Amazon Route 53 Resolver DNS 防火政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Route 53 Resolver DNS 防火政策

您可以使用AWS Firewall ManagerDNS 防火牆政策,用於管理 Amazon Route 53 Resolver DNS 防火牆規則羣組與 Amazon Virtual Private Cloud 之間的關聯VPC在您的組織在AWS Organizations。您可以將集中控制的規則羣組套用至整間組織,或選取您的帳户和 VPC 子集。

DNS 防火牆提供 VPC 的傳出 DNS 流量的篩選和監管。您可以在 DNS 防火牆規則羣組中建立可重複使用的篩選規則集合,然後將規則羣組與 VPC 產生關聯。當您應用 Firewall Manager 策略時,針對策略範圍內的每個帳户和 VPC,Firewall Manager 會使用您在防火牆中指定的關聯優先級設置,在策略中的每個 DNS 防火牆規則組與策略範圍內的每個 VPC 之間創建關聯管理者政策

如需使用 DNS Firewall 的詳細資訊,請參閲Amazon Route 53 Resolver DNS 防火中的Amazon Route 53

以下各節介紹了使用 Firewall Manager DNS 防火牆策略的要求,並介紹了這些策略的工作原理。如需建立政策的步驟,請參建立AWS Firewall ManagerAmazon Route 53 Resolver DNS 防火政策

您必須啟用資源共享

DNS 防火牆策略在組織中的帳户之間共享 DNS 防火牆規則組。要使用此功能,您必須啟用AWS Organizations。如需如何啟用資源共用的詳細資訊,請參Network Firewall 和 DNS 防火牆策略的資源共享

您需要定義 DNS 防火規則羣組

指定新的 DNS 防火牆策略時,定義規則組的定義與直接使用 Amazon Route 53 解析器 DNS 防火牆時所做的相同。您的規則組必須已存在於 Firewall Manager 管理員帳户中,才能將其包含在策略中。如需建立 DNS 防火牆規則羣組的詳細資訊,請參DNS 防火墻規則群組與規則

您可以定義最低優先級和最高優先級的規則組關聯

您通過 Firewall Manager DNS 防火牆策略管理的 DNS 防火牆規則組關聯包含 VPC 的最低優先級關聯和最高優先級關聯。在策略配置中,這些規則組顯示為第一個和最後一個規則組。

DNS 防火牆按以下順序篩選 VPC 的 DNS 流量:

  1. 由您在防火牆管理員 DNS 防火牆政策中定義的第一個規則羣組。有效值介於 1 到 99。

  2. 由單個帳户管理員通過 DNS 防火牆關聯的 DNS 防火牆規則組。

  3. 由您在防火牆管理員 DNS 防火牆政策中定義的最後一個規則羣組。有效值介於 9901 到 10000。

Firewall Manager 如何命名它創建的規則組關聯

當您保存 DNS 防火牆策略時,如果啟用了自動修正,Firewall Manager 會在策略中提供的規則組與策略範圍內的 VPC 之間創建 DNS 防火牆關聯。Firewall Manager 通過連接以下值來命名這些關聯:

  • 固定字符串FMManaged_

  • Firewall Manager 政策 ID。這是AWSFirewall Manager 員政策的資源 ID。

下面顯示了由 Firewall Manager 管理的防火牆的示例名稱:

FMManaged_EXAMPLEDNSFirewallPolicyId

創建策略後,如果 VPC 中的帳户所有者覆蓋了您的防火牆策略設置或規則組關聯,則 Firewall Manager 將該策略標記為不合規,並嘗試提出補救措施。帳户所有者可以將其他 DNS 防火牆規則組關聯到 DNS 防火牆策略範圍內的 VPC。由各個賬户所有者創建的任何關聯必須在您的第一個和最後一個規則組關聯之間具有優先級設置。