DNS Firewall 中的规则操作 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

DNS Firewall 中的规则操作

当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。

您需要在创建的每条规则中指定下列选项之一:

  • Allow — 停止检查查询并允许查询通过。

  • Alert — 停止检查查询,允许查询通过,并在 Route 53 Resolver 日志中记录查询的提示。

  • Block — 停止检查查询,阻止查询前往其预定目标,并在 Route 53 Resolver 日志中记录查询的阻止操作。

    回复已配置的阻止响应,具体如下:

    • NODATA — 表示查询成功但不能提供响应的回复。

    • NXDOMAIN — 表示查询的域名不存在的回复。

    • OVERRIDE — 在响应中提供自定义覆盖。此选项需要以下额外设置:

      • Record value — 为响应查询而发送回的自定义 DNS 记录。

      • Record type — DNS 记录的类型。这决定了记录值的格式。必须是 CNAME

      • Time to live in seconds — DNS 解析程序或 Web 浏览器缓存覆盖记录并在响应此查询时使用它(如果再次收到该记录)的建议时长。预设情况下,此值为零,并且记录不会被缓存。

有关查询日志配置和内容的更多信息,请参阅 Resolver 查询日志记录显示在 Resolver 查询日志中的值

使用 Alert 测试阻止 规则

首次创建阻止规则时,可以通过将操作设置为 Alert 以进行测试。然后,您可以查看规则提示的查询数,以查看如果将操作设置为 Block,将会阻止多少查询。