Funktionsweise der Route-53-Resolver-DNS-Firewall - Amazon Route 53
DNS-Firewall-Komponenten und -EinstellungenSo filtert Route-53-Resolver-DNS-Firewall DNS-AbfragenAllgemeine Schritte für die Verwendung der DNS-FirewallVerwenden von DNS-Firewall-Regelgruppen in mehreren Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise der Route-53-Resolver-DNS-Firewall

Mit der Route-53-Resolver-DNS-Firewall können Sie den Zugriff auf Sites steuern und Bedrohungen auf DNS-Ebene für DNS-Abfragen, die über den Route 53 Resolver von Ihrer VPC ausgehen, blockieren. Mit DNS Firewall definieren Sie Filterregeln für Domainnamen in Regelgruppen, die Sie Ihren VPCs zuordnen. Sie können Listen von Domainnamen angeben, die Sie zulassen oder blockieren möchten, und Sie können die Antworten für die blockierten DNS-Abfragen anpassen. Sie können die Domänenlisten auch so anpassen, dass bestimmte Abfragetypen, wie z. B. MX-Einträge, durchgelassen werden.

Die DNS-Firewall filtert nur nach dem Domainnamen. Dieser Name wird nicht in eine IP-Adresse aufgelöst, die blockiert werden soll. Darüber hinaus filtert die DNS-Firewall den DNS-Verkehr, aber sie filtert keine anderen Protokolle auf Anwendungsebene wie HTTPS, SSH, TLS, FTP usw.

Route-53-Resolver-DNS-Firewall-Komponenten und -Einstellungen

Sie verwalten die DNS-Firewall mit den folgenden zentralen Komponenten und Einstellungen.

DNS Firewall-Regelgruppe

Definiert eine benannte, wiederverwendbare Sammlung von DNS-Firewallregeln zum Filtern von DNS-Abfragen. Sie füllen die Regelgruppe mit den Filterregeln auf und verknüpfen dann die Regelgruppe mit einer oder mehreren VPCs. Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, aktivieren Sie die DNS-Firewall-Filterung für die VPC. Wenn Resolver dann eine DNS-Abfrage für eine VPC erhält, mit der eine Regelgruppe verknüpft ist, übergibt Resolver die Abfrage zur Filterung an die DNS Firewall.

Wenn Sie einer einzelnen VPC mehrere Regelgruppen zuordnen, geben Sie deren Verarbeitungsreihenfolge über die Prioritätseinstellung in jeder Zuordnung an. Die DNS-Firewall verarbeitet Regelgruppen für eine VPC ab der Einstellung der niedrigsten numerischen Priorität.

Weitere Informationen finden Sie unter DNS-Firewall-Regelgruppen und -Regeln.

DNS-Firewall-Regel

Definiert eine Filterregel für DNS-Abfragen in einer DNS-Firewall-Regelgruppe. Jede Regel gibt eine Domainliste und eine Aktion für DNS-Abfragen an, deren Domains mit den Domainspezifikationen in der Liste übereinstimmen. Sie können übereinstimmende Abfragen oder Abfragetypen für die Domänen in der Liste zulassen, blockieren oder bei entsprechenden Benachrichtigungen warnen. Sie können beispielsweise einen MX-Abfragetyp für eine oder mehrere bestimmte Domänen blockieren oder zulassen. Sie können auch benutzerdefinierte Antworten für blockierte Abfragen definieren.

Jede Regel in einer Regelgruppe hat eine Prioritätseinstellung, die innerhalb der Regelgruppe eindeutig ist. Die DNS-Firewall verarbeitet die Regeln in einer Regelgruppe ab der niedrigsten numerischen Prioritätseinstellung.

DNS-Firewall-Regeln existieren nur im Kontext der Regelgruppe, in der sie definiert sind. Sie können eine Regel unabhängig von ihrer Regelgruppe nicht wiederverwenden oder darauf verweisen.

Weitere Informationen finden Sie unter DNS-Firewall-Regelgruppen und -Regeln.

Domainliste

Definiert eine benannte, wiederverwendbare Sammlung von Domainspezifikationen für die Verwendung in der DNS-Filterung. Jede Regel in einer Regelgruppe benötigt eine einzige Domainliste. Sie können die Domains angeben, für die Sie den Zugriff zulassen möchten, die Domains, für die Sie den Zugriff verweigern möchten, oder eine Kombination aus beiden. Sie können Ihre eigenen Domainlisten erstellen und Domainlisten verwenden, die für Sie AWS verwaltet werden.

Weitere Informationen finden Sie unter Route-53-Resolver-DNS-Firewall-Domainlisten.

