Erste Schritte mit der Route 53 Resolver Firewall DNS - Amazon Route 53
Beispiel für einen ummauerten Garten mit Route 53 Resolver DNS FirewallBeispiel für eine Route 53 Resolver DNS Firewall-Sperrliste

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit der Route 53 Resolver Firewall DNS

Die DNS Firewall-Konsole enthält einen Assistenten, der Sie durch die folgenden Schritte für die ersten Schritte mit der DNS Firewall führt:

  • Erstellen Sie Regelgruppen für jeden Satz von Regeln, den Sie verwenden möchten.

  • Füllen Sie für jede Regel die Domainliste aus, auf die Sie überprüfen möchten. Sie können Ihre eigenen Domainlisten erstellen und AWS verwaltete Domainlisten verwenden.

  • Ordnen Sie Ihre Regelgruppen VPCs denen zu, in denen Sie sie verwenden möchten.

Beispiel für einen ummauerten Garten mit Route 53 Resolver DNS Firewall

In diesem Lernprogramm erstellen Sie eine Regelgruppe, die alle außer einer ausgewählten Gruppe von Domains blockiert, denen Sie vertrauen. Dies wird als geschlossene Plattform oder ummauerte Gartenansatz bezeichnet.

Um eine DNS Firewall-Regelgruppe mit dem Konsolenassistenten zu konfigurieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

    Wählen Sie im Navigationsbereich DNSFirewall, um die Seite DNS Firewall-Regelgruppen auf der VPC Amazon-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

    - ODER -

    Melden Sie sich bei der an AWS Management Console und öffnen Sie

    die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter DNSFirewall die Option Regelgruppen aus.

  3. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus.

  4. Wählen Sie auf der Seite Regelgruppen die Option Regelgruppe hinzufügen aus.

  5. Geben Sie für den Regelgruppennamen WalledGardenExample ein.

    Im Abschnitt Tags können Sie optional ein Schlüssel-Wert-Paar für ein Tag eingeben. Tags helfen Ihnen bei der Organisation und Verwaltung Ihrer AWS -Ressourcen. Weitere Informationen finden Sie unter Amazon-Route-53-Ressourcen-Markierung.

  6. Wählen Sie Regelgruppe hinzufügen aus.

  7. Wählen Sie auf der WalledGardenExampleDetailseite die Registerkarte Regeln und dann Regel hinzufügen aus.

  8. Geben Sie im Bereich Regeldetails den Regelnamen BlockAll ein.

  9. Wählen Sie im Bereich Domainliste Eigene Domainliste hinzufügen aus.

  10. Wählen Sie unter Neue Domainliste auswählen oder erstellen die Option Neue Domainliste erstellen aus.

  11. Geben Sie einen Namen AllDomains für die Domainliste ein und geben Sie dann in das Textfeld Geben Sie eine Domäne pro Zeile ein Sternchen ein: * ein.

  12. Akzeptieren Sie für die Einstellung „Domainumleitung“ die Standardeinstellung und lassen Sie „Abfragetyp — optional“ leer.

  13. Wählen Sie für die Aktion die Standardeinstellung für die zu sendende Antwort aus BLOCKund belassen Sie sie dann bei. NODATA

  14. Wählen Sie Regel hinzufügen aus. Ihre Regel BlockAllwird auf der WalledGardenExampleSeite auf der Registerkarte Regeln angezeigt.

  15. Wählen Sie auf der WalledGardenExampleSeite Regel hinzufügen aus, um Ihrer Regelgruppe eine zweite Regel hinzuzufügen.

  16. Geben Sie im Bereich Regeldetails den Regelnamen einAllowSelectDomains.

  17. Wählen Sie im Bereich Domainliste Eigene Domainliste hinzufügen aus.

  18. Wählen Sie unter Neue Domainliste auswählen oder erstellen die Option Neue Domainliste erstellen aus.

  19. Geben Sie einen Domainlistennamen ExampleDomains ein.

  20. Geben Sie in das Textfeld Geben Sie eine Domäne pro Zeile ein in der ersten Zeile example.com und in der zweiten Zeile Folgendes einexample.org.

