Regelaktionen in der Firewall DNS - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regelaktionen in der Firewall DNS

Wenn die DNS Firewall eine Übereinstimmung zwischen einer DNS Abfrage und einer Domänenspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an.

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben:

  • Allow – Beenden Sie die Prüfung der Abfrage und lassen Sie sie durchlaufen.

  • Alert – Beenden Sie die Prüfung der Abfrage, lassen Sie sie durchlaufen, und protokollieren Sie eine Warnung für die Abfrage in den Route-53-Resolver-Protokollen.

  • Block – Beenden Sie die Prüfung der Abfrage, blockieren Sie sie, um zu ihrem beabsichtigten Ziel zu gelangen, und protokollieren Sie die Blockaktion für die Abfrage in den Route-53-Resolver-Protokollen.

    Antworten Sie mit der konfigurierten Blockantwort wie folgt:

    • NODATA – Reagieren Sie darauf, dass die Abfrage erfolgreich war, aber keine Antwort dafür verfügbar ist.

    • NXDOMAIN – Antworten Sie mit dem Hinweis, dass der Domainname der Abfrage nicht vorhanden ist.

    • OVERRIDE – Geben Sie eine benutzerdefinierte Überschreibung in der Antwort an. Diese Option erfordert die folgenden zusätzlichen Einstellungen:

      • Record value— Der benutzerdefinierte DNS Datensatz, der als Antwort auf die Anfrage zurückgesendet werden soll.

      • Record type— Der Typ des DNS Datensatzes. Dies bestimmt das Format des Datensatzwertes. Dies muss CNAME lauten.

      • Time to live in seconds— Die empfohlene Zeitspanne für den DNS Resolver oder Webbrowser, um den Override-Datensatz zwischenzuspeichern und ihn als Antwort auf diese Abfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.

Weitere Informationen zur Konfiguration und zum Inhalt der Abfrageprotokolle finden Sie unter Abfrageprotokollierung und Werte in DNS-Abfrageprotokollen.

Verwenden Sie Alert um Blockierungsregeln zu testen

Wenn Sie eine Blockierungsregel zum ersten Mal erstellen, können Sie sie testen, indem Sie sie mit der Aktion konfigurieren, die auf eingestellt ist AlertSie können sich dann die Anzahl der Abfragen ansehen, bei denen die Regel eine Warnung ausgibt, um zu sehen, wie viele blockiert würden, wenn Sie die Aktion auf festlegen. Block.