托管域列表 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管域列表

托管域列表包含与恶意活动或其他潜在威胁相关联的域名。Amazon维护这些列表,以使 Route 53 解析程序客户能够在使用 DNS 防火墙时免费检查出站 DNS 查询。

随时了解不断变化的威胁情形会非常耗时且成本高昂。托管域列表可以在您实施并使用 DNS 防火墙时节省您的时间。Amazon当新漏洞和威胁出现时,会自动更新托管域列表。Amazon通常会在公开披露之前通知新漏洞,因此 DNS 防火墙甚至可以为您部署缓解措施,通常在新威胁被广为人知之前。

Amazon目前并未在所有区域提供托管域列表。下表列出了区域的可用性。

受管域列表区域可用性
区域 受管域列表是否可用?

Asia Pacific (Mumbai)

Asia Pacific (Seoul)

亚太地区(新加坡)

亚太地区(悉尼)

亚太区域(东京)

加拿大 (中部) 区域

欧洲(法兰克福)区域

Europe (Ireland) Region

欧洲(伦敦)区域

欧洲(巴黎)区域

Europe (Stockholm)

南美洲(圣保罗)

美国东部(弗吉尼亚北部)

US East (Ohio)

美国西部(加利福尼亚北部)

美国西部(俄勒冈)

Amazon GovCloud (US)

Asia Pacific (Hong Kong)

Middle East (Bahrain)

Africa (Cape Town)

Europe (Milan)

AvailableAmazon托管域列表

此部分介绍Amazon当前可用的受管域列表。当您位于支持这些域列表的地区时,当您管理域列表以及为规则指定域列表时,您可以在控制台上看到这些域列表。在日志中,域列表记录在firewall_domain_list_id field.

Amazon为 Route 53 解析程序 DNS 防火墙的所有用户提供了以下受管域列表(它们可用的区域)。

  • AWSManagedDomainsMalwareDomainList— — 与发送恶意软件、托管恶意软件或分发恶意软件关联的域。

  • AWSManagedDomainsBotnetCommandandControl— 与控制感染垃圾邮件恶意软件的计算机网络相关联的域。

无法下载或浏览托管域列表。为了保护知识产权,您无法查看或编辑域列表中的各个域规范。此限制还有助于避免恶意用户设计专门避开已发布列表的威胁。

有关托管域列表的更多信息,请联系Amazon Web Services SupportCenter.

最佳做法是在生产中使用托管域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为Alert. 使用与 Route 53 解析程序 DNS 防火墙采样请求或 DNS 防火墙日志相结合的 Amazon CloudWatch 指标评估规则。如果您对规则执行所需操作感到满意,则根据需要更改操作设置。

其他安全注意事项

Amazon托管域列表旨在帮助您免受常见 Web 威胁的攻击。如果按照文档使用,Amazon托管域列表为您的应用程序添加了另一层安全性。然而,Amazon托管域列表并非用于替代其他安全控制,这些控制由Amazon您选择的资源。为了确保您的资源Amazon受到适当保护,请参阅责任共担模式.

缓解误报情况

如果您遇到的规则中使用Amazon托管域列表可阻止查询,请执行以下步骤:

  1. 在解析程序日志中,确定导致误报的规则组和受管域列表。您可以通过查找 DNS 防火墙阻止但您希望允许通过的查询的日志来执行此操作。日志记录列出了规则组、规则操作和受管域列表。有关日志的信息,请参阅显示在解析程序查询日志中的值.

  2. 在规则组中创建一个新规则,明确允许阻止的查询通过。创建规则时,您可以仅使用您希望允许的域规范定义自己的域列表。遵循有关规则组和规则管理的指导,请访问创建规则组和规则.

  3. 确定规则组内新规则的优先级,使其在使用受管域列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。

更新了规则组后,新规则将明确允许您在阻止规则运行之前允许使用的域名。