Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Paramètres de règles dans le pare-feu DNS

PDF
RSS
Mode de mise au point
Paramètres de règles dans le pare-feu DNS - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lorsque vous créez ou modifiez une règle dans un groupe de règles de pare-feu DNS, spécifiez les valeurs suivantes :

Nom

Un identifiant unique pour la règle dans le groupe de règles.

(Facultatif) Description

Une brève description qui fournit plus d'informations sur la règle.

Domain list (Liste des domaines)

La liste des domaines que la règle inspecte. Vous pouvez créer et gérer vos propres listes de domaines ou vous abonner à une liste de domaines qu' AWS gère pour vous. Pour de plus amples informations, veuillez consulter Listes de domaines Route 53 Resolver DNS Firewall.

Une règle peut contenir une liste de domaines ou une protection avancée par pare-feu DNS, mais pas les deux.

Paramètre de redirection de domaines (listes de domaines uniquement)

Vous pouvez choisir que la règle du pare-feu DNS n'inspecte que le premier domaine ou tous les domaines (par défaut) de la chaîne de redirection DNS, tels que CNAME, DNAME, etc. Si vous choisissez d'inspecter tous les domaines, vous devez ajouter les domaines suivants de la chaîne de redirection DNS à la liste des domaines et définir l'action que vous souhaitez que la règle exécute, soit ALLOW, BLOCK ou ALERT. Pour de plus amples informations, veuillez consulter Composants et paramètres de Route 53 Resolver DNS Firewall.

Type de requête (listes de domaines uniquement)

Liste des types de requêtes DNS inspectés par la règle. Les valeurs valides sont les suivantes :

  • R : Renvoie une IPv4 adresse.

  • AAAA : renvoie une adresse IPv6.

  • CAA : restrictions CAs permettant de créer des certifications SSL/TLS pour le domaine.

  • CNAME : renvoie un autre nom de domaine.

  • DS : enregistrement identifiant la clé de signature DNSSEC d'une zone déléguée.

  • MX : Spécifie les serveurs de messagerie.

  • NAPTR : Regular-expression-based réécriture de noms de domaine.

  • NS : serveurs de noms faisant autorité.

  • PTR : associe une adresse IP à un nom de domaine.

  • SOA : Début de l'enregistrement d'autorité pour la zone.

  • SPF : répertorie les serveurs autorisés à envoyer des e-mails depuis un domaine.

  • SRV : valeurs spécifiques à l'application qui identifient les serveurs.

  • TXT : vérifie les expéditeurs d'e-mails et les valeurs spécifiques à l'application.

  • Type de requête que vous définissez à l'aide de l'ID de type DNS, par exemple 28 pour AAAA. Les valeurs doivent être définies comme TYPENUMBER, où elles NUMBER peuvent être comprises entre 1 et 65334, par exemple. TYPE28 Pour plus d'informations, consultez la section Liste des types d'enregistrements DNS.

    Vous pouvez créer un type de requête par règle.

    Note

    Si vous configurez une règle BLOCK de pare-feu dont l'action NXDOMAIN sur le type de requête est égale à AAAA, cette action ne sera pas appliquée aux IPv6 adresses synthétiques générées lorsqu'elle DNS64 est activée.

Protection avancée du pare-feu DNS

Détecte les requêtes DNS suspectes en fonction des signatures de menaces connues dans les requêtes DNS. Vous pouvez choisir une protection parmi :

  • Algorithmes de génération de domaines (DGAs)

    DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.

  • Tunneling DNS

    Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.

Dans une règle avancée de pare-feu DNS, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace.

Pour de plus amples informations, veuillez consulter Route 53 Resolver DNS Firewall Advanced.

Une règle peut contenir une protection avancée du pare-feu DNS ou une liste de domaines, mais pas les deux.

Seuil de confiance (DNS Firewall Advanced uniquement)

Le seuil de confiance pour DNS Firewall Advanced. Vous devez fournir cette valeur lorsque vous créez une règle avancée de pare-feu DNS. Les valeurs du niveau de confiance signifient :

  • Élevé : détecte uniquement les menaces les mieux corroborées avec un faible taux de faux positifs.

  • Moyen : fournit un équilibre entre la détection des menaces et celle des faux positifs.

  • Faible : fournit le taux de détection des menaces le plus élevé, mais augmente également le nombre de faux positifs.

Pour de plus amples informations, veuillez consulter Paramètres de règles dans le pare-feu DNS.

Action

La manière dont le pare-feu DNS doit gérer une requête DNS dont le nom de domaine correspond aux spécifications de la liste de domaines de la règle. Pour de plus amples informations, veuillez consulter Actions de règle dans le pare-feu DNS.

Priorité

Paramètre d'entier positif unique pour la règle au sein du groupe de règles qui détermine l'ordre de traitement. Le pare-feu DNS inspecte les requêtes DNS par rapport aux règles d'un groupe de règles en commençant par le paramètre de priorité numérique le plus bas. Vous pouvez modifier la priorité d'une règle à tout moment, par exemple pour modifier l'ordre de traitement ou créer de l'espace pour d'autres règles.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.