使用DNS防火墙过滤出站DNS流量

使用 Route 53 Resolver Fi DNS rewall，您可以筛选和调节虚拟私有云的出站DNS流量（VPC）。为此，您可以在DNS防火墙规则组中创建可重复使用的过滤规则集合，将这些规则组与您的规则组相关联VPC，然后监控DNS防火墙日志和指标中的活动。根据活动，您可以相应地调整DNS防火墙的行为。

DNS防火墙为来自您的出站DNS请求提供保护VPCs。这些请求通过 Resolver 路由以进行域名解析。DNS防火墙保护的主要用途是帮助防止数据DNS泄露。DNS当不良行为者破坏你的应用程序实例，VPC然后使用DNS查找将数据从中发送到他们控制的域时，就会发生泄露。VPC借DNS助 Firewall，您可以监控和控制应用程序可以查询的域。您可以拒绝对已知不良域的访问，并允许所有其它查询通过。或者，您可以拒绝对除明确信任的域之外的所有域的访问。

您还可以使用 Fi DNS rewall 阻止对私有托管区域（共享或本地）中资源（包括VPC端点名称）的解析请求。它还可以阻止对公共或私有 Amazon EC2 实例名称的请求。

DNS防火墙是 Route 53 Resolver 的一项功能，不需要任何额外的解析器设置即可使用。

AWS Firewall Manager 支持DNS防火墙

您可以使用 Firewall Manager 集中配置和管理中VPCs各个账户的DNS防火墙规则组关联 AWS Organizations。Firewall Manager 会自动添加VPCs属于防火墙管理器防火DNS墙策略范围的关联。有关更多信息，请参阅AWS WAF AWS Firewall Manager、和 AWS Shield Advanced 开发者指南AWS Firewall Manager中的。

DNS防火墙的工作原理 AWS Network Firewall

DNSFirewall 和 Network Firewall 都提供域名过滤功能，但针对的流量类型不同。结合使用 DNS Firewall 和 Network Firewall，您可以为通过两个不同网络路径的应用层流量配置基于域的过滤。

• DNSFirewall 可对来自您VPCs内部应用程序通过 Route 53 解析器的出站DNS查询进行过滤。您也可以将 Fi DNS rewall 配置为向被屏蔽的域名发送自定义查询响应。

• Network Firewall 为网络和应用层流量提供筛选，但无法查看 Route 53 Resolver 所做的查询。

有关 Network Firewall 的更多信息，请参阅 Network Firewall 开发人员指南。