Route 53 Resolver DNS Firewall 的工作原理 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Route 53 Resolver DNS Firewall 的工作原理

Route 53 解析器 DNS 防火墙允许您控制对站点的访问,并阻止 DNS 查询通过 Route 53 解析程序从 VPC 发出的 DNS 查询的 DNS 级威胁。使用 DNS 防火墙,您可以在与您的 VPC 关联的规则组中定义域名过滤规则。您可以指定要允许或阻挡的域名列表,也可以自定义对阻挡的 DNS 查询的响应。

DNS 防火墙仅筛选域名。它不会将该名称解析为要阻止的 IP 地址。此外,DNS 防火墙过滤 DNS/UDP 流量,但不过滤其他应用层协议,如 HTTPS、SSH、TLS、FTP 等。

Route 53 Resolver DNS Firewall Firewall 组件

您可以使用以下中央组件和设置管理 DNS 防火墙。

创建防火墙规则组

定义用于过滤 DNS 查询的命名、可重复使用的 DNS 防火墙规则集合。您可以使用筛选规则填充规则组,然后将规则组与一个或多个 VPC 关联。当您关联规则组与 VPC 时,您可以为 VPC 启用 DNS 防火墙过滤。然后,当解析器收到与其关联的规则组的 VPC 的 DNS 查询时,解析器将该查询传递给 DNS 防火墙进行过滤。

如果您将多个规则组与单个 VPC 关联,则通过每个关联中的优先级设置来指明它们的处理顺序。DNS 防火墙从上的最低数值优先级设置处理 VPC 的规则组。

有关更多信息,请参阅 DNS 防火墙规则组和规则

DNS 防火墙规则

为 DNS 防火墙规则组中的 DNS 查询定义筛选规则。每个规则都指定一个域列表和要对域与列表中的域规范匹配的 DNS 查询执行的操作。您可以允许、阻挡匹配查询或发出警报。您还可以为阻挡的查询定义自定义响应。

规则组中的每个规则都有一个在规则组中唯一的优先级设置。DNS 防火墙从上的最低数字优先级设置开始处理规则组中的规则。

DNS 防火墙规则仅存在于定义这些规则的规则组的上下文中。您不能独立于规则组重复使用或引用规则。

有关更多信息,请参阅 DNS 防火墙规则组和规则

域列表

定义用于 DNS 筛选的已命名、可重复使用的域规范集合。规则组中的每个规则都需要一个域列表。您可以选择指定要允许访问的域、要拒绝访问的域或两者的组合。您可以创建自己的域列表,也可以使用Amazon为您管理。

有关更多信息,请参阅 Route 53 Resolver DNS Firewall 域列表

DNS Firewall 规则组与 VPC 之间的关联

使用 DNS 防火墙规则组为 VPC 定义保护,并为 VPC 启用解析器 DNS 防火墙配置。

如果您将多个规则组与单个 VPC 关联,则通过关联中的优先级设置来指明它们的处理顺序。DNS 防火墙从上的最低数值优先级设置处理 VPC 的规则组。

有关更多信息,请参阅 为您的 VPC 启用 Route 53 Resolver DNS Firewall 保护

VPC 的解析器 DNS 防火墙配置

指定解析程序应如何在 VPC 级别处理 DNS 防火墙保护。只要您至少有一个与 VPC 关联的 DNS 防火墙规则组,此配置就会生效。

此配置指定当 DNS 防火墙无法筛选查询时 Route 53 解析程序如何处理查询。默认情况下,如果解析程序没有收到来自 DNS 防火墙的响应,则会失败关闭并阻止查询。

有关更多信息,请参阅 DNS 防火墙 VPC 配置

Route 53 Resolver DNS Firewall 如何筛选 DNS 查询

当 DNS 防火墙规则组与您的 VPC 的 Route 53 解析程序相关联时,以下流量将被防火墙过滤:

  • 源于该 VPC 的 DNS 查询。

  • 通过解析程序终端节点从本地资源传递到具有与其解析程序关联的 DNS 防火墙的同一 VPC 的 DNS 查询。

当 DNS 防火墙收到 DNS 查询时,它会使用您配置的规则组、规则和其他设置过滤查询,并将结果发送回解析程序:

  • DNS 防火墙使用与 VPC 关联的规则组评估 DNS 查询,直到找到匹配项或用尽所有规则组。DNS 防火墙按照您在关联中设置的优先级顺序评估规则组,从最低的数字设置开始。有关更多信息,请参阅 DNS 防火墙规则组和规则为您的 VPC 启用 Route 53 Resolver DNS Firewall 保护

  • 在每个规则组中,DNS 防火墙根据每个规则的域列表评估 DNS 查询,直到找到匹配规则或用尽所有规则。DNS 防火墙从最低数字设置开始,按优先级顺序评估规则。有关更多信息,请参阅 DNS 防火墙规则组和规则

  • 当 DNS 防火墙找到与规则的域列表匹配项时,它将终止查询评估并使用结果响应解析程序。如果操作是alert,DNS 防火墙还会向已配置的解析程序日志发送警报。有关更多信息,请参阅 DNS 防火墙中的规则操作Route 53 Resolver DNS Firewall 域列表

  • 如果 DNS 防火墙在没有找到匹配项的情况下评估所有规则组,它会响应设置为正常的解析器到查询。

解析程序根据 DNS 防火墙的响应路由查询。如果 DNS 防火墙无法响应,则解析程序应用 VPC 配置的 DNS 防火墙故障模式。有关更多信息,请参阅 DNS 防火墙 VPC 配置

使用 Route 53 Resolver DNS Firewall Firewall 的高级步骤

要在您的 Amazon Virtual Private Cloud VPC 中实施 Route 53 解析器 DNS 防火墙筛选,请执行以下高级步骤。

  • 定义您的筛选方法和域列表— 确定要如何筛选查询,确定需要的域规范,并定义用于评估查询的逻辑。例如,您可能希望允许除已知坏域列表中的查询之外的所有查询。或者你可能想要做相反的事情,并阻止所有的域名,除了一个被认可的域名列表,所谓的围墙花园方法。您可以创建和管理您自己的已批准或阻止域规范列表,也可以使用Amazon为您管理。有关域列表的信息,请参阅Route 53 Resolver DNS Firewall 域列表.

  • 创建防火墙规则组— 在 DNS 防火墙中,创建一个规则组来筛选 VPC 的 DNS 查询。您必须在要使用的每个区域中创建规则组。您可能还希望将筛选行为分离到多个规则组中,以便在不同 VPC 的多个过滤方案中重用。有关规则组的信息,请参阅DNS 防火墙规则组和规则

  • 添加和配置规则— 为您希望规则组提供的每个域列表和筛选行为添加规则到规则组。设置规则的优先级设置,以便它们在规则组中以正确的顺序进行处理,从而为要首先评估的规则赋予最低的优先级。有关规则的信息,请参阅 DNS 防火墙规则组和规则

  • 将规则组关联到您的 VPC— 要开始使用您的 DNS 防火墙规则组,请将其与您的 VPC 关联。如果您要为 VPC 使用多个规则组,请设置每个关联的优先级,以便按正确的顺序处理规则组,从而为您要首先评估的规则组提供最低的优先级。有关更多信息,请参阅 管理 VPC 与 Route 53 解析器 DNS 防火墙规则组之间的关联

  • (可选)更改 VPC 的防火墙配置— 如果您希望 Route 53 解析程序在 DNS 防火墙无法向查询发送响应时阻止查询,请在解析程序中更改 VPC 的 DNS 防火墙配置。有关更多信息,请参阅 DNS 防火墙 VPC 配置

在多个区域中使用 Route 53 Resolver DNS Firewall 规则组

Route 53 Resolver DNS Firewall 是一个区域性服务,因此您在一个Amazon区域仅在该区域中提供。要在多个区域中使用同一个规则组,您必须在每个区域中创建该规则组。

这些区域有:Amazon帐户可以将其与其他Amazon帐户。有关更多信息,请参阅 共享 Route 53 Resolver DNS Firewall Firewall 规则组Amazon账户