Cómo funciona el DNS firewall Route 53 Resolver

El DNS firewall Route 53 Resolver le permite controlar el acceso a los sitios y bloquear las amenazas a DNS nivel de las DNS consultas que envía a VPC través del Route 53 Resolver. Con DNS Firewall, puede definir las reglas de filtrado de nombres de dominio en los grupos de reglas que asocia a su VPCs empresa. Puede especificar listas de nombres de dominio para permitir o bloquear, y puede personalizar las respuestas de las DNS consultas que bloquea. También puedes ajustar las listas de dominios para permitir el acceso a determinados tipos de consultas, como los registros MX.

DNSEl firewall solo filtra el nombre de dominio. No resuelve ese nombre a una dirección IP que se va a bloquear. Además, el DNS firewall filtra el DNS tráfico, pero no filtra otros protocolos de la capa de aplicación HTTPSSSH, como TLSFTP,,,, etc.

Componentes y configuración del DNS firewall Route 53 Resolver

El DNS firewall se administra con los siguientes componentes y configuraciones centrales.

DNSGrupo de reglas de firewall

Define un conjunto reutilizable y con nombre de reglas de DNS firewall para filtrar DNS consultas. Rellene el grupo de reglas con las reglas de filtrado y, a continuación, asocie el grupo de reglas a una o másVPCs. Al asociar un grupo de reglas a unVPC, se habilita el filtrado del DNS firewall para elVPC. A continuación, cuando Resolver recibe una DNS consulta sobre un VPC grupo de reglas asociado, Resolver pasa la consulta a DNS Firewall para que la filtre.

Si asocia varios grupos de reglas a uno soloVPC, indica su orden de procesamiento mediante la configuración de prioridades de cada asociación. DNSEl firewall procesa los grupos de reglas VPC desde la configuración de prioridad numérica más baja hacia arriba.

Para obtener más información, consulte DNSGrupos de reglas y reglas de firewall.

DNSRegla de firewall

Define una regla de filtrado para DNS las consultas de un grupo de reglas de DNS firewall. Cada regla especifica una lista de dominios y una acción para realizar las DNS consultas cuyos dominios coincidan con las especificaciones de dominio de la lista. Puede permitir, bloquear o enviar alertas sobre consultas o tipos de consulta coincidentes para los dominios de la lista; por ejemplo, puede bloquear o permitir un tipo de consulta MX para uno o varios dominios específicos. También se pueden definir respuestas personalizadas para las consultas bloqueadas.

Cada regla de un grupo de reglas tiene una configuración de prioridad única en dicho grupo. DNSEl firewall procesa las reglas de un grupo de reglas desde la configuración de prioridad numérica más baja hacia arriba.

DNSLas reglas de firewall solo existen en el contexto del grupo de reglas en el que están definidas. No se puede reutilizar una regla ni hacer referencia a ella con independencia de su grupo de reglas.

Para obtener más información, consulte DNSGrupos de reglas y reglas de firewall.

Lista de dominios

Define una colección reutilizable y con nombre de especificaciones de dominio para utilizarla en el DNS filtrado. Cada regla de un grupo de reglas requiere una lista única de dominios. Puede optar por especificar los dominios a los que desea permitir el acceso, a los que desea denegar el acceso o una combinación de ambos. Puede crear sus propias listas de dominios y utilizar listas de dominios que se AWS administren por usted.

Para obtener más información, consulte Listas de dominios de Route 53 Resolver DNS Firewall.

Configuración de redireccionamiento de dominios

La configuración de redireccionamiento de dominios te permite configurar una regla de DNS firewall para inspeccionar todos los dominios de la cadena de DNS redireccionamiento (predeterminado), comoCNAME, etc.DNAME, o solo el primer dominio y confiar en el resto. Si decide inspeccionar toda la cadena de DNS redireccionamiento, debe añadir los dominios siguientes a una lista de dominios establecida ALLOW en la regla. Si decide inspeccionar toda la cadena de DNS redireccionamiento, debe añadir los dominios siguientes a una lista de dominios y establecer la acción que desee que lleve a cabo la regla, ya sea ALLOWBLOCK, o. ALERT

Para obtener más información, consulte Configuración de reglas en DNS Firewall.

