Amazon Route 53 Resolver DNS Firewall Firewall 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Route 53 Resolver DNS Firewall Firewall 策略

您可以使用Amazon Firewall ManagerDNS 防火墙策略用于管理 Amazon Route 53 Resolver DNS 防火墙规则组与 Amazon Virtual Private Cloud 之间的关联。VPC横向组织在Amazon Organizations. 您可以将集中控制的规则组应用于整个组织或帐户和 VPC 的选定子集。

DNS Firewall Firewall 为您的 VPC 提供出站 DNS 流量的过滤和管理。您可以在 DNS 防火墙规则组中创建可重复使用的筛选规则集合,并将规则组与 VPC 关联。应用 Firewall Manager 策略时,对于策略范围内的每个账户和 VPC,Firewall Manager 将使用您在防火墙中指定的关联优先级设置,在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联管理器策略。

有关使用 DNS Firewall 的信息,请参阅。Amazon Route 53 Resolver DNS Firewall中的Amazon Route 53 开发人员指南.

以下各节介绍了使用 Firewall Manager DNS 防火墙策略的要求,并介绍了这些策略的工作原理。有关创建策略的过程,请参阅。创建Amazon Firewall ManagerAmazon Route 53 Resolver DNS Firewall 的策略.

您必须启用资源共享

DNS Firewall Manager 策略跨组织账户共享 DNS Firewall Firewall Manager 规则组。要使此功能起作用,您必须启用资源共享Amazon Organizations. 有关如何启用资源共享的信息,请参阅。Network Firewall 和 DNS 防火墙策略的资源共享.

您必须定义 DNS 防火墙规则组

当您指定新的 DNS 防火墙策略时,您定义的规则组与直接使用 Amazon Route 53 Resolver DNS 防火墙时所做的相同。您的规则组必须已存在于 Firewall Manager 管理员帐户中,才能将它们包含在策略中。有关创建 DNS Firewall 规则组的信息,请参阅。DNS Firewall 规则组和规则.

定义最低优先级和最高优先级规则组关联

您通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含 VPC 的优先级最低的关联和优先级最高的关联。在策略配置中,这些规则显示为第一个和最后一个规则组。

DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量:

  1. 由您在 Firewall Manager DNS Firewall Manager DNS Firewall 策略中定义的第一个规则组。有效值在 1 到 99 之间。

  2. 通过 DNS 防火墙由各个帐户管理员关联的 DNS 防火墙规则组。

  3. 您在 Firewall Manager DNS Firewall Manager DNS Firewall 策略中定义的最后一个规则组。有效值在 9901 到 10000 之间。

Firewall Manager 如何命名其创建的规则组关联

当您保存 DNS 防火墙策略时,如果启用自动修正,Firewall Manager 将在策略中提供的规则组和策略范围内的 VPC 之间创建 DNS 防火墙关联。Firewall Manager 通过连接以下值来命名这些关联:

  • 固定字符串,FMManaged_.

  • Firewall Manager 策略 ID。这是AmazonFirewall Manager 策略的资源 ID。

下面显示了由 Firewall Manager 管理的防火墙的示例名称:

FMManaged_EXAMPLEDNSFirewallPolicyId

创建策略后,VPC 中的帐户所有者无法覆盖防火墙策略设置或规则组关联。他们可以将其他 DNS 防火墙规则组与 DNS 防火墙策略范围内的 VPC 关联。由单个帐户所有者创建的任何关联都必须在您的第一个和最后一个规则组关联之间具有优先级设置。