DNS 防火墙中的规则操作 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS 防火墙中的规则操作

当 DNS 防火墙在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。

您是需要在您创建的每个规则中指定下列选项之一:

  • Allow— 停止检查查询并允许查询通过。

  • Alert— 停止检查查询,允许查询通过,并在 Route 53 解析程序日志中记录查询的警报。

  • Block— 停止检查查询,阻止查询前往其预期目标,并在 Route 53 解析程序日志中记录查询的阻止操作。

    回复已配置的块响应,来自以下内容:

    • NODATA— 表示查询成功但没有响应的回复。

    • NXDOMAIN— 表示查询的域名不存在的响应。

    • OVERRIDE— 在响应中提供自定义覆盖。此选项需要以下其他设置:

      • Record value— 为响应查询而发送回的自定义 DNS 记录。

      • Record type— DNS 记录的类型。这决定了记录值的格式。此值必须是CNAME.

      • Time to live in seconds— DNS 解析程序或 Web 浏览器缓存覆盖记录并将覆盖记录用于响应此查询的建议时长。默认情况下,此值为零,并且记录不会被缓存。

有关查询日志配置和内容的更多信息,请参阅解析程序查询日志记录显示在解析程序查询日志中的值.

使用Alert测试阻塞rules

首次创建阻止规则时,可以通过将操作设置为Alert. 然后,您可以查看规则警报的查询数,以查看如果将操作设置为Block.