    Anmerkung

    Wenn die Regel auch für Subdomains gelten soll, müssen Sie diese Domains ebenfalls zur Liste hinzufügen. Um beispielsweise alle Subdomains von example.com hinzuzufügen, fügen Sie *.example.com zur Liste hinzu.

  21. Akzeptieren Sie für die Einstellung Domainumleitung die Standardeinstellung und lassen Sie Abfragetyp — optional leer.

  22. Wählen Sie für die Aktion die Option aus ALLOW.

  23. Wählen Sie Regel hinzufügen aus. Ihre Regeln werden beide auf der Registerkarte Regeln auf der WalledGardenExampleSeite angezeigt.

  24. Auf der Registerkarte Regeln auf der WalledGardenExampleSeite können Sie die Bewertungsreihenfolge der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der Spalte Priorität aufgeführte Zahl auswählen und eine neue Zahl eingeben. DNSDie Firewall bewertet Regeln beginnend mit der Einstellung mit der niedrigsten Priorität, sodass die Regel mit der niedrigsten Priorität zuerst bewertet wird. In diesem Beispiel soll die DNS Firewall zuerst DNS Abfragen für die ausgewählte Domänenliste identifizieren und zulassen und dann alle verbleibenden Abfragen blockieren.

    Passen Sie die Regelpriorität so an, dass sie eine niedrigere Priorität AllowSelectDomainshat.

Sie haben jetzt eine Regelgruppe, die nur bestimmte Domainabfragen zulässt. Um mit der Verwendung zu beginnen, ordnen Sie es VPCs dem Bereich zu, in dem Sie das Filterverhalten verwenden möchten. Weitere Informationen finden Sie unter Zuordnungen zwischen Ihrer Regelgruppe VPC und der Route 53 Resolver DNS Firewall-Regelgruppe verwalten.

Beispiel für eine Route 53 Resolver DNS Firewall-Sperrliste

In diesem Lernprogramm erstellen Sie eine Regelgruppe, die Domains blockiert, von denen Sie wissen, dass sie bösartig sind. Sie fügen außerdem einen DNS Abfragetyp hinzu, der für die Domänen in der Sperrliste zulässig ist. Die Regelgruppe lässt alle anderen ausgehenden DNS Anfragen über den Route 53 Resolver zu.

So konfigurieren Sie eine DNS Firewall-Sperrliste mithilfe des Konsolenassistenten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

    Wählen Sie im Navigationsbereich DNSFirewall, um die Seite DNS Firewall-Regelgruppen auf der VPC Amazon-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

    - ODER -

    Melden Sie sich bei der an AWS Management Console und öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter DNSFirewall die Option Regelgruppen aus.

  3. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus.

  4. Wählen Sie auf der Seite Regelgruppen die Option Regelgruppe hinzufügen aus.

  5. Geben Sie für den Regelgruppennamen BlockListExample ein.

    Im Abschnitt Tags können Sie optional ein Schlüssel-Wert-Paar für ein Tag eingeben. Tags helfen Ihnen bei der Organisation und Verwaltung Ihrer AWS -Ressourcen. Weitere Informationen finden Sie unter Amazon-Route-53-Ressourcen-Markierung.

  6. Wählen Sie auf der BlockListExampleDetailseite die Registerkarte Regeln und dann Regel hinzufügen aus.

  7. Geben Sie im Bereich Regeldetails den Regelnamen BlockList ein.

  8. Wählen Sie im Bereich Domainliste Eigene Domainliste hinzufügen aus.

  9. Wählen Sie unter Neue Domainliste auswählen oder erstellen die Option Neue Domainliste erstellen aus.

  10. Geben Sie einen Domainlistennamen MaliciousDomains ein, und geben Sie dann in das Textfeld die Domains ein, die Sie blockieren möchten. Beispiel, example.org. Geben Sie pro Zeile eine Domain ein.

