本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
DNS Firewall VPC 配置
VPC 的 DNS Firewall 配置决定 Route 53 Resolver 是允许查询通过,还是在失败期间(例如 DNS Firewall 受损、无响应或在区域中不可用时)阻止查询。只要您有一个或多个与 VPC 关联的 DNS Firewall 规则组,Resolver 就会强制执行 VPC 的防火墙配置。
您可以将 VPC 配置为失效打开或失效关闭。
-
默认情况下,故障模式处于关闭状态,这意味着 Resolver 会阻止其未从 DNS Firewall 收到回复的任何查询,并发送
SERVFAILDNS 响应。这种方法有利于提升安全性,但会降低可用性。 -
如果启用失败打开,则 Resolver 会在没有收到来自 DNS Firewall 的回复时允许查询通过。这种方法有利于提升可用性,但会降低安全性。
要更改 VPC(控制台)的 DNS Firewall 配置
-
登录 Amazon Web Services Management Console 并打开 Resolver 控制台,网址为 https://console.aws.amazon.com/route53resolver/
。 -
在导航窗格中的 Resolvers(解析程序)中,选择 VPC。
-
在 VPC 页面上,找到并编辑 VPC。根据需要将 DNS Firewall 配置更改为失败打开或失败关闭。
要更改 VPC (API) 的 DNS Firewall 行为
-
通过调用UpdateFirewallConfig、启用或禁用来更新 VPC 防火墙配置
FirewallFailOpen。
您可以通过调用,通过 API 检索您的 VPC 防火墙配置列表ListFirewallConfigs。