托管域列表 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

托管域列表

托管域列表包含与恶意活动或其它潜在威胁相关联的域名。Amazon 负责维护这些列表,以使 Route 53 Resolver 客户能够在使用 DNS Firewall 时免费检查出站 DNS 查询。

随时了解不断变化的威胁情形会非常耗时且成本高昂。托管域列表可以在您实施并使用 DNS Firewall 时帮助您节省时间。当新的漏洞和威胁出现时,Amazon 会自动更新托管域列表。Amazon 通常会在公开披露之前获知新漏洞,因此 DNS Firewall 甚至且通常可以在新的威胁广为人知之前为您部署缓解措施。

Amazon 托管域列表旨在帮助保护您免受常见的 Web 威胁,并为您的应用程序添加另一层安全保护。但是,Amazon 托管域列表并非用于取代其它安全控制措施(例如 Amazon GuardDuty),这些控制措施由您所选择的 Amazon 资源决定。

Amazon 托管域列表目前并未在所有区域提供。下表列示了可用的区域。

托管域列表区域可用性
区域 托管域列表是否可用?

亚太地区(孟买)

亚太地区(首尔)

亚太地区(新加坡)

亚太地区(悉尼)

亚太地区(东京)

亚太地区(大阪)区域

加拿大(中部)区域

欧洲(法兰克福)区域

欧洲(爱尔兰)区域

欧洲(伦敦)区域

欧洲(巴黎)区域

欧洲(斯德哥尔摩)

南美洲(圣保罗)

美国东部(弗吉尼亚北部)

美国东部(俄亥俄)

美国西部(加利福尼亚北部)

美国西部(俄勒冈)

Amazon GovCloud (US)

亚太地区(香港)

中东(巴林)

非洲(开普敦)

欧洲(米兰)

可用的 Amazon 托管域列表

本部分介绍当前可用的 Amazon 托管域列表。当您位于支持这些域列表的区域时,在您管理域列表以及为规则指定域列表时,便可以在控制台上看到这些域列表。在日志中,域列表记录在 firewall_domain_list_id field 中。

Amazon 为 Route 53 Resolver DNS Firewall 的所有用户提供了以下托管域列表(在其可用的区域内)。

  • AWSManagedDomainsMalwareDomainList— — 与发送恶意软件、托管恶意软件或分发恶意软件关联的域。

  • AWSManagedDomainsBotnetCommandandControl — 与控制感染垃圾邮件恶意软件的计算机网络相关联的域。

托管域列表无法下载或浏览。为了保护知识产权,您无法查看或编辑域列表中的各个域规范。此限制还有助于避免恶意用户设计专门避开已发布列表的威胁。

有关托管域列表的更多信息,请联系 Amazon Web Services Support 中心

最佳实践是在生产环境中使用托管域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 Alert。结合使用 Amazon CloudWatch 指标与 Route 53 Resolver DNS Firewall 采样请求或 DNS Firewall 日志以评估规则。如果您对规则执行操作的情况感到满意,请根据需要更改操作设置。

其它安全注意事项

Amazon 托管域列表旨在保护您免受常见的 Web 威胁的攻击。根据文档进行使用时,Amazon 托管域列表将为您的应用程序添加另一层安全措施。但是,Amazon 托管域列表并非用于取代其它安全控制措施,这些控制措施由您所选择的 Amazon 资源决定。要确保您在 Amazon 中的资源能够得到妥善保护,请参阅责任共担模式中的指南。

减少误报情况

如果您在使用 Amazon 托管域列表阻止查询的规则中遇到误报情况,请执行以下步骤:

  1. 在 Resolver 日志中,确定导致误报的规则组和托管域列表。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了规则组、规则操作和托管域列表。有关日志的更多信息,请参阅 显示在 Resolver 查询日志中的值

  2. 在规则组中创建一个新规则,明确允许被阻止的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。要遵循有关规则组和规则管理的指导,请访问 创建规则组和规则

  3. 确定规则组内新规则的优先级,使其在使用托管域列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。

更新了规则组后,新规则将在阻止规则运行之前明确允许您希望允许使用的域名。