Route 53 Resolver DNS 방화벽 시작하기 - Amazon Route 53
Route 53 Resolver DNS 방화벽 월드 가든(walled garden) 예제Route 53 Resolver DNS 방화벽 차단 목록 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 Resolver DNS 방화벽 시작하기

DNS 방화벽 콘솔에는 다음의 DNS 방화벽 시작하기 단계를 안내하는 마법사가 있습니다.

  • 사용하려는 각 규칙 집합에 대한 규칙 그룹을 생성합니다.

  • 각 규칙에 대해 검사할 도메인 목록을 채웁니다. 자체 도메인 목록을 만들고 AWS 관리형 도메인 목록을 사용할 수 있습니다.

  • 규칙 그룹을 이를 사용할 VPC에 연결합니다.

Route 53 Resolver DNS 방화벽 월드 가든(walled garden) 예제

이 자습서에서는 신뢰할 수 있는 선별한 도메인 그룹을 제외한 모든 그룹을 차단하는 규칙 그룹을 만듭니다. 이를 폐쇄형 플랫폼 또는 월드 가든(walled garden) 접근법이라고 합니다.

콘솔 마법사를 사용하여 DNS 방화벽 규칙 그룹을 구성하려면

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔을 엽니다.

    탐색 창에서 DNS 방화벽을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 규칙 그룹 페이지를 엽니다. 계속해서 3단계를 진행합니다.

    - 또는 -

    에 AWS Management Console 로그인하고 여십시오.

    https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창의 DNS 방화벽 아래에서 규칙 그룹을 선택합니다.

  3. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.

  4. 규칙 그룹(Rule groups) 페이지에서 규칙 그룹 추가(Add rule group)를 선택합니다.

  5. 규칙 그룹 이름에 WalledGardenExample을 입력합니다.

    태그 섹션에서 태그의 키-값 쌍을 선택적으로 입력할 수 있습니다. 태그를 사용하면 AWS 리소스를 구성하고 관리할 수 있습니다. 자세한 정보는 Amazon Route 53 리소스 태그 지정을 참조하세요.

  6. 규칙 그룹 추가를 선택합니다.

  7. WalledGarden예제 세부 정보 페이지에서 규칙 탭을 선택한 다음 규칙 추가를 선택합니다.

  8. 규칙 세부 정보(Rule details) 창에서 BlockAll 규칙 이름을 입력합니다.

  9. 도메인 목록(Domain list) 창에서 내 도메인 목록 추가(Add my own domain list)를 선택합니다.

  10. 새 도메인 목록 선택 또는 생성(Choose or create a new domain list)에서 새 도메인 목록 생성(Create new domain list)을 선택합니다.

  11. 도메인 목록 이름을 AllDomains 입력한 다음 한 줄에 도메인 하나 입력 텍스트 상자에 별표:를 입력합니다. *

  12. 도메인 리디렉션 설정의 경우 기본값을 그대로 사용하고 쿼리 유형 (선택 사항) 은 비워 둡니다.

  13. 동작의 경우 차단을 선택한 다음 응답을 그대로 두고 기본 설정인 NODATA로 전송하십시오.

  14. 규칙 추가(Add rule)를 선택합니다. BlockAll규칙은 WalledGarden예제 페이지의 규칙 탭에 표시됩니다.

  15. WalledGarden예제 페이지에서 규칙 추가를 선택하여 규칙 그룹에 두 번째 규칙을 추가합니다.

  16. 규칙 세부 정보 창에 규칙 이름을 입력합니다AllowSelectDomains.

  17. 도메인 목록(Domain list) 창에서 내 도메인 목록 추가(Add my own domain list)(Add my own domain list)를 선택합니다.

  18. 새 도메인 목록 선택 또는 생성(Choose or create a new domain list)에서 새 도메인 목록 생성(Create new domain list)을 선택합니다.

  19. ExampleDomains 도메인 목록 이름을 입력합니다.

  20. 줄에 도메인 하나 입력 텍스트 상자의 첫 번째 줄에 을 example.com 입력하고 두 번째 줄에 를 입력합니다example.org.

    참고

    규칙을 하위 도메인에도 적용하려면 해당 도메인도 목록에 추가해야 합니다. 예를 들어 example.com의 모든 하위 도메인을 추가하려면 *.example.com을 목록에 추가합니다.

  21. 도메인 리디렉션 설정의 경우 기본값을 그대로 사용하고 쿼리 유형 (선택 사항) 은 비워 둡니다.

  22. 동작의 경우 허용을 선택합니다.

  23. 규칙 추가를 선택합니다. 두 규칙 모두 WalledGarden예제 페이지의 규칙 탭에 표시됩니다.

  24. WalledGarden예제 페이지의 규칙 탭에서 우선 순위 열에 나열된 번호를 선택하고 새 숫자를 입력하여 규칙 그룹 내 규칙의 평가 순서를 조정할 수 있습니다. DNS 방화벽은 우선 순위가 가장 낮은 설정부터 규칙을 평가하므로 우선 순위가 가장 낮은 규칙이 첫 번째로 평가됩니다. 이 예제에서는 DNS 방화벽이 먼저 도메인 선택 목록에 대한 DNS 쿼리를 식별하고 허용한 다음 나머지 쿼리를 모두 차단합니다.

    AllowSelect도메인의 우선 순위가 낮도록 규칙 우선 순위를 조정하십시오.

이제 특정 도메인 쿼리만 허용하는 규칙 그룹이 생겼습니다. 이를 사용하려면 필터링 동작을 사용할 VPC에 연결합니다. 자세한 내용은 VPC와 Route 53 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리 섹션을 참조하세요.