Verknüpfung zwischen einer DNS-Firewall-Regelgruppe und einer VPC

Definiert einen Schutz für eine VPC mithilfe einer DNS-Firewall-Regelgruppe und aktiviert die Resolver-DNS-Firewall-Konfiguration für die VPC.

Wenn Sie einer einzelnen VPC mehrere Regelgruppen zuordnen, geben Sie deren Verarbeitungsreihenfolge über die Prioritätseinstellung in den Zuordnungen an. Die DNS-Firewall verarbeitet Regelgruppen für eine VPC ab der Einstellung der niedrigsten numerischen Priorität.

Weitere Informationen finden Sie unter Aktivieren des Route-53-Resolver-DNS-Firewall-Schutzes für Ihre VPC.

Resolver-DNS-Firewall-Konfiguration für eine VPC

Gibt an, wie Resolver den Schutz der DNS-Firewall auf VPC-Ebene behandeln soll. Diese Konfiguration gilt immer dann, wenn mindestens eine DNS-Firewall-Regelgruppe mit der VPC verknüpft ist.

Diese Konfiguration legt fest, wie Route 53 Resolver Abfragen verarbeitet, wenn die DNS-Firewall sie nicht filtern kann. Wenn Resolver auf eine Abfrage keine Antwort von der DNS-Firewall erhält, schlägt es standardmäßig fehl und blockiert die Abfrage.

Weitere Informationen finden Sie unter Konfiguration der DNS-Firewall-VPC.

Überwachung der DNS-Firewall-Aktionen

Sie können Amazon verwenden CloudWatch , um die Anzahl der DNS-Abfragen zu überwachen, die nach DNS-Firewall-Regelgruppen gefiltert werden. CloudWatch sammelt und verarbeitet Rohdaten zu lesbaren Metriken, die nahezu in Echtzeit verfügbar sind.

Weitere Informationen finden Sie unter Überwachung von Route 53 Resolver DNS-Firewall-Regelgruppen mit Amazon CloudWatch.

Sie können Amazon verwenden EventBridge, einen serverlosen Service, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, um skalierbare, ereignisgesteuerte Anwendungen zu erstellen.

Weitere Informationen finden Sie unter Verwaltung von Route 53 Resolver-DNS-Firewallereignissen mit Amazon EventBridge.

So filtert Route-53-Resolver-DNS-Firewall DNS-Abfragen

Wenn eine DNS-Firewall-Regelgruppe mit dem Route 53 Resolver Ihrer VPC verknüpft ist, wird der folgende Datenverkehr von der Firewall gefiltert:

  • DNS-Abfragen, die innerhalb dieser VPC stammen.

  • DNS-Abfragen, die über Resolver-Endpunkte von On-Premises-Ressourcen in dieselbe VPC geleitet werden, deren Resolver die DNS-Firewall zugeordnet hat.

Wenn die DNS-Firewall eine DNS-Abfrage empfängt, filtert sie die Abfrage mit den von Ihnen konfigurierten Regelgruppen, Regeln und anderen Einstellungen und sendet die Ergebnisse zurück an Resolver:

  • Die DNS-Firewall wertet die DNS-Abfrage mithilfe der Regelgruppen aus, die der VPC zugeordnet sind, bis sie eine Übereinstimmung findet oder alle Regelgruppen ausschöpft. Die DNS-Firewall wertet die Regelgruppen in der Reihenfolge der Priorität aus, die Sie in der Zuordnung festgelegt haben, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen finden Sie unter DNS-Firewall-Regelgruppen und -Regeln und Aktivieren des Route-53-Resolver-DNS-Firewall-Schutzes für Ihre VPC.

  • Innerhalb jeder Regelgruppe wertet die DNS-Firewall die DNS-Abfrage anhand der Domainliste jeder Regel aus, bis sie eine Übereinstimmung findet oder alle Regeln erschöpft. DNS-Firewall wertet die Regeln in der Reihenfolge ihrer Priorität aus, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen finden Sie unter DNS-Firewall-Regelgruppen und -Regeln.

  • Wenn die DNS-Firewall eine Übereinstimmung mit der Domainliste einer Regel findet, beendet sie die Abfragebewertung und antwortet Resolver mit dem Ergebnis. Wenn die Aktion alert lautet, sendet die DNS-Firewall auch eine Warnung an die konfigurierten Resolver-Protokolle. Weitere Informationen finden Sie unter Regelaktionen in der DNS-Firewall und Route-53-Resolver-DNS-Firewall-Domainlisten.

  • Wenn die DNS-Firewall alle Regelgruppen auswertet, ohne eine Übereinstimmung zu finden, antwortet sie wie gewohnt auf die Abfrage.