Tipo de consulta

La configuración del tipo de consulta le permite configurar una regla de DNS firewall para filtrar un tipo de DNS consulta concreto. Si no selecciona un tipo de consulta, la regla se aplica a todos los tipos de DNS consulta. Por ejemplo, es posible que desee bloquear todos los tipos de consultas de un dominio concreto, pero permitir los registros MX.

Para obtener más información, consulte Configuración de reglas en DNS Firewall.

Asociación entre un grupo de reglas de DNS firewall y un VPC

Define una protección para el VPC uso de un grupo de reglas de DNS firewall y habilita la configuración del Resolver DNS Firewall para elVPC.

Si asocia varios grupos de reglas a uno soloVPC, debe indicar su orden de procesamiento mediante la configuración de prioridades de las asociaciones. DNSEl firewall procesa los grupos de reglas VPC desde la configuración de prioridad numérica más baja hacia arriba.

Para obtener más información, consulte Habilitar las protecciones de DNS firewall Route 53 Resolver para su VPC.

Configuración de Resolver DNS Firewall para un VPC

Especifica cómo Resolver debe gestionar las protecciones del DNS firewall a VPC nivel. Esta configuración se aplica siempre que haya al menos un grupo de reglas de DNS firewall asociado alVPC.

Esta configuración especifica cómo Route 53 Resolver gestiona las consultas cuando el DNS firewall no las filtra. De forma predeterminada, si Resolver no recibe una respuesta del DNS Firewall para una consulta, no se cierra y bloquea la consulta.

Para obtener más información, consulte DNSVPCConfiguración del firewall.

Supervisión de las acciones DNS del firewall

Puede utilizar Amazon CloudWatch para supervisar el número de DNS consultas que filtran los grupos de reglas de DNS Firewall. CloudWatch recopila y procesa datos sin procesar para convertirlos en métricas legibles y prácticamente en tiempo real.

Para obtener más información, consulte Supervisión de los grupos de reglas de Route 53 Resolver DNS Firewall con Amazon CloudWatch.

Puede usar Amazon EventBridge, un servicio sin servidor que usa eventos para conectar los componentes de la aplicación y crear aplicaciones escalables basadas en eventos.

Para obtener más información, consulte Administración de eventos de Route 53 Resolver DNS Firewall mediante Amazon EventBridge.

Cómo filtra Route 53 Resolver DNS Firewall DNS las consultas

Cuando un grupo de reglas de DNS firewall está asociado a su VPC Route 53 Resolver, el firewall filtra el siguiente tráfico:

• DNSconsultas que se originan en élVPC.

• DNSconsultas que pasan por los puntos finales del Resolver desde los recursos locales al mismo VPC que tiene un DNS firewall asociado a su resolutor.

Cuando DNS Firewall recibe una DNS consulta, la filtra mediante los grupos de reglas, las reglas y otros ajustes que haya configurado y envía los resultados a Resolver:

• DNSFirewall evalúa la DNS consulta mediante los grupos de reglas asociados VPC hasta que encuentra una coincidencia o agota todos los grupos de reglas. DNSFirewall evalúa los grupos de reglas en orden de prioridad que haya establecido en la asociación, empezando por la configuración numérica más baja. Para obtener más información, consulte DNSGrupos de reglas y reglas de firewall y Habilitar las protecciones de DNS firewall Route 53 Resolver para su VPC.

• Dentro de cada grupo de reglas, DNS Firewall evalúa la DNS consulta en función de la lista de dominios de cada regla hasta que encuentra una coincidencia o agota todas las reglas. DNSFirewall evalúa las reglas por orden de prioridad, empezando por la configuración numérica más baja. Para obtener más información, consulte DNSGrupos de reglas y reglas de firewall.

