翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DNS Firewall のルール設定
DNS Firewall ルールグループを作成または編集する場合、次の値を指定します。
- 名前
-
ルールグループ内のルールの一意の識別子。
- (オプション) 説明
-
ルールの詳細についての簡単な説明。
- ドメインリスト
-
ルールが調査するドメインのリスト。独自のドメインリストを作成して管理したり、 AWS が管理するドメインリストをサブスクライブできます。詳細については、「Route 53 Resolver DNS Firewall のドメインリスト」を参照してください。
ルールには、ドメインリストまたは DNS Firewall Advanced 保護を含めることができますが、両方を含めることはできません。
- ドメインリダイレクト設定 (ドメインリストのみ)
-
DNS ファイアウォールルールでは、CNAME、DNAME など、DNS リダイレクトチェーン内の最初のドメインのみまたはすべて (デフォルト) のドメインのみを検査するように選択できます。すべてのドメインを検査することを選択した場合、DNS リダイレクトチェーン内の後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。詳細については、「Route 53 Resolver DNS Firewall のコンポーネントと設定」を参照してください。
- クエリタイプ (ドメインリストのみ)
-
ルールが検査する DNS クエリタイプのリスト。有効な値を次に示します。
A: IPv4 アドレスを返します。
AAAA: Ipv6 アドレスを返します。
CAA: ドメインの SSL/TLS 証明書を作成できる CA を制限します。
CNAME: 別のドメイン名を返します。
DS: 委任ゾーンの DNSSEC 署名キーを識別するレコード。
MX: メールサーバーを指定します。
NAPTR: ドメイン名の正規表現ベースの書き換え。
NS: 権威ネームサーバー。
PTR: IP アドレスをドメイン名にマッピングします。
SOA: ゾーンの管理情報の始点レコード。
SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。
SRV: サーバーを識別するアプリケーション固有の値。
TXT: E メール送信者とアプリケーション固有の値を検証します。
DNS タイプ ID を使用して定義するクエリタイプ (例えば、AAAA の場合は 28)。値は
TYPENUMBER
として定義する必要があります。NUMBER
は 1~65334 にすることができます (例えば、TYPE28)。詳細については、「DNS レコードタイプの一覧」を参照してください。 ルールごとに 1 つのクエリタイプを作成できます。
注記
クエリタイプが AAAA に等しいアクション NXDOMAIN でファイアウォールの BLOCK ルールを設定すると、DNS64 が有効になっているときに生成される合成 IPv6 アドレスにはこのアクションは適用されません。
- DNS Firewall Advanced 保護
-
DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。保護は、以下から選択できます。
-
ドメイン生成アルゴリズム (DGAs)
DGAs は、攻撃者がマルウェア攻撃を開始するために多数のドメインを生成するために使用されます。
-
DNS トンネリング
DNS トンネリングは、攻撃者がクライアントにネットワーク接続せずに DNS トンネルを使用してクライアントからデータを盗むために使用されます。
DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、警告するかを選択できます。
詳細については、「Route 53 Resolver DNS Firewall Advanced」を参照してください。
ルールには、DNS Firewall Advanced 保護またはドメインリストを含めることができますが、両方を含めることはできません。
-
- 信頼度しきい値 (DNS Firewall Advanced のみ)
-
DNS Firewall Advanced の信頼しきい値。この値は、DNS Firewall Advanced ルールを作成するときに指定する必要があります。信頼レベルの値は、次のことを意味します。
高 – 誤検出率が低い、最も適切に検証された脅威のみを検出します。
中 – 脅威の検出と誤検出のバランスを提供します。
低 – 脅威の検出率が最も高くなりますが、誤検出も増加します。
詳細については、「DNS Firewall のルール設定」を参照してください。
- アクション
-
DNS Firewall で、ルールのドメインリストの仕様と一致するドメイン名を持つ DNS クエリを処理する方法 詳細については、「DNS Firewall でのルールアクション」を参照してください
- 優先度
-
ルールグループ内のルールの一意の自然数の設定。これにより、処理順序が決定されます。DNS Firewall は、ルールグループのルールに対する DNS クエリを調査します。優先度が最も低い設定で始まり、上がっていきます。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。