Route 53 解析器DNS防火墙的工作原理

Route 53 Resolver Fi DNS rewall 允许您控制对站点的访问权限，并阻止DNSVPC通过 Route 53 Resolver 发出的DNS查询。使用 Firewal DNS l，您可以在与您的防火墙关联的规则组中定义域名过滤规则VPCs。您可以指定要允许或阻止的域名列表，也可以自定义您屏蔽的DNS查询的响应。您还可以微调域名列表以允许某些查询类型（例如 MX-Records）通过。

DNS防火墙仅对域名进行过滤。它不会将该名称解析为要阻止的 IP 地址。此外，DNSFirewall 会过滤DNS流量，但不会过滤其他应用层协议，例如HTTPSSSHTLSFTP、、、等。

Route 53 解析器DNS防火墙组件和设置

您可以使用以下中央组件和设置来管理DNS防火墙。

DNS防火墙规则组

定义一个命名的、可重复使用的DNS防火墙规则集合，用于筛选DNS查询。使用过滤规则填充规则组，然后将该规则组与一个或多个VPCs规则组相关联。将规则组与关联时VPC，即为启用DNS防火墙筛选VPC。然后，当 Resolver 收到与之关联的规则组的DNS查询时VPC，Resolver 会将该查询传递给 Fi DNS rewall 进行筛选。

如果将多个规则组与单个规则组相关联VPC，则可以通过每个关联中的优先级设置来指示其处理顺序。DNS防火墙VPC从最低的数字优先级设置开始处理规则组。

有关更多信息，请参阅 DNS防火墙规则组和规则。

DNS防火墙规则

为DNS防火墙规则组中的DNS查询定义过滤规则。每条规则都指定一个域名列表和一个要对域名与列表中的域名规范相匹配的DNS查询执行的操作。您可以允许、阻止或提醒匹配的查询或列表中域的查询类型，例如，您可以屏蔽或允许特定域名的 MX 查询类型。您还可以为阻挡的查询定义自定义响应。

规则组中的每个规则都有一个在规则组中唯一的优先级设置。DNSFirewall 从最低数字优先级设置开始处理规则组中的规则。

DNS防火墙规则仅存在于定义防火墙规则的规则组中。您不能独立于规则组重复使用或引用规则。

有关更多信息，请参阅 DNS防火墙规则组和规则。

域列表

定义一个命名的、可重复使用的域规范集合，用于DNS筛选。规则组中的每个规则都需要单一的域列表。您可以选择指定要允许访问的域、要拒绝访问的域或两者的组合。您可以创建自己的域名列表，也可以使用为您 AWS 管理的域名列表。

有关更多信息，请参阅 Route 53 解析器DNS防火墙域列表。

域名重定向设置

域重定向设置允许您配置DNS防火墙规则，以检查DNS重定向链中的所有域（默认），例如CNAMEDNAME、等，或者只检查第一个域并信任其余域。如果您选择检查整个DNS重定向链，则必须将后续域添加到规则中设置的域列表ALLOW中。如果您选择检查整个DNS重定向链，则必须将后续域添加到域列表中，并设置为您希望规则采取的操作，即ALLOWBLOCK、或ALERT。

有关更多信息，请参阅 DNS防火墙中的规则设置。

查询类型

查询类型设置允许您配置DNS防火墙规则以过滤特定的DNS查询类型。如果您未选择查询类型，则该规则将应用于所有DNS查询类型。例如，您可能想要屏蔽特定域的所有查询类型，但允许 MX 记录。

有关更多信息，请参阅 DNS防火墙中的规则设置。

防火墙规则组和DNS防火墙规则组之间的关联 VPC

为VPC使用DNS防火墙规则组定义保护，并为启用解析器DNS防火墙配置。VPC

如果将多个规则组与单个规则组相关联VPC，则可以通过关联中的优先级设置来指示其处理顺序。DNS防火墙VPC从最低的数字优先级设置开始处理规则组。

有关更多信息，请参阅 为您启用 Route 53 解析器DNS防火墙保护 VPC。

的解析器DNS防火墙配置 VPC

指定解析器应如何处理该VPC级别的DNS防火墙保护。只要有至少一个DNS防火墙规则组与相关联，此配置就会生效VPC。

此配置指定了当DNS防火墙无法过滤查询时 Route 53 Resolver 如何处理查询。默认情况下，如果 Resolver 没有收到来自 Fi DNS rewall 的查询响应，则它将无法关闭并阻止查询。

有关更多信息，请参阅 DNS防火墙VPC配置。

监控DNS防火墙操作

您可以使用 Amazon CloudWatch 监控DNS防火墙规则组筛选的DNS查询数量。CloudWatch 收集原始数据并将其处理为可读的、近乎实时的指标。

