Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konsol DNS Firewall menyertakan wizard yang memandu Anda melalui langkah-langkah berikut untuk memulai DNS Firewall:
-
Buat grup aturan untuk setiap rangkaian aturan yang ingin Anda gunakan.
-
Untuk setiap aturan, isi daftar domain yang ingin Anda periksa. Anda dapat membuat daftar domain Anda sendiri dan Anda dapat menggunakan daftar domain AWS terkelola.
-
Kaitkan grup aturan Anda dengan VPCs tempat Anda ingin menggunakannya.
Contoh walled garden Route 53 Resolver DNS Firewall
Dalam tutorial ini, Anda akan membuat grup aturan yang memblokir semua kecuali grup domain tertentu yang Anda percayai. Ini disebut platform tertutup, atau pendekatan walled garden.
Untuk mengonfigurasi grup aturan DNS Firewall menggunakan wizard konsol
-
Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/
. Pilih DNS Firewall di panel navigasi untuk membuka halaman grup Aturan Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.
- ATAU -
Masuk ke AWS Management Console dan buka
konsol VPC Amazon di bawah. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, di bawah DNS Firewall, pilih Grup aturan.
-
Pada bilah navigasi, pilih Wilayah untuk grup aturan.
-
Di Rule groups (Grup aturan), pilih Add rule group (Tambahkan grup aturan).
-
Untuk nama grup aturan, masukkan
WalledGardenExample
.Di bagian Tag, Anda dapat secara opsional memasukkan pasangan kunci-nilai untuk tag. Tanda membantu Anda mengatur dan mengelola sumber daya AWS . Untuk informasi selengkapnya, lihat Memberi tanda pada sumber daya Amazon Route 53.
-
Pilih Tambahkan grup aturan.
-
Pada halaman WalledGardenExampledetail, pilih tab Aturan, lalu Tambahkan aturan.
-
Pada panel Detail aturan, masukkan nama aturan
BlockAll
. -
Di panel Domain list (Daftar domain), pilih Add my own domain list (Tambah daftar domain saya sendiri).
-
Di bagian Choose or create a new domain list (Pilih atau buat daftar domain baru), pilih Create new domain list (Buat daftar domain baru).
-
Masukkan nama daftar domain
AllDomains
, lalu di kotak teks Masukkan satu domain per baris, masukkan tanda bintang:*
. Untuk pengaturan pengalihan Domain menerima default, dan biarkan jenis Query - opsional kosong.
-
Untuk Tindakan, pilih BLOCK dan kemudian biarkan respons untuk dikirim pada pengaturan default NODATA.
-
Pilih Add rule (Tambahkan aturan). Aturan Anda BlockAllditampilkan di tab Aturan di WalledGardenExamplehalaman.
-
Pada WalledGardenExamplehalaman, pilih Tambahkan aturan untuk menambahkan aturan kedua ke grup aturan Anda.
-
Di panel Rincian aturan, masukkan nama
AllowSelectDomains
aturan. -
Di panel Daftar domain, pilih Tambah daftar domain saya sendiri.
-
Di bagian Choose or create a new domain list (Pilih atau buat daftar domain baru), pilih Create new domain list (Buat daftar domain baru).
-
Masukkan nama daftar domain
ExampleDomains
. -
Di kotak teks Masukkan satu domain per baris, pada baris pertama, masukkan
example.com
dan pada baris kedua, masukkanexample.org
.catatan
Jika Anda ingin aturan berlaku juga untuk subdomain, Anda juga perlu menambahkan domain tersebut ke daftar. Misalnya, untuk menambahkan semua subdomain example.com, tambahkan
*.example.com
ke daftar. Untuk pengaturan pengalihan Domain menerima default, dan biarkan jenis Query - opsional kosong.
-
Untuk Action, pilih ALLOW.
-
Pilih Add rule (Tambahkan aturan). Aturan Anda berdua ditampilkan di tab Aturan di WalledGardenExamplehalaman.
-
Di tab Aturan pada WalledGardenExamplehalaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di kolom Prioritas dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan yang dimulai dengan pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi. Untuk contoh ini, kami ingin DNS Firewall terlebih dahulu mengidentifikasi dan mengizinkan kueri DNS untuk daftar domain yang dipilih, lalu memblokir kueri yang tersisa.
Sesuaikan prioritas aturan sehingga AllowSelectDomainsmemiliki prioritas yang lebih rendah.
Anda sekarang memiliki grup aturan yang hanya mengizinkan kueri domain tertentu. Untuk mulai menggunakannya, Anda mengaitkannya dengan di VPCs mana Anda ingin menggunakan perilaku pemfilteran. Untuk informasi selengkapnya, lihat Mengelola asosiasi antara grup aturan VPC dan Route 53 Resolver DNS Firewall.
