DNS Firewall VPC 配置 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS Firewall VPC 配置

您的 VPC 的 DNS 防火墙配置决定了 Route 53 VPC 解析器是否允许查询或在出现故障时阻止查询,例如,当 DNS 防火墙受损、无响应或在区域中不可用时。只要您有一个或多个 DNS 防火墙规则组与 VPC 关联,VPC 解析器就会强制执行 VPC 的防火墙配置。

您可以将 VPC 配置为失效打开或失效关闭。

  • 默认情况下,故障模式处于关闭状态,这意味着 VPC Resolver 会阻止任何未收到来自 DNS 防火墙的回复的查询,并发送 D SERVFAIL NS 响应。这种方法有利于提升安全性,但会降低可用性。

  • 如果您启用失效打开,VPC 解析器将在未收到 DNS 防火墙的回复时允许通过查询。这种方法有利于提升可用性,但会降低安全性。

要更改 VPC(控制台)的 DNS Firewall 配置

  1. 登录 Amazon Web Services 管理控制台 并打开 VPC 解析器控制台,网址为https://console.aws.amazon.com/route53resolver/

  2. 在导航窗格的 “解析器” 下,选择VPCs

  3. 在该VPCs页面中,找到并编辑 VPC。根据需要将 DNS Firewall 配置更改为失败打开或失败关闭。

要更改 VPC (API) 的 DNS Firewall 行为

  • 通过调用UpdateFirewallConfig、启用或禁用来更新 VPC 防火墙配置 FirewallFailOpen

您可以通过调用,通过 API 检索您的 VPC 防火墙配置列表ListFirewallConfigs