本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
DNS Firewall 中的规则操作
当 DNS Firewall 在规则中找到 DNS 查询与域规范之间的匹配时,它会将规则中指定的操作应用于查询。
您需要在创建的每条规则中指定下列选项之一:
-
Allow — 停止检查查询并允许查询通过。
-
Alert — 停止检查查询,允许查询通过,并在 Route 53 Resolver 日志中记录查询的提示。
-
Block — 停止检查查询,阻止查询前往其预定目标,并在 Route 53 Resolver 日志中记录查询的阻止操作。
回复已配置的阻止响应,具体如下:
-
NODATA — 表示查询成功但不能提供响应的回复。
-
NXDOMAIN — 表示查询的域名不存在的回复。
-
OVERRIDE — 在响应中提供自定义覆盖。此选项需要以下额外设置:
-
Record value — 为响应查询而发送回的自定义 DNS 记录。
-
Record type — DNS 记录的类型。这决定了记录值的格式。必须是
CNAME。 -
Time to live in seconds — DNS 解析程序或 Web 浏览器缓存覆盖记录并在响应此查询时使用它(如果再次收到该记录)的建议时长。预设情况下,此值为零,并且记录不会被缓存。
-
-
有关查询日志配置和内容的更多信息,请参阅 Resolver 查询日志记录 和 显示在 Resolver 查询日志中的值。
使用 Alert 测试阻止规则
首次创建阻止规则时,可以通过将操作设置为 Alert 以进行测试。然后,您可以查看规则提示的查询数,以查看如果将操作设置为 Block,将会阻止多少查询。