Resolver leitet die Abfrage entsprechend der Antwort von der DNS-Firewall weiter. In dem unwahrscheinlichen Fall, dass die DNS-Firewall nicht reagiert, wendet Resolver den konfigurierten DNS-Firewall-Fehlermodus der VPC an. Weitere Informationen finden Sie unter Konfiguration der DNS-Firewall-VPC.

Allgemeine Schritte für die Verwendung der Route-53-Resolver-DNS-Firewall

Um die DNS-Firewall-Filterung von Route 53 Resolver in Ihrer Amazon Virtual Private Cloud VPC zu implementieren, führen Sie die folgenden Schritte auf hoher Ebene aus.

  • Definieren Sie Ihren Filteransatz und Ihre Domainlisten – Entscheiden Sie, wie Sie Abfragen filtern möchten, identifizieren Sie die benötigten Domainspezifikationen und definieren Sie die Logik, die Sie zum Auswerten von Abfragen verwenden. Sie können beispielsweise alle Abfragen zulassen, die in einer Liste bekannter fehlerhafter Domains enthalten sind. Oder Sie möchten das Gegenteil tun und alle Domains bis auf eine genehmigte Liste blockieren, was als Walled-Garden-Ansatz bekannt ist. Sie können Ihre eigenen Listen mit den Spezifikationen für zulässige oder gesperrte Domains erstellen und verwalten, und Sie können Domainlisten verwenden, die für Sie AWS verwaltet werden. Informationen zu Domainlisten finden Sie unter. Route-53-Resolver-DNS-Firewall-Domainlisten

  • Erstellen einer Firewall-Regelgruppe – Erstellen Sie in der DNS-Firewall eine Regelgruppe zum Filtern von DNS-Abfragen für Ihre VPC. Sie müssen eine Regelgruppe in jeder Region erstellen, in der Sie sie verwenden möchten. Möglicherweise möchten Sie Ihr Filterverhalten auch in mehr als eine Regelgruppe aufteilen, um die Wiederverwendung in mehreren Filterszenarien für Ihre verschiedenen VPCs zu ermöglichen. Informationen zu Regelgruppen finden Sie unter DNS-Firewall-Regelgruppen und -Regeln.

  • Regeln hinzufügen und konfigurieren – Fügen Sie Ihrer Regelgruppe für jede Domainliste und jedes Filterverhalten, das die Regelgruppe bereitstellen soll, eine Regel hinzu. Legen Sie die Prioritätseinstellungen für Ihre Regeln so fest, dass sie innerhalb der Regelgruppe in der richtigen Reihenfolge verarbeitet werden, und geben Sie der Regel, die Sie zuerst auswerten möchten, die niedrigste Priorität. Informationen zu Regeln finden Sie unter DNS-Firewall-Regelgruppen und -Regeln.

  • Ordnen Sie die Regelgruppe Ihrer VPC zu – Ordnen Sie diese Ihrer VPC zu, um Ihre DNS-Firewall-Regelgruppe zu verwenden. Wenn Sie mehr als eine Regelgruppe für Ihre VPC verwenden, legen Sie die Priorität jeder Zuordnung so fest, dass die Regelgruppen in der richtigen Reihenfolge verarbeitet werden. Geben Sie der Regelgruppe, die Sie zuerst auswerten möchten, die niedrigste Priorität. Weitere Informationen finden Sie unter Verwalten von Verknüpfungen zwischen Ihrer VPC und der Route-53-Resolver-DNS-Firewall-Regelgruppe.

  • (Optional) Ändern der Firewall-Konfiguration für die VPC – Wenn Route-53-Resolver Abfragen blockieren soll, wenn die DNS-Firewall keine Antwort für sie zurücksendet, ändern Sie in Resolver die DNS-Firewall-Konfiguration der VPC. Weitere Informationen finden Sie unter Konfiguration der DNS-Firewall-VPC.

Verwenden von Route-53-Resolver-DNS-Firewall-Regelgruppen in mehreren Regionen

Die Route 53 Resolver DNS Firewall ist ein regionaler Dienst, sodass Objekte, die Sie in einer AWS Region erstellen, nur in dieser Region verfügbar sind. Wenn Sie dieselbe Regelgruppe in mehr als einer Region verwenden möchten, müssen Sie die Regelgruppe in allen Regionen erstellen.

Das AWS Konto, das eine Regelgruppe erstellt hat, kann sie mit anderen AWS Konten gemeinsam nutzen. Weitere Informationen finden Sie unter Route 53 Resolver DNS-Firewall-Regelgruppen zwischen AWS Konten teilen.