DNS Firewall のルール設定

DNS Firewall ルールグループでルールを作成または編集するときは、次の値を指定します。

名前

ルールグループ内のルールの一意の識別子。

(オプション) 説明

ルールの詳細についての簡単な説明。

ドメインリスト

ルールが調査するドメインのリスト。独自のドメインリストを作成して管理したり、 AWS が管理するドメインリストをサブスクライブできます。詳細については、「Route 53 Resolver DNS Firewall ドメインリスト」を参照してください。

ドメインリダイレクト設定

DNS Firewall ルールで、最初のドメインのみ、または CNAME、 などのDNSリダイレクトチェーン内のすべてのドメイン (デフォルト) を検査するように選択できますDNAME。すべてのドメインを検査することを選択した場合は、DNSリダイレクトチェーン内の後続のドメインをドメインリストに追加し、ルールが実行するアクション、ALLOW、BLOCKまたは に設定する必要がありますALERT。詳細については、「Route 53 Resolver DNS Firewall のコンポーネントと設定」を参照してください。

クエリタイプ

ルールが検査するDNSクエリタイプのリスト。有効な値は次のとおりです。

• A: IPv4 アドレスを返します。

• AAAA: Ipv6 アドレスを返します。

• CAA: CAsがドメインの SSL/TLS 証明書を作成できる制限。

• CNAME: 別のドメイン名を返します。

• DS: 委任ゾーンDNSSECの署名キーを識別するレコード。

• MX: メールサーバーを指定します。

• NAPTR: ドメイン名の R 書きegular-expression-based 換え。

• NS: 権威ネームサーバー。

• PTR: IP アドレスをドメイン名にマッピングします。

• SOA: ゾーンの権限レコードの開始。

• SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。

• SRV: サーバーを識別するアプリケーション固有の値。

• TXT: E メール送信者とアプリケーション固有の値を検証します。

• DNS タイプ ID を使用して定義するクエリタイプAAAA。例えば、 の場合は 28。値は として定義する必要があります TYPENUMBER。ここで、NUMBER は 1～65334 です。例えば、 ですTYPE28。詳細については、DNS「レコードタイプのリスト」を参照してください。

  ルールごとに 1 つのクエリタイプを作成できます。

  注記

  クエリタイプが NXDOMAINに等しいアクションでファイアウォールBLOCKルールを設定した場合AAAA、このアクションは、 DNS64が有効になっている場合に生成される合成IPv6アドレスには適用されません。

アクション

ドメイン名がルールのドメインリストの仕様と一致するDNSクエリを DNS Firewall で処理する方法。詳細については、「DNS Firewall のルールアクション」を参照してください。

優先度

ルールグループ内のルールの一意の自然数の設定。これにより、処理順序が決定されます。DNS Firewall は、優先順位の数値が最も低い設定から順に、ルールグループのルールに対してDNSクエリを検査します。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。