托管域列表

托管域列表包含与恶意活动或其他潜在威胁相关的域名。 Amazon 维护这些列表是为了让 Route 53 Resolver 客户在使用 DNS 防火墙时能够免费检查出站 DNS 查询。

随时了解不断变化的威胁情形会非常耗时且成本高昂。当您实施和使用 DNS 防火墙时，托管域列表可以为您节省时间。 Amazon 当出现新的漏洞和威胁时，会自动更新列表。 Amazon 通常会在公开披露之前收到有关新漏洞的通知，因此 DNS Firewall 可以经常在新威胁广为人知之前为您部署缓解措施。

托管域列表旨在帮助保护您免受常见的 Web 威胁，并为您的应用程序添加另一层安全保护。 Amazon 托管域列表的数据既来自内部 Amazon 来源，也来自内部来源 RecordedFuture，并且会不断更新。但是， Amazon 托管域列表并不是用来替代其他安全控制措施，例如 Amazon GuardDuty，这些控制由您选择的 Amazon 资源决定。

最佳实践是在生产环境中使用托管域列表之前，请在非生产环境中对其进行测试，并将规则操作设置为 Alert。使用 Amazon CloudWatch 指标和 Route 53 Resolver DNS 防火墙采样请求或 DNS 防火墙日志来评估规则。如果您对规则执行操作的情况感到满意，请根据需要更改操作设置。

可用的 Amazon 托管域名列表

本部分介绍当前可用的托管域列表。当您位于支持这些列表的区域时，在您管理域列表以及为规则指定域列表时，便可以在控制台上看到这些域列表。在日志中，域列表记录在 firewall_domain_list_id field 中。

Amazon 在 Route 53 Resolver DNS 防火墙的所有用户提供以下托管域列表（按可用区域划分）。

AWSManagedDomainsMalwareDomainList— — 与发送恶意软件、托管恶意软件或分发恶意软件关联的域。
AWSManagedDomainsBotnetCommandandControl — 与控制感染垃圾邮件恶意软件的计算机网络相关联的域。
AWSManagedDomainsAggregateThreatList— 与多个 DNS 威胁类别（包括恶意软件、勒索软件、僵尸网络、间谍软件和 DNS 隧道）关联的域名，可帮助阻止多种类型的威胁。 AWSManagedDomainsAggregateThreatList包括此处列出的其他 Amazon 托管域列表中的所有域。
AWSManagedDomainsAmazonGuardDutyThreatList— 与 Amazon GuardDuty DNS 安全调查结果相关的域名。这些域名仅来自 GuardDuty的威胁情报系统，不包含来自外部第三方来源的域名。有关调查结果中域名与之相关的来源的更多信息，请参阅 GuardDuty API 参考中的ThreatIntelligence详细信息。只有调查结果中包ThreatIntelligenceDetail含 “Amazon” 的域名才会包含在 Amazon 托管域名列表中。

有关来自第三方合作伙伴的威胁情报的更多信息，请参阅 Amazon GuardDuty 合作伙伴。

Amazon 无法下载或浏览托管域名列表。为了保护知识产权，您无法查看或编辑 Amazon 托管域列表中的各个域名规范。此限制还有助于避免恶意用户设计专门避开已发布列表的威胁。

测试托管域列表

我们提供以下一组域用于测试托管域名列表：

AWSManagedDomainsBotnetCommandandControl

controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList

controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatList 和 AWSManagedDomainsAmazonGuardDutyThreatList

controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

如果这些域未被屏蔽，它们将解析为 1.2.3.4。如果您在 VPC 中使用托管域列表，则查询这些域将返回规则中的屏蔽操作设置为（例如 NODATA）的响应。

有关托管域列表的更多信息，请联系 Amazon Web Services Support 中心。

下表列出了 Amazon 托管域列表的区域可用性。

托管域列表区域可用性
区域	托管域列表是否可用？
亚太地区（孟买）	是
亚太地区（首尔）	是
亚太地区（新加坡）	是
亚太地区（悉尼）	是
亚太地区（东京)	是
亚太地区（大阪）区域	是
亚太地区（雅加达）	是
亚太地区（海得拉巴）	是
亚太地区（墨尔本）	是
亚太地区（香港）	是
加拿大（中部）区域	是
加拿大西部（卡尔加里）	是
欧洲地区（法兰克福）区域	是
欧洲地区（爱尔兰）区域	是
欧洲地区（伦敦）区域	是
欧洲地区（米兰）	是
欧洲地区（巴黎）区域	是
欧洲地区（斯德哥尔摩）	是
欧洲（苏黎世）	是
欧洲（西班牙）	是
南美洲（圣保罗）	是
美国东部（弗吉尼亚州北部）	是
美国东部（俄亥俄州）	是
美国西部（加利福尼亚北部）	是
美国西部（俄勒冈州）	是
非洲（开普敦）	是
中国（北京）	是
中国（宁夏）	是
Amazon GovCloud (US)	是
中东（巴林）	是
中东（阿联酋）	是
以色列（特拉维夫）	是

其它安全注意事项

Amazon 托管域列表旨在帮助保护您免受常见网络威胁的侵害。应根据文档使用这些列表，它为您的应用程序添加另一层安全性。但是，托管域列表并非用于取代其他安全控制措施，这些控制措施由您所选择的 Amazon 资源决定。为确保您的资源 Amazon 得到适当保护，请参阅责任共担模型中的指南。

减少误报情况

如果您在使用托管域列表阻止查询的规则中遇到误报情况，请执行以下步骤：

在 Resolver 日志中，确定导致误报的规则组和托管域列表。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了规则组、规则操作和托管列表。有关日志的更多信息，请参阅显示在 Resolver 查询日志中的值。
在规则组中创建一个新规则，明确允许被阻止的查询通过。创建规则时，您可以使用您希望允许的域规范定义自己的域列表。要遵循有关规则组和规则管理的指导，请访问创建规则组和规则。
确定规则组内新规则的优先级，使其在使用托管列表的规则之前运行。若要执行此操作，请为新规则提供较低的数字优先级设置。

更新了规则组后，新规则将在阻止规则运行之前明确允许您希望允许使用的域名。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Route 53 Resolver DNS Firewall 域列表

管理您自己的域列表