡,然后选择添加规则。
-
在规则详细信息窗格中,输入规则名称
BlockList。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在 Choose or create a new domain list(选择或创建新的域列表)项下,选择 Create new domain list(创建新域列表)。
-
输入域名列表名称
MaliciousDomains,然后在文本框中输入要阻止的域。例如example.org。每行输入一个域。注意
如果希望此规则也应用于子域,则必须将这些域添加到列表中。例如,要添加示例 .org 的所有子域,请将
*.example.org添加到列表中。 对于域重定向设置,可接受默认设置,并将“查询类型-可选”留空。
-
对于操作,请选择 BLOCK(阻止),然后将响应保留在原定设置 NODATA 状态下等待发送。
-
选择 添加规则。您的规则显示在BlockListExample页面的 “规则” 选项卡中
-
在该BlockedListExample页面的 “规则” 选项卡中,您可以通过选择 “优先级” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此优先级最低的规则将第一个评估。
选择并调整规则优先级,以便BlockList在您可能拥有的任何其他规则之前或之后对其进行评估。大多数情况下,应首先阻止已知的恶意域。也就是说,与它们关联的规则应具有最低的优先级编号。
要添加允许 BlockList 域名的 MX 记录的规则,请在规则选项卡的BlockedListExample详细信息页面上,选择添加规则。
-
在规则详细信息窗格中,输入规则名称
BlockList-allowMX。 -
在 Domain list(域列表)窗格上,选择 Add my own domain list(添加我自己的域列表)。
-
在选择或创建新的域列表项下,选择
MaliciousDomains。 对于域重定向设置,可接受默认设置。
-
在 DNS 查询类型列表中,选择 MX:指定邮件服务器。
-
对于操作,请选择 ALLOW(允许)。
-
选择 添加规则。
-
在该BlockedListExample页面的 “规则” 选项卡中,您可以通过选择 “优先级” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则,因此优先级最低的规则将第一个评估。
选择并调整规则优先级,以便在您可能拥有的任何其他规则之前或之后评估 BlockList-allowMX。由于要允许 MX 查询,因此请确保 BlockList-allowMx 规则的优先级低于。BlockList
您现在拥有一个阻止特定恶意域查询,但允许特定 DNS 查询类型的规则组。要开始使用它,请将其与筛选行为的使用 VPCs 位置相关联。有关更多信息,请参阅 管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。