本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理您自己的域列表
您可以创建自己的域列表,以指定托管域列表产品中没有找到或您希望自行处理的域类别。
除了本部分中介绍的步骤之外,在控制台中创建或更新规则时,您还可以在 Route 53 Resolver DNS Firewall 规则管理的上下文中创建域列表。
域列表中的每个域规范必须满足以下要求:
-
它可以选择从
*(星号)开始。 -
除了可选的起始星号和句点(作为标签之间)的分隔符之外,它必须只包含以下字符:
A-Z、a-z、0-9、-(连字符)。 -
它的长度必须介于 1 到 255 个字符之间。
当您对 DNS Firewall 实体(如规则和域列表)进行更改时,DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置但没有到达其它剩余位置时,可能会短暂地出现不一致的情况。因此,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时被阻止,而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时,可能会出现这种临时不一致的情况。通常而言,这种类型的任何不一致情况都只会持续几秒钟。
在生产环境中使用域列表之前对其进行测试
最佳实践是在生产环境中使用域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 Alert。使用 Amazon CloudWatch 指标和解析器日志评估规则。日志为所有提示和阻止操作提供域列表名称。如果您对域列表与您的 DNS 查询的匹配情况感到满意,请根据需要更改规则操作设置。有关 CloudWatch 指标和查询日志的信息,请参阅使用 Amazon 监控 Route 53 解析器 DNS 防火墙规则组 CloudWatch显示在 Resolver 查询日志中的值、和管理 Resolver 查询日志记录配置。
要添加域列表
-
登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/
。 在导航窗格中选择 DNS 防火墙,以在 Amazon VPC 控制台上打开 DNS 防火墙规则组页面。继续执行步骤 2。
- 或者 -
登录 Amazon Web Services Management Console 并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的 DNS 防火墙下,选择域列表。在 Domain list(域列表)页上,您可以选择并编辑现有域列表,也可以添加自己的域列表。
-
要添加域列表,请选择 Add domain list(添加域列表)。
-
为您的域列表提供一个名称,然后在文本框中输入域规范,每行一个。
如果您将 Switch to bulk upload(切换到批量上载)切换为 on(开启),输入您创建域列表所在的 Amazon S3 存储桶 URI。此域列表每行应有一个域名。
注意
重复的域名将导致批量导入失败。
-
选择 Add domain list(添加域列表)。Domain lists(域列表)页面会列出您的新域列表。
创建域列表后,您可以从 DNS Firewall 规则中按名称引用域列表。
删除 DNS Firewall 实体
当您删除可以在 DNS Firewall 中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用,DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体正在使用中,请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否有规则组正在使用它。如果实体是规则组,请检查它是否已与任何 VPC 关联。
要删除域列表
-
在导航窗格中,选择 Domain lists(域列表)。
-
在导航栏中,选择域列表的区域。
-
选择要删除的域列表,然后选择 Delete(删除),并确认删除。