DNS Firewall 中的规则设置 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS Firewall 中的规则设置

创建或编辑 DNS Firewall 规则组时,您指定以下值:

Name

用于规则组中规则的唯一标识符。

(可选)描述

提供有关规则的更多信息的简短描述。

域名清单

规则检查的域列表。您可以创建和管理自己的域列表,也可以订阅 Amazon 为您管理的域列表。有关更多信息,请参阅 解析器 DNS 防火墙域列表

规则可以包含域列表或 DNS Firewall Advanced 保护,但不能同时包含两者。

域重定向设置(仅限域列表)

您可以选择让 DNS Firewall 规则仅检查 DNS 重定向链中的第一个域或所有(默认)域,比如 CNAME、DNAME 等。如果选择检查所有域,则必须将 DNS 重定向链中的后续域添加到域列表中,并将其设置为需要规则采取的行动,即 ALLOW、BLOCK 或 ALERT。有关更多信息,请参阅 解析器 DNS 防火墙组件和设置

查询类型(仅限域列表)

此规则检查的 DNS 查询类型列表。有效值如下所示:

  • 答:返回 IPv4 地址。

  • AAAA:返回 IPv6 地址。

  • CAA: CAs 可以为域名创建 SSL/TLS 认证的限制。

  • CNAME:返回另一个域名。

  • DS:标识委派区域 DNSSEC 签名密钥的记录。

  • MX:指定邮件服务器。

  • NAPTR: Regular-expression-based重写域名。

  • NS:权威名称服务器。

  • PTR:将 IP 地址映射到域名。

  • SOA:此区的授权起始点记录。

  • SPF:列出有权从某个域发送电子邮件的服务器。

  • SRV:用于标识服务器的特定应用程序值。

  • TXT:验证电子邮件发件人和特定应用程序的值。

  • 您使用 DNS 类型 ID 定义的查询类型,例如 AAAA 的类型为 28。这些值必须定义为 TYPE NUMBER,其中NUMBER可以是 1-65334,例如,。 TYPE28有关更多信息,请参阅 DNS 记录类型列表

    您可以为每条规则创建一个查询类型。

    注意

    如果您设置的防火墙阻止规则的操作为 NXDOMAIN 查询类型等于 AAAA,则此操作将不会应用于启用时生成的合成 IPv6 地址。 DNS64

DNS Firewall Advanced 保护

根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以选择如下方面的保护:

  • 域生成算法 (DGAs)

    DGAs 被攻击者用来生成大量域来发起恶意软件攻击。

  • DNS 隧道

    DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。

  • DGA 字典

    攻击 DGAs 者使用字典通过字典单词生成域名,以逃避恶意软件command-and-control 通信中的检测。

在 DNS Firewall Advanced 规则中,您可以选择阻止与威胁匹配的查询或针对其发出提醒。

有关更多信息,请参阅 解析器 DNS 防火墙高级

规则可以包含 DNS Firewall Advanced 保护或域列表,但不能同时包含两者。

置信度阈值(仅限 DNS Firewall Advanced)

DNS Firewall Advanced 的置信度阈值。创建 DNS Firewall Advanced 规则时必须提供此值。置信度值代表:

  • 高 – 仅检测证实度最高的威胁,误报率低。

  • 中 – 在检测威胁和误报之间保持平衡。

  • 低 – 提供最高威胁检测率,但也会增加误报。

有关更多信息,请参阅 DNS Firewall 中的规则设置。

Action

您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息,请参阅 DNS Firewall 中的规则操作

优先级

规则组中唯一确定处理顺序的正整数设置。DNS Firewall 根据规则组中的规则检查 DNS 查询,从最低数值优先级设置开始并向上检查。您可以随时更改规则的优先级,例如更改处理顺序或为其它规则留出空间。