• Cuando DNS Firewall encuentra una coincidencia con la lista de dominios de una regla, finaliza la evaluación de la consulta y responde al Resolver con el resultado. Si la acción es asíalert, DNS Firewall también envía una alerta a los registros configurados del Resolver. Para obtener más información, consulte Regule las acciones en Firewall DNS y Listas de dominios de Route 53 Resolver DNS Firewall.

• Si DNS Firewall evalúa todos los grupos de reglas sin encontrar ninguna coincidencia, responde a la consulta con normalidad.

El solucionador enruta la consulta según la respuesta de DNS Firewall. En el improbable caso de que el DNS firewall no responda, el Resolver aplica el modo de error VPC del DNS firewall configurado en ese momento. Para obtener más información, consulte DNSVPCConfiguración del firewall.

Pasos de alto nivel para usar Route 53 Resolver DNS Firewall

Para implementar el filtrado de Route 53 Resolver DNS Firewall en su Amazon Virtual Private CloudVPC, lleve a cabo los siguientes pasos de alto nivel.

• Definir el enfoque de filtrado y las listas de dominios: decida cómo desea filtrar las consultas, identifique las especificaciones de dominio que necesitará y defina la lógica que utilizará para evaluar las consultas. Por ejemplo, puede que quiera permitir todas las consultas excepto las que se encuentran en una lista de dominios incorrectos conocidos. O es posible que desee hacer lo contrario y bloquearlos todos, menos una lista autorizada de dominios; a esto se le llama enfoque de jardín vallado. Puede crear y administrar sus propias listas de especificaciones de dominios aprobados o bloqueados y puede utilizar listas de dominios que se AWS administren por usted. Para obtener información sobre las listas de dominios, consulte. Listas de dominios de Route 53 Resolver DNS Firewall

• Cree un grupo de reglas de firewall: en DNS Firewall, cree un grupo de reglas para filtrar DNS sus consultas. VPC Debe crear un grupo de reglas en cada región en la que desee utilizarlo. También es posible que desee separar su comportamiento de filtrado en más de un grupo de reglas para poder volver a usarlo en varios escenarios de filtrado según sus necesidades. VPCs Para obtener información acerca de los grupos de reglas, consulte DNSGrupos de reglas y reglas de firewall.

• Agregar y configurar las reglas: agregue una regla al grupo de reglas para cada lista de dominios y comportamiento de filtrado que desee que proporcione el grupo de reglas. Establezca la configuración de prioridades de las reglas para que se procesen en el orden correcto en el grupo de reglas, dando la prioridad más baja a la regla que desee evaluar en primer lugar. Para obtener más información acerca de las reglas, consulte DNSGrupos de reglas y reglas de firewall.

• Asocie el grupo de reglas a su VPC: para empezar a usar su grupo de reglas de DNS Firewall, asócielo a suVPC. Si utiliza más de un grupo de reglasVPC, defina la prioridad de cada asociación para que los grupos de reglas se procesen en el orden correcto y dé la prioridad más baja al grupo de reglas que desee evaluar primero. Para obtener más información, consulte Administrar las asociaciones entre su grupo de reglas de Route 53 Resolver DNS Firewall VPC y su grupo de reglas.

• (Opcional) Cambie la configuración del firewall para VPC: si desea que Route 53 Resolver bloquee las consultas cuando el DNS firewall no les devuelve una respuesta, en Resolver, cambie la configuración VPC del DNS firewall. Para obtener más información, consulte DNSVPCConfiguración del firewall.

Uso de grupos de reglas de Route 53 Resolver DNS Firewall en varias regiones

El DNS firewall Route 53 Resolver es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para utilizar el mismo grupo de reglas en más de una región, debe crearlo en cada región.

La AWS cuenta que creó un grupo de reglas puede compartirlo con otras AWS cuentas. Para obtener más información, consulte Compartir grupos de reglas de Route 53 Resolver DNS Firewall entre AWS cuentas.