有关更多信息，请参阅 使用 Amazon 监控 Route 53 解析器DNS防火墙规则组 CloudWatch。

您可以使用 Amazon EventBridge（一种使用事件将应用程序组件连接在一起的无服务器服务）来构建可扩展的事件驱动应用程序。

有关更多信息，请参阅 使用管理 Route 53 解析器DNS防火墙事件 Amazon EventBridge。

Route 53 解析器DNS防火墙如何过滤查询 DNS

当DNS防火墙规则组与您的 Rou VPC te 53 Resolver 关联时，防火墙会过滤以下流量：

• DNS由此产生的查询VPC。

• DNS通过解析器端点从本地资源传递到与其解析器关联的DNS防火墙的相同VPC资源的查询。

当 Fi DNS rew DNS all 收到查询时，它会使用您配置的规则组、规则和其他设置筛选查询，并将结果发送回 Resolver：

• DNSFirewall 使用与关联的规则组评估DNS查询，VPC直到找到匹配项或用尽所有规则组。DNSFirewall 按照您在关联中设置的优先级顺序评估规则组，从最低的数字设置开始。有关更多信息，请参阅DNS防火墙规则组和规则 和为您启用 Route 53 解析器DNS防火墙保护 VPC。

• 在每个规则组中，Fi DNS rewall 会根据每个规则的域列表评估DNS查询，直到找到匹配的规则或用尽所有规则。DNSFirewall 按优先级顺序评估规则，从最低的数字设置开始。有关更多信息，请参阅 DNS防火墙规则组和规则。

• 当 DNS Firewall 找到与规则的域列表匹配项时，它会终止查询评估并向解析器提供结果。如果操作是alert，Fi DNS rewall 还会向配置的解析器日志发送警报。有关更多信息，请参阅DNS防火墙中的规则操作 和Route 53 解析器DNS防火墙域列表。

• 如果 DNS Firewall 评估所有规则组但未找到匹配项，则它会像往常一样响应查询。

解析器根据DNS防火墙的响应路由查询。万一DNS防火墙无法响应，Resolver 会应用配置VPC的DNS防火墙故障模式。有关更多信息，请参阅 DNS防火墙VPC配置。

使用 Route 53 解析器DNS防火墙的高级步骤

要在您的亚马逊虚拟私有云（Amazon Virtual Private Cloud）中实施 Route 53 Resolver DNS 防火墙筛选VPC，请执行以下高级步骤。

• 定义您的筛选方法和域列表 — 确定要如何筛选查询，确定需要的域规范，并定义用于评估查询的逻辑。例如，您可能希望允许除已知坏域列表中的查询之外的所有查询。或者您可能想要做相反的事情，即阻止所有出批准域列表以外的域，也就是所谓的围墙花园法。您可以创建和管理自己的允许或阻止的域名规范列表，也可以使用为您 AWS 管理的域名列表。有关域列表的信息，请参阅。Route 53 解析器DNS防火墙域列表

• 创建防火墙规则组-在 Fi DNS rewall 中，创建一个规则组来筛选您的DNS查询VPC。您必须在要使用规则组的每个区域中创建规则组。您可能还想将过滤行为分成多个规则组，以便在不同的VPCs过滤场景中重复使用。有关规则组的信息，请参阅DNS防火墙规则组和规则。

• 添加和配置规则 — 为您希望规则组提供的每个域列表和筛选行为添加规则到规则组。设置规则的优先级设置，以便它们在规则组中以正确的顺序进行处理，请为要首先评估的规则赋予最低的优先级。有关规则的信息，请参阅 DNS防火墙规则组和规则。

• 将规则组与您的关联 VPC ——要开始使用您的DNS防火墙规则组，请将其与您的规则组相关联VPC。如果您使用多个规则组VPC，请设置每个关联的优先级，以便按正确的顺序处理规则组，同时将要首先评估的规则组的优先级降至最低。有关更多信息，请参阅 管理您VPC和 Route 53 Resolver DNS 防火墙规则组之间的关联。

• （可选）更改的防火墙配置 VPC — 如果您希望 Route 53 Resolver 在DNS防火墙未能向查询发送回响应时阻止查询，请在解析器中更改VPC的DNS防火墙配置。有关更多信息，请参阅 DNS防火墙VPC配置。

在多个区域中使用 Route 53 解析器DNS防火墙规则组

Route 53 Resolver Fi DNS rewall 是一项区域服务，因此您在一个 AWS 区域中创建的对象仅在该区域可用。要在多个区域中使用同一个规则，您必须在各个区域中创建该规则。

创建规则组的 AWS 账户可以与其他 AWS 账户共享该规则组。有关更多信息，请参阅 在账户之间 AWS 共享 Route 53 解析器DNS防火墙规则组。