DNS Firewall でのルールアクション - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS Firewall でのルールアクション

DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。

作成する各ルールで、次のオプションのいずれかを指定する必要があります:

  • Allow — クエリの調査を停止し、通過を許可します。

  • Alert— クエリの調査を停止し、通過を許可して、Route 53 Resolver ログにクエリのアラートを記録します。

  • Block — クエリの調査を中断し、目的の送信先への送信をブロックして、Route 53 Resolver ログにそのクエリのブロックアクションを記録します。

    次のように、設定されたブロックレスポンスで応答します。

    • NODATA - クエリが成功したことを示す応答がありますが、それに対して利用可能になったという応答はありません。

    • NXDOMAIN— クエリのドメイン名が存在しないことを示す応答。

    • OVERRIDE — レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。

      • Record value — クエリにレスポンスを返送するカスタム DNS レコード。

      • —Record type DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、CNAME である必要があります。

      • —Time to live in seconds DNS Resolver またはウェブブラウザが上書きレコードをキャッシュし、クエリへのレスポンスに使用するまでの推奨時間 (再受信された場合)。デフォルトではこの値はゼロであり、レコードはキャッシュされません。

クエリログの設定と内容の詳細については、「リゾルバーでのクエリのログ記録」および「Resolver クエリログに表示される値」を参照してください。

Alert を使用してブロックルールをテストする

ブロックルールを初めて作成する際は、アクションを Alert に設定して、ブロックルールをテストします。次に、ルールが警告するクエリの数を調べて、アクションを Block に設定した場合にブロックされるクエリの数を確認します。