本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 Resolver DNS Firewall
使用 Route 53 Resolver DNS Firewall,您可以筛选和管理 Virtual Private Cloud (VPC) 的出站 DNS 流量。为此,您需要在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以相应地调整 DNS Firewall 的行为。
DNS Firewall 为来自您 VPC 的出站 DNS 请求提供保护。这些请求通过 Resolver 路由以进行域名解析。DNS Firewall 保护的主要用途是帮助防止数据的 DNS 泄露。当错误的参与者损害 VPC 中的应用程序实例,然后使用 DNS 查找数据并将数据从 VPC 发送到他们控制的域时,就可能会发生 DNS 泄露。使用 DNS Firewall,您可以监控和控制应用程序可以查询的域。您可以拒绝对已知不良域的访问,并允许所有其它查询通过。或者,您可以拒绝对除明确信任的域之外的所有域的访问。您也可以允许或拒绝 DNS 查询类型。例如,您可能想要屏蔽特定域的所有查询类型,但允许 MX 记录。
您还可以使用 DNS Firewall 阻止在私有托管区域(共享或本地)中对资源(包括 VPC 终端节点名称)的解析请求。它还可以阻止对公有或私有 Amazon EC2 实例名称的请求。
DNS Firewall 是 Route 53 Resolver 的一项功能,不需要任何额外的 Resolver 设置即可使用。
Amazon Firewall Manager 支持 DNS 防火墙
您可以使用 Firewall Manager 在 Amazon Organizations 中跨账户集中配置和管理 DNS Firewall 规则组关联。Firewall Manager 会自动为属于 Firewall Manager DNS Firewall 策略范围的 VPC 添加关联。有关更多信息,请参阅Amazon WAF Amazon Firewall Manager、和 Amazon Shield Advanced 开发者指南Amazon Firewall Manager中的。
DNS 防火墙的工作原理 Amazon Network Firewall
DNS Firewall 和 Network Firewall 都提供域名筛选,但适用于不同类型的流量。将 DNS Firewall 和 Network Firewall 相结合,您便可以通过两个不同的网络路径为应用程序层流量配置基于域的筛选。
-
DNS Firewall 为通过 Route 53 Resolver 从 VPC 内的应用程序传递的出站 DNS 查询提供筛选。您还可以将 DNS Firewall 配置为向阻止的域名发送查询的自定义响应。
-
Network Firewall 为网络和应用层流量提供筛选,但无法查看 Route 53 Resolver 所做的查询。
有关 Network Firewall 的更多信息,请参阅 Network Firewall 开发人员指南。