Contoh daftar blokir Route 53 Resolver DNS Firewall
Dalam tutorial ini, Anda akan membuat grup aturan yang memblokir domain yang Anda tahu berbahaya. Anda juga akan menambahkan jenis kueri DNS yang diizinkan untuk domain dalam daftar yang diblokir. Grup aturan mengizinkan semua permintaan DNS outbound ainnya melalui Route 53 Resolver.
Untuk mengonfigurasi daftar blok DNS Firewall dengan menggunakan wizard konsol
-
Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/
. Pilih DNS Firewall di panel navigasi untuk membuka halaman grup Aturan Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.
- ATAU -
Masuk ke AWS Management Console dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, di bawah DNS Firewall, pilih Grup aturan.
-
Pada bilah navigasi, pilih Wilayah untuk grup aturan.
-
Di Rule groups (Grup aturan), pilih Add rule group (Tambahkan grup aturan).
-
Untuk nama grup aturan, masukkan
BlockListExample
.Di bagian Tag, Anda dapat secara opsional memasukkan pasangan kunci-nilai untuk tag. Tanda membantu Anda mengatur dan mengelola sumber daya AWS . Untuk informasi selengkapnya, lihat Memberi tanda pada sumber daya Amazon Route 53.
-
Pada halaman BlockListExampledetail, pilih tab Aturan, lalu Tambahkan aturan.
-
Pada panel Detail aturan, masukkan nama aturan
BlockList
. -
Di panel Daftar domain, pilih Tambah daftar domain saya sendiri.
-
Di bagian Choose or create a new domain list (Pilih atau buat daftar domain baru), pilih Create new domain list (Buat daftar domain baru).
-
Masukkan nama daftar domain
MaliciousDomains
, lalu di kotak teks, masukkan domain yang ingin Anda blokir. Misalnya,example.org
. Masukkan satu domain per baris.catatan
Jika Anda ingin aturan berlaku juga untuk subdomain, Anda juga harus menambahkan domain tersebut ke daftar. Misalnya, untuk menambahkan semua subdomain example.org, tambahkan
*.example.org
ke daftar. Untuk pengaturan pengalihan Domain menerima default, dan biarkan jenis Query - opsional kosong.
-
Untuk tindakan, pilih BLOCK dan kemudian tinggalkan respons untuk dikirim pada pengaturan default NODATA.
-
Pilih Add rule (Tambahkan aturan). Aturan Anda ditampilkan di tab Aturan di BlockListExamplehalaman
-
di tab Aturan pada BlockedListExamplehalaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di kolom Prioritas dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan yang dimulai dengan pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi.
Pilih dan sesuaikan prioritas aturan sehingga BlockListdievaluasi baik sebelum atau sesudah aturan lain yang mungkin Anda miliki. Sebagian besar waktu, domain berbahaya yang diketahui harus diblokir terlebih dahulu. Artinya, aturan yang terkait dengannya harus memiliki nomor prioritas terendah.
Untuk menambahkan aturan yang memungkinkan data MX untuk BlockList domain, pada halaman BlockedListExampledetail di tab Aturan, pilih Tambahkan aturan.
-
Pada panel Detail aturan, masukkan nama aturan
BlockList-allowMX
. -
Di panel Daftar domain, pilih Tambah daftar domain saya sendiri.
-
Di bawah Pilih atau buat daftar domain baru, pilih
MaliciousDomains
. Untuk pengaturan pengalihan Domain, terima default.
-
Dalam daftar jenis kueri DNS, pilih MX: Menentukan server email.
-
Untuk tindakan, pilih ALLOW (IZINKAN).
-
Pilih Add rule (Tambahkan aturan).
-
di tab Aturan pada BlockedListExamplehalaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di kolom Prioritas dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan yang dimulai dengan pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi.
Pilih dan sesuaikan prioritas aturan sehingga BlockList-AllowMX dievaluasi baik sebelum atau sesudah aturan lain yang mungkin Anda miliki. Karena Anda ingin mengizinkan kueri MX, pastikan bahwa aturan BlockList-AllowMX memiliki prioritas yang lebih rendah daripada. BlockList
Anda sekarang memiliki grup aturan yang memblokir kueri domain berbahaya tertentu, tetapi memungkinkan jenis kueri DNS tertentu. Untuk mulai menggunakannya, Anda mengaitkannya dengan di VPCs mana Anda ingin menggunakan perilaku pemfilteran. Untuk informasi selengkapnya, lihat Mengelola asosiasi antara grup aturan VPC dan Route 53 Resolver DNS Firewall.