本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 托管域列表 托管域列表包含与恶意活动或其他潜在威胁相关的域名。 Amazon 维护这些列表是为了让 Route 53 VPC 解析器客户在使用 DNS 防火墙时能够免费检查出站 DNS 查询。 随时了解不断变化的威胁情形会非常耗时且成本高昂。当您实施和使用 DNS 防火墙时,托管域列表可以为您节省时间。 Amazon 当出现新的漏洞和威胁时,会自动更新列表。 Amazon 通常会在公开披露之前收到有关新漏洞的通知,因此 DNS Firewall 可以经常在新威胁广为人知之前为您部署缓解措施。 托管域列表旨在帮助保护您免受常见的 Web 威胁,并为您的应用程序添加另一层安全保护。 Amazon 托管域列表的数据既来自内部 Amazon 来源,也来自内部来源 [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future),并且会不断更新。但是, Amazon 托管域列表并不是用来替代其他安全控制措施,例如 Amazon GuardDuty,这些控制由您选择的 Amazon 资源决定。 最佳实践是在生产环境中使用托管域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 `Alert`。使用 Amazon CloudWatch 指标以及解析器 DNS 防火墙采样请求或 DNS 防火墙日志来评估规则。如果您对规则执行操作的情况感到满意,请根据需要更改操作设置。 **可用的 Amazon 托管域名列表** 本节介绍当前可用于 DNS 防火墙基础规则的托管域列表。当您位于支持这些列表的区域时,在您管理域列表以及为规则指定域列表时,便可以在控制台上看到这些域列表。在日志中,域列表记录在`firewall_domain_list_id`字段中。 Amazon 为解析器 DNS Firewall 的所有用户提供了以下基础规则类型下的托管域列表,在这些列表的可用区域中。 | 威胁类型 | 说明 | | --- | --- | | 恶意软件 | 与发送恶意软件、托管恶意软件或分发恶意软件相关的域。 | | Botnet/Command 和控制 | 与控制感染了垃圾邮件恶意软件的计算机网络相关的域。 | | 聚合威胁列表 | 与多个 DNS 威胁类别(包括恶意软件、勒索软件、僵尸网络、间谍软件和 DNS 隧道)关联的域名,可帮助阻止多种类型的威胁。聚合威胁列表包括此处列出的其他 Amazon 托管域列表中的所有域。 | | Amazon GuardDuty 威胁清单 | 与 Amazon GuardDuty DNS 安全调查结果相关的域名。这些域名仅来自 GuardDuty的威胁情报系统,不包含来自外部第三方来源的域名。更具体地说,目前此列表将仅屏蔽内部生成并用于以下检测的域 GuardDuty:Impact:EC2/AbusedDomainRequest.Reputation、Impact:EC2/BitcoinDomainRequest.Reputation、Impact:EC2/MaliciousDomainRequest.Reputation、Impact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.Reputation、和Impact:Runtime/MaliciousDomainRequest.Reputation。有关更多信息,请参阅 Amazon GuardDuty 用户指南中的[查找类型](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty_finding-types-active.html)。 | Amazon 无法下载或浏览托管域名列表。为了保护知识产权,您无法查看或编辑 Amazon 托管域列表中的各个域名规范。此限制还有助于避免恶意用户设计专门避开已发布列表的威胁。 **测试托管域列表** 我们提供以下一组域用于测试托管域名列表: **AWSManagedDomainsBotnetCommandandControl** + controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsMalwareDomainList** + controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsAggregateThreatList 和 AWSManagedDomainsAmazonGuardDutyThreatList** + controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com 如果这些域未被屏蔽,它们将解析为 1.2.3.4。如果您在 VPC 中使用托管域列表,则查询这些域将返回规则中的屏蔽操作设置为(例如 NODATA)的响应。 有关托管域列表的更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 下表列出了 Amazon 托管域列表的区域可用性。 **托管域列表区域可用性** | Region | 托管域列表是否可用? | | --- | --- | | 非洲(开普敦) | 是 | | 亚太地区(香港) | 是 | | 亚太地区(海得拉巴) | 是 | | 亚太地区(雅加达) | 是 | | 亚太地区(马来西亚) | 是 | | 亚太地区(墨尔本) | 是 | | 亚太地区(孟买) | 是 | | 亚太地区(大阪)区域 | 是 | | 亚太地区(首尔) | 是 | | 亚太地区(新加坡) | 是 | | 亚太地区(悉尼) | 是 | | 亚太地区(泰国) | 是 | | 亚太地区(东京) | 是 | | 加拿大(中部)区域 | 是 | | 加拿大西部(卡尔加里) | 是 | | 欧洲地区(法兰克福)区域 | 是 | | 欧洲地区(爱尔兰)区域 | 是 | | 欧洲地区(伦敦)区域 | 是 | | 欧洲地区(米兰) | 是 | | 欧洲地区(巴黎)区域 | 是 | | 欧洲(西班牙) | 是 | | 欧洲地区(斯德哥尔摩) | 是 | | 欧洲(苏黎世) | 是 | | 以色列(特拉维夫) | 是 | | 中东(巴林) | 是 | | 中东(阿联酋): | 是 | | 南美洲(圣保罗) | 是 | | 美国东部(弗吉尼亚州北部) | 是 | | 美国东部(俄亥俄州) | 是 | | 美国西部(北加利福尼亚) | 是 | | 美国西部(俄勒冈州) | 是 | | 中国(北京) | 是 | | 中国(宁夏) | 支持 | | Amazon GovCloud (US) | 是 | **其它安全注意事项** Amazon 托管域列表旨在帮助保护您免受常见网络威胁的侵害。应根据文档使用这些列表,它为您的应用程序添加另一层安全性。但是,托管域列表并非用于取代其他安全控制措施,这些控制措施由您所选择的 Amazon 资源决定。为确保您的资源 Amazon 得到适当保护,请参阅[责任共担模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)中的指南。 **减少误报情况** 如果您在使用 托管域列表阻止查询的规则中遇到误报情况,请执行以下步骤: 1. 在 VPC Resolver 日志中,确定导致误报的规则组和托管域列表。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了规则组、规则操作和托管列表。有关日志的更多信息,请参阅 [VPC 解析器查询日志中显示的值](resolver-query-logs-format.md)。 1. 在规则组中创建一个新规则,明确允许被阻止的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。要遵循有关规则组和规则管理的指导,请访问 [创建规则组和规则](resolver-dns-firewall-rule-group-adding.md)。 1. 确定规则组内新规则的优先级,使其在使用托管列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。 更新了规则组后,新规则将在阻止规则运行之前明确允许您希望允许使用的域名。