So funktioniert die Route 53 Resolver DNS Firewall - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Route 53 Resolver DNS Firewall

Mit der Route 53 Resolver DNS Firewall können Sie den Zugriff auf Websites kontrollieren und Bedrohungen DNS auf Ebene von DNS Anfragen blockieren, die von Ihnen VPC über den Route 53 Resolver ausgehen. Mit DNS Firewall definieren Sie Regeln für die Filterung von Domainnamen in Regelgruppen, die Sie Ihren eigenen zuordnen. VPCs Sie können Listen mit Domainnamen angeben, die zugelassen oder blockiert werden sollen, und Sie können die Antworten für die DNS Anfragen, die Sie blockieren, anpassen. Sie können die Domänenlisten auch so anpassen, dass bestimmte Abfragetypen, z. B. MX-Records, durchgelassen werden.

DNSDie Firewall filtert nur nach dem Domainnamen. Dieser Name wird nicht in eine IP-Adresse aufgelöst, die blockiert werden soll. Darüber hinaus filtert die DNS Firewall den DNS Datenverkehr, aber sie filtert keine anderen Protokolle auf Anwendungsebene HTTPS SSHTLS, wieFTP,,, usw.

Komponenten und Einstellungen der Route 53 Resolver DNS Firewall

Sie verwalten die DNS Firewall mit den folgenden zentralen Komponenten und Einstellungen.

DNSFirewall-Regelgruppe

Definiert eine benannte, wiederverwendbare Sammlung von DNS Firewallregeln zum Filtern von DNS Abfragen. Sie füllen die Regelgruppe mit den Filterregeln auf und ordnen der Regelgruppe dann eine oder mehrere VPCs zu. Wenn Sie eine Regelgruppe einer zuordnenVPC, aktivieren Sie die DNS Firewallfilterung für. VPC Wenn Resolver dann eine DNS Abfrage für eine empfängtVPC, der eine Regelgruppe zugeordnet ist, leitet Resolver die Abfrage zur Filterung an die DNS Firewall weiter.

Wenn Sie einer einzigen Regelgruppe mehrere Regelgruppen zuordnenVPC, geben Sie deren Verarbeitungsreihenfolge anhand der Prioritätseinstellung in jeder Zuordnung an. DNSDie Firewall verarbeitet Regelgruppen VPC von der Einstellung mit der niedrigsten numerischen Priorität bis aufwärts.

Weitere Informationen finden Sie unter DNSFirewall-Regelgruppen und Regeln.

DNSFirewall-Regel

Definiert eine Filterregel für DNS Abfragen in einer DNS Firewall-Regelgruppe. Jede Regel gibt eine Domänenliste und eine Aktion an, die bei DNS Abfragen ausgeführt werden soll, deren Domänen den Domänenspezifikationen in der Liste entsprechen. Sie können übereinstimmende Abfragen oder Abfragetypen für die Domänen in der Liste zulassen, blockieren oder Warnmeldungen bei entsprechenden Abfragen senden. Sie können beispielsweise einen MX-Abfragetyp für eine oder mehrere bestimmte Domänen blockieren oder zulassen. Sie können auch benutzerdefinierte Antworten für blockierte Abfragen definieren.

Jede Regel in einer Regelgruppe hat eine Prioritätseinstellung, die innerhalb der Regelgruppe eindeutig ist. DNSDie Firewall verarbeitet die Regeln in einer Regelgruppe von der Einstellung mit der niedrigsten numerischen Priorität aufwärts.

DNSFirewallregeln existieren nur im Kontext der Regelgruppe, in der sie definiert sind. Sie können eine Regel unabhängig von ihrer Regelgruppe nicht wiederverwenden oder darauf verweisen.

Weitere Informationen finden Sie unter DNSFirewall-Regelgruppen und Regeln.

Domainliste

Definiert eine benannte, wiederverwendbare Sammlung von Domänenspezifikationen zur Verwendung beim DNS Filtern. Jede Regel in einer Regelgruppe benötigt eine einzige Domainliste. Sie können die Domains angeben, für die Sie den Zugriff zulassen möchten, die Domains, für die Sie den Zugriff verweigern möchten, oder eine Kombination aus beiden. Sie können Ihre eigenen Domainlisten erstellen und Domainlisten verwenden, die für Sie AWS verwaltet werden.

Weitere Informationen finden Sie unter Route 53 Resolver DNS Firewall-Domänenlisten.

Einstellung für die Domainumleitung

Mit der Einstellung für die Domänenumleitung können Sie eine DNS DNS Firewallregel so konfigurieren, dass alle Domänen in der Umleitungskette überprüft werden (Standard), z. B.CNAME, usw.DNAME, oder nur die erste Domäne und die übrigen als vertrauenswürdig eingestuft werden. Wenn Sie sich dafür entscheiden, die gesamte DNS Umleitungskette zu überprüfen, müssen Sie die nachfolgenden Domänen zu einer Domänenliste hinzufügen, auf die ALLOW in der Regel festgelegt ist. Wenn Sie sich dafür entscheiden, die gesamte DNS Umleitungskette zu überprüfen, müssen Sie die nachfolgenden Domänen zu einer Domänenliste hinzufügen und die Aktion festlegen, die die Regel ausführen soll, entweder, ALLOWBLOCK, oder. ALERT

Weitere Informationen finden Sie unter Regeleinstellungen in der DNS Firewall.

Abfragetyp

Mit der Einstellung für den Abfragetyp können Sie eine DNS Firewallregel konfigurieren, um einen bestimmten DNS Abfragetyp zu filtern. Wenn Sie keinen Abfragetyp auswählen, wird die Regel auf alle DNS Abfragetypen angewendet. Beispielsweise möchten Sie möglicherweise alle Abfragetypen für eine bestimmte Domäne blockieren, MX-Einträge jedoch zulassen.

