管理您自己的域列表
您可以创建自己的域列表,以指定托管域列表产品中没有找到或您希望自行处理的域类别。
除了本部分中介绍的步骤之外,在控制台中创建或更新规则时,您还可以在 Route 53 Resolver DNS Firewall 规则管理的上下文中创建域列表。
域列表中的每个域规范必须满足以下要求:
-
它可以选择从
*
(星号)开始。 -
除了可选的起始星号之外,它必须只包含以下字符:
A-Z
、a-z
、0-9
、-
(连字符)。 -
它的长度必须介于 1 到 255 个字符之间。
当您对 DNS Firewall 实体(如规则和域列表)进行更改时,DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置但没有到达其它剩余位置时,可能会短暂地出现不一致的情况。因此,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时被阻止,而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时,可能会出现这种临时不一致的情况。通常而言,这种类型的任何不一致情况都只会持续几秒钟。
在生产环境中使用域列表之前对其进行测试
最佳实践是在生产环境中使用域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 Alert
。使用 Amazon CloudWatch 指标和 Resolver 日志评估规则。日志为所有提示和阻止操作提供域列表名称。如果您对域列表与您的 DNS 查询的匹配情况感到满意,请根据需要更改规则操作设置。有关 CloudWatch 指标和查询日志的信息,请参阅 使用 Amazon CloudWatch 监控 Route 53 Resolver DNS Firewall 规则组、显示在 Resolver 查询日志中的值 和 管理 Resolver 查询日志记录配置。
要添加域列表
-
登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。 - 或者 -
登录到 Amazon Web Services Management Console并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/
。 -
选择 Domain list(域列表)。在 Domain list(域列表)页上,您可以选择并编辑现有域列表,也可以添加自己的域列表。
-
要添加域列表,请选择 Add domain list(添加域列表)。
-
为您的域列表提供一个名称,然后在文本框中输入域规范,每行一个。
如果您将 Switch to bulk upload(切换到批量上载)切换为 on(开启),输入您创建域列表所在的 Amazon S3 存储桶 URI。此域列表每行应有一个域名。
-
选择 Add domain list(添加域列表)。Domain lists(域列表)页面会列出您的新域列表。
创建域列表后,您可以从 DNS Firewall 规则中按名称引用域列表。
删除 DNS Firewall 实体
当您删除可以在 DNS Firewall 中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用,DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体正在使用中,请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否有规则组正在使用它。如果实体是规则组,请检查它是否已与任何 VPC 关联。
要删除域列表
-
在导航窗格中,选择 Domain lists(域列表)。
-
在导航栏中,选择域列表的区域。
-
选择要删除的域列表,然后选择 Delete(删除),并确认删除。