    Anmerkung

    Wenn die Regel auch auf Subdomains angewendet werden soll, müssen Sie diese Domains auch zur Liste hinzufügen. Um beispielsweise alle Subdomains von example.org hinzuzufügen, fügen Sie *.example.org zur Liste hinzu.

  11. Akzeptieren Sie für die Einstellung Domainumleitung die Standardeinstellung und lassen Sie „Abfragetyp — optional“ leer.

  12. Wählen Sie für die Aktion die zu sendende Antwort aus BLOCKund belassen Sie sie dann bei der Standardeinstellung von NODATA.

  13. Wählen Sie Regel hinzufügen aus. Ihre Regel wird auf der BlockListExampleSeite auf der Registerkarte Regeln angezeigt

  14. Auf der Registerkarte Regeln auf der BlockedListExampleSeite können Sie die Reihenfolge der Auswertung der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der Spalte Priorität aufgeführte Zahl auswählen und eine neue Zahl eingeben. DNSDie Firewall bewertet Regeln beginnend mit der Einstellung mit der niedrigsten Priorität, sodass die Regel mit der niedrigsten Priorität zuerst bewertet wird.

    Wählen Sie die Regelpriorität aus und passen Sie sie so an, BlockListdass sie entweder vor oder nach allen anderen Regeln, die Sie haben, ausgewertet wird. Meistens sollten bekannte bösartige Domains zuerst blockiert werden. Das heißt, die damit verbundenen Regeln sollten die niedrigste Prioritätsnummer haben.

  15. Um eine Regel hinzuzufügen, die MX-Einträge für die BlockList Domains zulässt, wählen Sie auf der BlockedListExampleDetailseite auf der Registerkarte Regeln die Option Regel hinzufügen aus.

  16. Geben Sie im Bereich Regeldetails den Regelnamen BlockList-allowMX ein.

  17. Wählen Sie im Bereich Domainliste Eigene Domainliste hinzufügen aus.

  18. Wählen Sie unter Neue Domainliste auswählen oder erstellen die Option ausMaliciousDomains.

  19. Akzeptieren Sie für die Einstellung Domainumleitung die Standardeinstellung.

  20. Wählen Sie in der Liste mit den DNSAbfragetypen die Option MX: Spezifiziert Mailserver aus.

  21. Wählen Sie für die Aktion aus ALLOW.

  22. Wählen Sie Regel hinzufügen aus.

  23. Auf der Registerkarte Regeln auf der BlockedListExampleSeite können Sie die Reihenfolge der Auswertung der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der Spalte Priorität aufgeführte Zahl auswählen und eine neue Zahl eingeben. DNSDie Firewall bewertet Regeln beginnend mit der Einstellung mit der niedrigsten Priorität, sodass die Regel mit der niedrigsten Priorität zuerst bewertet wird.

    Wählen Sie die Regelpriorität aus und passen Sie sie an, sodass BlockList-allowMX entweder vor oder nach allen anderen Regeln, die Sie möglicherweise haben, ausgewertet wird. Da Sie MX-Abfragen zulassen möchten, stellen Sie sicher, dass die Regel BlockList-allowMX eine niedrigere Priorität als hat. BlockList

Sie haben jetzt eine Regelgruppe, die bestimmte bösartige Domainabfragen blockiert, aber einen bestimmten DNS Abfragetyp zulässt. Um mit der Verwendung zu beginnen, ordnen Sie es VPCs dem Bereich zu, in dem Sie das Filterverhalten verwenden möchten. Weitere Informationen finden Sie unter Zuordnungen zwischen Ihrer Regelgruppe VPC und der Route 53 Resolver DNS Firewall-Regelgruppe verwalten.