DNS 防火墙 VPC 配置 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS 防火墙 VPC 配置

VPC 的 DNS 防火墙配置决定 Route 53 解析程序是允许查询还是在失败期间阻止查询,例如 DNS 防火墙受损或无响应时。只要您有一个或多个与 VPC 关联的 DNS 防火墙规则组,解析程序就会强制执行 VPC 的防火墙配置。

您可以将 VPC 配置为失效打开或失效关闭。

  • 默认情况下,故障模式处于关闭状态,这意味着解析程序会阻止其未从 DNS 防火墙接收回复的任何查询。这种方法有利于安全性而不是可用性。

  • 如果启用失败打开,则解析程序在没有收到来自 DNS 防火墙的答复时允许通过查询。这种方法有利于可用性而不是安全性。

更改 VPC 的 DNS 防火墙配置(控制台)

  1. 登录到Amazon Web Services Management Console,然后打开解析器控制台https://console.aws.amazon.com/route53resolver/.

  2. 在导航窗格中的解析程序中,选择VPC.

  3. VPC页面上,找到并编辑 VPC。根据需要将 DNS 防火墙配置更改为失败打开或失败关闭。

更改 VPC 的 DNS 防火墙行为 (API)

  • 更新您的 VPC 防火墙配置,方法是调用更新防火墙配置以及启用或禁用FirewallFailOpen.

您可以通过 API 检索您的 VPC 防火墙配置列表,方法是调用列出防火墙配置.