Route 53 Resolver DNS Firewall - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Route 53 Resolver DNS Firewall

使用 Route 53 解析器 DNS 防火墙,您可以筛选和管理虚拟专用连接 (VPC) 的出站 DNS 流量。为此,您需要在 DNS 防火墙规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS 防火墙日志和指标中的活动。根据活动,您可以相应地调整 DNS 防火墙的行为。

DNS 防火墙为来自您的 VPC 的出站 DNS 请求提供保护。这些请求通过解析程序进行域名解析。DNS 防火墙保护的主要用途是帮助防止 DNS 泄露数据。当错误的参与者损害 VPC 中的应用程序实例,然后使用 DNS 查找将数据从 VPC 发送到他们控制的域时,可能会发生 DNS 泄露。使用 DNS 防火墙,您可以监视和控制应用程序可以查询的域。您可以拒绝对已知不良域的访问,并允许所有其他查询通过。或者,您可以拒绝对除明确信任的域之外的所有域的访问。

您还可以使用 DNS 防火墙阻止对私有托管区域(共享或本地)中的资源(包括 VPC 终端节点名称)的解析请求。它还可以阻止对公有或私有 Amazon EC2 实例名称的请求。

DNS 防火墙是 Route 53 解析程序的一项功能,不需要任何额外的解析程序设置即可使用。

Amazon Firewall Manager支持 DNS 防火墙

您可以使用 Firewall Manager 跨账户集中配置和管理 VPC 的 DNS Firewall 规则组关联。Amazon Organizations. Firewall Manager 会自动为属于 Firewall Manager DNS 防火墙策略范围的 VPC 添加关联。有关更多信息,请参阅《Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced 开发人员指南》中的 Amazon Firewall Manager

DNS 防火墙如何与Amazon Network Firewall

DNS 防火墙和 Network Firewall 都提供域名筛选,但适用于不同类型的流量。将 DNS 防火墙和 Network Firewall 结合在一起,您可以通过两个不同的网络路径为应用程序层流量配置基于域的筛选。

  • DNS 防火墙为通过 Route 53 解析程序从 VPC 内的应用程序传递的出站 DNS 查询提供过滤。您还可以将 DNS 防火墙配置为向阻止的域名发送查询的自定义响应。

  • Network Firewall 为网络和应用层流量提供过滤,但无法查看 Route 53 解析程序所做的查询。

有关 Network Firewall 的更多信息,请参阅Network Firewall 开发者指南.