DNS Firewall 中的规则操作 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS Firewall 中的规则操作

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一:

  • Allow— 停止检查查询并允许其通过。不适用于 DNS Firewall Advanced。

  • Alert— 停止检查查询,允许其通过,并在 Route 53 Resolver 日志中记录查询警报。

  • Block— 停止检查查询,阻止其前往其预期目的地,并将该查询的阻止操作记录在 Route 53 Resolver 日志中。

    回复已配置的阻止响应,具体如下:

    • NODATA— 响应表示查询成功,但没有可用的响应。

    • NXDOMAIN— 响应表示查询的域名不存在。

    • OVERRIDE— 在响应中提供自定义替换。此选项需要以下额外设置:

      • Record value— 为响应查询而发送回的自定义 DNS 记录。

      • Record type— DNS 记录的类型。这决定了记录值的格式。必须是 CNAME

      • Time to live in seconds— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间(如果再次收到该查询)。预设情况下,此值为零,并且记录不会被缓存。

有关查询日志配置和内容的更多信息,请参阅 Resolver 查询日志记录显示在 Resolver 查询日志中的值

使用 Alert 测试阻止规则

首次创建阻止规则时,可以通过将操作设置为 Alert 以进行测试。然后,您可以查看规则提示的查询数,以查看如果将操作设置为 Block,将会阻止多少查询。