Route 53 Resolver DNS 방화벽 차단 목록 예제

이 자습서에서는 악의적이라고 알려진 도메인을 차단하는 규칙 그룹을 생성합니다. 또한 차단 목록에 있는 도메인에 허용되는 DNS 쿼리 유형을 추가할 것입니다. 규칙 그룹은 Route 53 Resolver에서 다른 모든 아웃바운드 DNS 요청을 허용합니다.

콘솔 마법사를 사용하여 DNS 방화벽 차단 목록을 구성하려면

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔을 엽니다.

    탐색 창에서 DNS 방화벽을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 규칙 그룹 페이지를 엽니다. 계속해서 3단계를 진행합니다.

    - 또는 -

    AWS Management Console 로그인하고 https://console.aws.amazon.com/vpc/ 에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창의 DNS 방화벽 아래에서 규칙 그룹을 선택합니다.

  3. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.

  4. 규칙 그룹(Rule groups) 페이지에서 규칙 그룹 추가(Add rule group)를 선택합니다.

  5. 규칙 그룹 이름에 BlockListExample을 입력합니다.

    태그 섹션에서 태그의 키-값 쌍을 선택적으로 입력할 수 있습니다. 태그를 사용하면 AWS 리소스를 구성하고 관리할 수 있습니다. 자세한 정보는 Amazon Route 53 리소스 태그 지정을 참조하세요.

  6. BlockList예제 세부 정보 페이지에서 규칙 탭을 선택한 다음 규칙 추가를 선택합니다.

  7. 규칙 세부 정보(Rule details) 창에서 BlockList 규칙 이름을 입력합니다.

  8. 도메인 목록(Domain list) 창에서 내 도메인 목록 추가(Add my own domain list)(Add my own domain list)를 선택합니다.

  9. 새 도메인 목록 선택 또는 생성(Choose or create a new domain list)에서 새 도메인 목록 생성(Create new domain list)을 선택합니다.

  10. MaliciousDomains 도메인 목록 이름을 입력한 다음 텍스트 상자에 차단할 도메인을 입력합니다. 예를 들어 example.org입니다. 줄마다 도메인 하나를 입력합니다.

    참고

    규칙을 하위 도메인에도 적용하려면 해당 도메인도 목록에 추가해야 합니다. 예를 들어 example.org의 모든 하위 도메인을 추가하려면 *.example.org를 목록에 추가합니다.

  11. 도메인 리디렉션 설정의 경우 기본값을 그대로 사용하고 쿼리 유형 (선택 사항) 은 비워 둡니다.

  12. 작업에 대해 BLOCK을 선택한 다음 보낼 응답을 기본 설정 NODATA로 남겨 둡니다.

  13. 규칙 추가(Add rule)를 선택합니다. 규칙은 BlockList예제 페이지의 규칙 탭에 표시됩니다.

  14. BlockedList예제 페이지의 규칙 탭에서 우선 순위 열에 나열된 번호를 선택하고 새 숫자를 입력하여 규칙 그룹 내 규칙의 평가 순서를 조정할 수 있습니다. DNS 방화벽은 우선 순위가 가장 낮은 설정부터 규칙을 평가하므로 우선 순위가 가장 낮은 규칙이 첫 번째로 평가됩니다.

    규칙 우선 순위를 선택하고 조정하여 사용 중인 다른 규칙보다 먼저 또는 이후에 평가되도록 BlockList하십시오. 대부분의 경우 알려진 악성 도메인은 먼저 차단해야 합니다. 즉, 해당 도메인과 관련된 규칙은 우선 순위가 가장 낮아야 합니다.

  15. BlockList 도메인의 MX 레코드를 허용하는 규칙을 추가하려면 규칙 탭의 BlockedList예제 세부 정보 페이지에서 규칙 추가를 선택합니다.

  16. 규칙 세부 정보(Rule details) 창에서 BlockList-allowMX 규칙 이름을 입력합니다.

  17. 도메인 목록(Domain list) 창에서 내 도메인 목록 추가(Add my own domain list)를 선택합니다.

  18. 새 도메인 선택 또는 생성 목록에서 을 선택합니다MaliciousDomains.

  19. 도메인 리디렉션 설정의 경우 기본값을 그대로 사용합니다.

  20. DNS 쿼리 유형 목록에서 MX: 메일 서버를 지정합니다.

  21. 작업에 대해 ALLOW를 선택합니다.

  22. 규칙 추가를 선택합니다.

  23. BlockedList예제 페이지의 규칙 탭에서 우선 순위 열에 나열된 번호를 선택하고 새 숫자를 입력하여 규칙 그룹 내 규칙의 평가 순서를 조정할 수 있습니다. DNS 방화벽은 우선 순위가 가장 낮은 설정부터 규칙을 평가하므로 우선 순위가 가장 낮은 규칙이 첫 번째로 평가됩니다.

    규칙 우선 순위를 선택하고 조정하여 BlockList-AllowMX가 다른 규칙보다 먼저 평가되거나 이후에 평가되도록 하십시오. MX 쿼리를 허용하려면 BlockList-AllowMX 규칙의 우선 순위가 보다 낮아야 합니다. BlockList

이제 특정 악성 도메인 쿼리는 차단하지만 특정 DNS 쿼리 유형은 허용하는 규칙 그룹이 생겼습니다. 이를 사용하려면 필터링 동작을 사용할 VPC에 연결합니다. 자세한 내용은 VPC와 Route 53 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리 섹션을 참조하세요.