Paramètres des règles dans DNS Firewall - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres des règles dans DNS Firewall

Lorsque vous créez ou modifiez une règle dans un groupe de règles de DNS pare-feu, vous spécifiez les valeurs suivantes :

Nom

Un identifiant unique pour la règle dans le groupe de règles.

(Facultatif) Description

Une brève description qui fournit plus d'informations sur la règle.

Domain list (Liste des domaines)

La liste des domaines que la règle inspecte. Vous pouvez créer et gérer vos propres listes de domaines ou vous abonner à une liste de domaines qu' AWS gère pour vous. Pour de plus amples informations, veuillez consulter Listes de domaines Route 53 Resolver DNS Firewall.

Une règle peut contenir une liste de domaines ou une protection DNS Firewall Advanced, mais pas les deux.

Paramètre de redirection de domaines (listes de domaines uniquement)

Vous pouvez choisir que la règle du DNS pare-feu inspecte uniquement le premier domaine ou tous les domaines (par défaut) de la chaîne de DNS redirection, tels que CNAMEDNAME,, etc. Si vous choisissez d'inspecter tous les domaines, vous devez ajouter les domaines suivants de la chaîne de DNS redirection à la liste des domaines et définir l'action que vous souhaitez que la règle exécuteALLOW, soitBLOCK, soitALERT. Pour de plus amples informations, veuillez consulter Composants et paramètres du DNS pare-feu Route 53 Resolver.

Type de requête (listes de domaines uniquement)

Liste des types de DNS requêtes inspectés par la règle. Les valeurs valides sont les suivantes :

  • R : Renvoie une IPv4 adresse.

  • AAAA: Renvoie une adresse IPv6.

  • CAA: Restrictions CAs qui peuvent créer SSL des TLS certifications pour le domaine.

  • CNAME: renvoie un autre nom de domaine.

  • DS : enregistrement identifiant la clé de DNSSEC signature d'une zone déléguée.

  • MX : Spécifie les serveurs de messagerie.

  • NAPTR: Regular-expression-based réécriture de noms de domaine.

  • NS : serveurs de noms faisant autorité.

  • PTR: associe une adresse IP à un nom de domaine.

  • SOA: Début de l'enregistrement d'autorité pour la zone.

  • SPF: répertorie les serveurs autorisés à envoyer des e-mails depuis un domaine.

  • SRV: valeurs spécifiques à l'application qui identifient les serveurs.

  • TXT: vérifie les expéditeurs d'e-mails et les valeurs spécifiques à l'application.

  • Type de requête que vous définissez à l'aide de l'ID de DNS type, par exemple 28 pourAAAA. Les valeurs doivent être définies comme suit TYPENUMBER, où elles NUMBER peuvent être comprises entre 1 et 65334, par exemple. TYPE28 Pour plus d'informations, consultez la section Liste des types d'DNSenregistrements.

    Vous pouvez créer un type de requête par règle.

    Note

    Si vous configurez une BLOCK règle de pare-feu avec une action NXDOMAIN sur le type de requête égaleAAAA, cette action ne sera pas appliquée aux IPv6 adresses synthétiques générées lorsqu'elle DNS64 est activée.

DNSProtection avancée par pare-feu

Détecte les DNS requêtes suspectes en fonction des signatures de menaces connues contenues dans DNS les requêtes. Vous pouvez choisir une protection parmi :

  • Algorithmes de génération de domaines (DGAs)

    DGAssont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.

  • DNScreusement de tunnels

    DNSle tunneling est utilisé par les attaquants pour exfiltrer les données du client en utilisant le DNS tunnel sans établir de connexion réseau avec le client.

Dans une règle DNS Firewall Advanced, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace.

Pour de plus amples informations, veuillez consulter Route 53 Resolver DNS Firewall Advanced.

Une règle peut contenir une protection DNS Firewall Advanced ou une liste de domaines, mais pas les deux.

Seuil de confiance (DNSFirewall Advanced uniquement)

Le seuil de confiance pour DNS Firewall Advanced. Vous devez fournir cette valeur lorsque vous créez une règle DNS Firewall Advanced. Les valeurs du niveau de confiance signifient :

  • Élevé : détecte uniquement les menaces les mieux corroborées avec un faible taux de faux positifs.

  • Moyen : fournit un équilibre entre la détection des menaces et celle des faux positifs.

  • Faible : fournit le taux de détection des menaces le plus élevé, mais augmente également le nombre de faux positifs.

Pour de plus amples informations, veuillez consulter Paramètres des règles dans DNS Firewall.

Action

Comment souhaitez-vous que DNS Firewall gère une DNS requête dont le nom de domaine correspond aux spécifications de la liste des domaines de la règle. Pour de plus amples informations, veuillez consulter Actions relatives aux règles dans DNS Firewall.

Priorité

Paramètre entier positif unique pour la règle au sein du groupe de règles qui détermine l'ordre de traitement. DNS Firewall inspecte les DNS requêtes par rapport aux règles d'un groupe de règles, en commençant par le paramètre de priorité numérique le plus bas et en augmentant. Vous pouvez modifier la priorité d'une règle à tout moment, par exemple pour modifier l'ordre de traitement ou créer de l'espace pour d'autres règles.