DNS Firewall VPC 配置 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

DNS Firewall VPC 配置

VPC 的 DNS Firewall 配置决定 Route 53 Resolver 是允许查询通过,还是在失败期间(例如 DNS Firewall 受损、无响应或在区域中不可用时)阻止查询。只要您有一个或多个与 VPC 关联的 DNS Firewall 规则组,Resolver 就会强制执行 VPC 的防火墙配置。

您可以将 VPC 配置为失效打开或失效关闭。

  • 默认情况下,故障模式处于关闭状态,这意味着 Resolver 会阻止其未从 DNS Firewall 收到回复的任何查询,并发送 SERVFAIL DNS 响应。这种方法有利于提升安全性,但会降低可用性。

  • 如果启用失败打开,则 Resolver 会在没有收到来自 DNS Firewall 的回复时允许查询通过。这种方法有利于提升可用性,但会降低安全性。

要更改 VPC(控制台)的 DNS Firewall 配置

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Resolver 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中的 Resolvers(解析程序)中,选择 VPC

  3. VPC 页面上,找到并编辑 VPC。根据需要将 DNS Firewall 配置更改为失败打开或失败关闭。

要更改 VPC (API) 的 DNS Firewall 行为

您可以通过 ListFirewallConfigs 通过 API 检索 VPC 防火墙配置列表。