Route 53 Resolver DNS Firewall - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Route 53 Resolver DNS Firewall

使用 Route 53 Resolver DNS Firewall,您可以筛选和管理 Virtual Private Cloud (VPC) 的出站 DNS 流量。为此,您需要在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以相应地调整 DNS Firewall 的行为。

DNS Firewall 为来自您 VPC 的出站 DNS 请求提供保护。这些请求通过 Resolver 路由以进行域名解析。DNS Firewall 保护的主要用途是帮助防止数据的 DNS 泄露。当错误的参与者损害 VPC 中的应用程序实例,然后使用 DNS 查找数据并将数据从 VPC 发送到他们控制的域时,就可能会发生 DNS 泄露。使用 DNS Firewall,您可以监控和控制应用程序可以查询的域。您可以拒绝对已知不良域的访问,并允许所有其它查询通过。或者,您可以拒绝对除明确信任的域之外的所有域的访问。

您还可以使用 DNS Firewall 阻止在私有托管区域(共享或本地)中对资源(包括 VPC 终端节点名称)的解析请求。它还可以阻止对公有或私有 Amazon EC2 实例名称的请求。

DNS Firewall 是 Route 53 Resolver 的一项功能,不需要任何额外的 Resolver 设置即可使用。

Amazon Firewall Manager 支持 DNS Firewall

您可以使用 Firewall Manager 在 Amazon Organizations 中跨账户集中配置和管理 DNS Firewall 规则组关联。Firewall Manager 会自动为属于 Firewall Manager DNS Firewall 策略范围的 VPC 添加关联。有关更多信息,请参阅《Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced 开发人员指南》中的 Amazon Firewall Manager

DNS Firewall 如何与 Amazon Network Firewall 搭配使用

DNS Firewall 和 Network Firewall 都提供域名筛选,但适用于不同类型的流量。将 DNS Firewall 和 Network Firewall 相结合,您便可以通过两个不同的网络路径为应用程序层流量配置基于域的筛选。

  • DNS Firewall 为通过 Route 53 Resolver 从 VPC 内的应用程序传递的出站 DNS 查询提供筛选。您还可以将 DNS Firewall 配置为向阻止的域名发送查询的自定义响应。

  • Network Firewall 为网络和应用层流量提供筛选,但无法查看 Route 53 Resolver 所做的查询。

有关 Network Firewall 的更多信息,请参阅 Network Firewall 开发人员指南