本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # DNS Firewall 中的规则操作 当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。 您需要在创建的每条规则中指定下列选项之一: + **Allow**— 停止检查查询并允许其通过。不适用于 DNS Firewall Advanced。 + **Alert**— 停止检查查询,允许其通过,并在 Route 53 VPC 解析器日志中记录查询警报。 + **Block**— 停止检查查询,阻止其前往其预期目的地,并将该查询的阻止操作记录在 Route 53 VPC 解析器日志中。 回复已配置的阻止响应,具体如下: + **NODATA**— 响应表示查询成功,但没有可用的响应。 + **NXDOMAIN**— 响应表示查询的域名不存在。 + **OVERRIDE**— 在响应中提供自定义替换。此选项需要以下额外设置: + **Record value**— 为响应查询而发送回的自定义 DNS 记录。 + **Record type**— DNS 记录的类型。这决定了记录值的格式。必须是 `CNAME`。 + **Time to live in seconds**— DNS 解析器或 Web 浏览器缓存覆盖记录并使用它来响应此查询的建议时间(如果再次收到该查询)。预设情况下,此值为零,并且记录不会被缓存。 有关查询日志配置和内容的更多信息,请参阅 [Resolver 查询日志记录](resolver-query-logs.md) 和 [VPC 解析器查询日志中显示的值](resolver-query-logs-format.md)。 **使用 Alert 测试阻止规则** 首次创建阻止规则时,可以通过将操作设置为 Alert 以进行测试。然后,您可以查看规则提示的查询数,以查看如果将操作设置为 Block,将会阻止多少查询。