Route 53 Resolver DNS Firewall Firewall 入门 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Route 53 Resolver DNS Firewall Firewall 入门

DNS 防火墙控制台包含一个向导,该向导可引导您完成开始使用 DNS 防火墙的以下步骤:

  • 为要使用的每组规则创建规则组。

  • 对于每个规则,填充要检查的域列表。您可以创建自己的域列表,也可以使用Amazon托管域列表。

  • 将规则组与要使用它们的 VPC 关联起来。

Route 53 Resolver DNS Firewall wall 墙wall 花园

在本教程中,您将创建一个规则组,该规则组会阻止您信任的选定域组以外的所有域。这就是所谓的封闭平台,或围墙花园的方法。

使用控制台向导配置 DNS 防火墙规则组

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

    - 或者 -

    登录到Amazon Web Services Management Console,打开

    在 Amazon VPC 控制台中登录。https://console.aws.amazon.com/vpc/.

  2. 在导航窗格中,选择 Rule groups (规则组)。

  3. 在导航栏中,选择规则组的区域。

  4. 规则组页面上,选择添加规则组.

  5. 对于规则组名称,输入WalledGardenExample. 如果您想要其他说明,请输入该说明。

  6. 选择 Next (下一步)

  7. 在存储库的添加规则页面上,选择添加规则.

    1. 规则详细信息窗格中,输入规则名称BlockAll.

    2. 域列表窗格中,选择添加我自己的域名列表.

    3. UNDER选择或创建新域列表选择创建新域列表.

    4. 输入域名列表名称AllDomains,然后在文本框中,输入星号:*.

    5. 对于操作,请选择数据块,然后将响应保留在默认设置NODATA.

    6. 选择 Add rule。向导将显示规则组的添加规则页面与您的全部阻止规则列出。

  8. 选择添加规则,将第二个规则添加到规则组。

    1. 规则详细信息窗格中,输入规则名称AllowSelectDomains并将描述留空。

    2. 域列表窗格中,选择添加我自己的域名列表.

    3. UNDER选择或创建新域列表,选择创建新域列表.

    4. 输入域名列表名称ExampleDomains.

    5. 在文本框的第一行中,输入example.com,然后在第二行输入example.org.

      注意

      如果希望此规则也应用于子域,则还需要将这些域添加到列表中。例如,要添加示例 .com 的所有子域,请添加*.example.com添加到列表中。

    6. 对于操作,请选择允许.

    7. 选择 Add rule。此时将显示添加规则页面,列出了您的两个规则。

  9. 选择 Next (下一步)

  10. 设定规则优先级页面上,可以调整规则组中规则的评估顺序。DNS 防火墙从最低优先级设置开始评估规则,因此列表顶部的规则是第一个评估规则。在此示例中,我们希望 DNS 防火墙首先识别并允许对选定的域列表进行 DNS 查询,然后阻止任何剩余的查询。

    选择并调整规则顺序,以便允许选择域列在第一个。

  11. 选择 Next (下一步)

  12. 添加标签页面上,选择下一步. 标签可帮助您组织和管理 Amazon 资源。有关更多信息,请参阅 标记 Amazon Route 53 资源

  13. 在存储库的审核和创建页面上,确认上一页上指定的设置是否正确。如有必要,针对适用部分选择 Edit (编辑),并更新设置。如果对设置满意,请选择创建规则组. 向导会带您返回规则组页面,其中列出了新规则组。

现在,您有一个只允许通过特定域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅 管理 VPC 与 Route 53 解析器 DNS 防火墙规则组之间的关联

Route 53 Resolver DNS Firewall Firewall 阻止列表示例

在本教程中,您将创建一个规则组,用于阻止已知为恶意域。规则组允许通过 Route 53 解析程序的所有其他出站 DNS 请求。

使用控制台向导配置 DNS 防火墙阻止列表的步骤

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

    - 或者 -

    登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Rule groups (规则组)。

  3. 在导航栏中,选择规则组的区域。

  4. 规则组页面上,选择添加规则组.

  5. 对于规则组名称,输入BlockListExample. 如果您想要其他说明,请输入该说明。

  6. 选择 Next (下一步)

  7. 在存储库的添加规则页面上,选择添加规则.

    1. 规则详细信息窗格中,输入规则名称BlockList.

    2. 域列表窗格中,选择添加我自己的域名列表.

    3. UNDER选择或创建新域列表,选择创建新域列表.

    4. 输入域名列表名称MaliciousDomains,然后在文本框中,输入要阻止的域。例如:example.org。每行输入一个域。

      注意

      如果希望此规则也应用于子域,则必须同时将这些域添加到列表中。例如,要添加示例 .org 的所有子域,请添加*.example.org添加到列表中。

    5. 对于操作,请选择数据块,然后将响应保留在默认设置NODATA.

    6. 选择 Add rule。向导将显示规则组的添加规则页面与您的阻止列表规则列出。

  8. 选择 Next (下一步)

  9. 设定规则优先级页面上,可以调整规则组中规则的评估顺序。DNS 防火墙从最低优先级设置开始评估规则,因此列表顶部的规则是第一个评估规则。

    选择并调整规则顺序,以便阻止列表在您可能拥有的任何其他规则之前或之后进行评估。大多数情况下,应首先阻止已知的恶意域。也就是说,与它们关联的规则应具有最低的优先级编号。

  10. 添加标签页面上,您可以选择添加可用于搜索和筛选Amazon资源的费用。

  11. 选择下一步然后创建规则组.

您现在拥有阻止特定恶意域查询的规则组。要开始使用它,请将其与要使用筛选行为的 VPC 相关联。有关更多信息,请参阅 管理 VPC 与 Route 53 解析器 DNS 防火墙规则组之间的关联