Route 53 Resolver DNS Firewall 的工作原理

DNS Firewall 规则组是用于筛选 DNS 查询的 DNS Firewall 规则的已命名、可重复使用的集合。您可以使用筛选规则填充规则组，然后将规则组与一个或多个 VPC 关联。当您关联规则组与 VPC 时，您可以为 VPC 启用 DNS Firewall 过滤。然后，当 Resolver 收到与其关联的规则组的 VPC 的 DNS 查询时，Resolver 将该查询传递给 DNS Firewall 进行过滤。

如果您将多个规则组与单个 VPC 关联，则通过每个关联中的优先级设置来指明它们的处理顺序。DNS Firewall 从最低数值优先级设置向上处理 VPC 的规则组。

有关更多信息，请参阅 DNS Firewall 规则组和规则。

为 DNS Firewall 规则组中的 DNS 查询定义筛选规则。每个规则都指定一个域列表和要对域与列表中的域规范匹配的 DNS 查询执行的操作。您可以允许、阻止或提醒匹配的查询或列表中域的查询类型，例如，您可以屏蔽或允许特定域名的 MX 查询类型。您还可以为阻挡的查询定义自定义响应。

规则组中的每个规则都有一个在规则组中唯一的优先级设置。DNS Firewall 将从最低设置开始，按优先级顺序处理规则组中的规则。

DNS Firewall 规则仅存在于定义这些规则的规则组上下文中。您不能独立于规则组重复使用或引用规则。

有关更多信息，请参阅 DNS Firewall 规则组和规则。

定义用于 DNS 筛选的已命名、可重复使用的域规范集合。规则组中的每个规则都需要单一的域列表。您可以选择指定要允许访问的域、要拒绝访问的域或两者的组合。您可以创建自己的域名列表，也可以使用为您 Amazon 管理的域名列表。

有关更多信息，请参阅 Route 53 Resolver DNS Firewall 域列表。

使用 DNS Firewall 规则组为 VPC 定义保护，并为 VPC 启用 Resolver DNS Firewall 配置。

如果您将多个规则组与单个 VPC 关联，则可通过关联中的优先级设置来指明它们的处理顺序。DNS Firewall 从最低数值优先级设置向上处理 VPC 的规则组。

有关更多信息，请参阅 为您的 VPC 启用 Route 53 Resolver DNS Firewall 保护。

指定 Resolver 应如何在 VPC 级别处理 DNS Firewall 保护。只要您至少有一个与 VPC 关联的 DNS Firewall 规则组，此配置就会生效。

此配置指定当 DNS Firewall 无法筛选查询时 Route 53 Resolver 会如何处理查询。预设情况下，如果 Resolver 没有收到来自 DNS Firewall 的响应，则会失败导致关闭，并阻止查询。

有关更多信息，请参阅 DNS Firewall VPC 配置。

您可以使用 Amazon CloudWatch 来监控由 DNS 防火墙规则组筛选的 DNS 查询数量。CloudWatch 收集原始数据并将其处理为可读的、近乎实时的指标。

有关更多信息，请参阅 使用 Amazon 监控 Route 53 解析器 DNS 防火墙规则组 CloudWatch。

您可以使用 Amazon EventBridge（一种使用事件将应用程序组件连接在一起的无服务器服务）来构建可扩展的事件驱动应用程序。

有关更多信息，请参阅 使用管理 Route 53 解析器 DNS 防火墙事件 Amazon EventBridge。