Weitere Informationen finden Sie unter Regeleinstellungen in der DNS Firewall.

Zuordnung zwischen einer DNS Firewall-Regelgruppe und einem VPC

Definiert einen Schutz für die VPC Verwendung einer DNS Firewall-Regelgruppe und aktiviert die DNS Resolver-Firewall-Konfiguration für. VPC

Wenn Sie einer einzigen Regelgruppe mehrere Regelgruppen zuordnenVPC, geben Sie deren Verarbeitungsreihenfolge anhand der Prioritätseinstellung in den Zuordnungen an. DNSDie Firewall verarbeitet Regelgruppen VPC ab der Einstellung mit der niedrigsten numerischen Priorität.

Weitere Informationen finden Sie unter Aktivierung des Route 53 Resolver DNS Firewall-Schutzes für Ihr VPC.

DNSResolver-Firewall-Konfiguration für eine VPC

Gibt an, wie Resolver mit DNS Firewall-Schutzmaßnahmen auf der jeweiligen Ebene umgehen soll. VPC Diese Konfiguration ist immer dann wirksam, wenn Ihnen mindestens eine DNS Firewall-Regelgruppe zugeordnet ist. VPC

Diese Konfiguration legt fest, wie Route 53 Resolver Abfragen verarbeitet, wenn die DNS Firewall sie nicht filtern kann. Wenn Resolver keine Antwort von der DNS Firewall auf eine Anfrage erhält, schlägt das Schließen standardmäßig fehl und blockiert die Abfrage.

Weitere Informationen finden Sie unter DNSVPCFirewall-Konfiguration.

Überwachung von DNS Firewall-Aktionen

Sie können Amazon verwenden CloudWatch , um die Anzahl der DNS Abfragen zu überwachen, die nach DNS Firewall-Regelgruppen gefiltert werden. CloudWatch sammelt und verarbeitet Rohdaten zu lesbaren Metriken, die nahezu in Echtzeit verfügbar sind.

Weitere Informationen finden Sie unter Überwachung von Route 53 Resolver DNS Firewall-Regelgruppen mit Amazon CloudWatch.

Sie können Amazon verwenden EventBridge, einen serverlosen Service, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, um skalierbare, ereignisgesteuerte Anwendungen zu erstellen.

Weitere Informationen finden Sie unter Verwaltung von Route 53 DNS Resolver-Firewallereignissen mit Amazon EventBridge.

So filtert die Route 53 Resolver DNS Firewall Abfragen DNS

Wenn eine DNS Firewall-Regelgruppe mit Ihrem VPC Route 53 Resolver verknüpft ist, wird der folgende Datenverkehr von der Firewall gefiltert:

  • DNSAnfragen, die dort ihren Ursprung haben VPC und VOC DNS durchgehen.

  • DNSAbfragen, die über Resolver-Endpunkte von lokalen Ressourcen an dieselben VPC Ressourcen weitergeleitet werden, deren Resolver mit der DNS Firewall verknüpft ist.

Wenn die DNS Firewall eine DNS Abfrage empfängt, filtert sie die Abfrage anhand der Regelgruppen, Regeln und anderer Einstellungen, die Sie konfiguriert haben, und sendet die Ergebnisse zurück an Resolver:

  • DNSDie Firewall wertet die DNS Abfrage anhand der Regelgruppen aus, die mit der verknüpft sind, VPC bis sie eine Übereinstimmung findet oder alle Regelgruppen aufgebraucht hat. DNSDie Firewall bewertet die Regelgruppen in der Reihenfolge der Priorität, die Sie in der Zuordnung festgelegt haben, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen erhalten Sie unter DNSFirewall-Regelgruppen und Regeln und Aktivierung des Route 53 Resolver DNS Firewall-Schutzes für Ihr VPC.

  • Innerhalb jeder Regelgruppe wertet die DNS Firewall die DNS Abfrage anhand der Domänenliste der einzelnen Regeln aus, bis sie eine Übereinstimmung findet oder alle Regeln erschöpft sind. DNSDie Firewall bewertet die Regeln in der Reihenfolge ihrer Priorität, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen finden Sie unter DNSFirewall-Regelgruppen und Regeln.

  • Wenn die DNS Firewall eine Übereinstimmung mit der Domänenliste einer Regel findet, beendet sie die Abfrageauswertung und antwortet Resolver mit dem Ergebnis. Wenn die Aktion zutrifftalert, sendet die DNS Firewall auch eine Warnung an die konfigurierten Resolver-Protokolle. Weitere Informationen erhalten Sie unter Regelaktionen in der Firewall DNS und Route 53 Resolver DNS Firewall-Domänenlisten.

  • Wenn die DNS Firewall alle Regelgruppen auswertet, ohne eine Übereinstimmung zu finden, beantwortet sie die Abfrage wie gewohnt.

Der Resolver leitet die Abfrage entsprechend der Antwort der Firewall weiter. DNS In dem unwahrscheinlichen Fall, dass die DNS Firewall nicht reagiert, wendet der Resolver den VPC konfigurierten DNS Firewall-Fail-Modus an. Weitere Informationen finden Sie unter DNSVPCFirewall-Konfiguration.

Allgemeine Schritte zur Verwendung der Route 53 Resolver Firewall DNS

Um die Route 53 Resolver DNS Firewall-Filterung in Ihrer Amazon Virtual Private Cloud zu implementierenVPC, führen Sie die folgenden allgemeinen Schritte aus.

  • Definieren Sie Ihren Filteransatz und Ihre Domainlisten – Entscheiden Sie, wie Sie Abfragen filtern möchten, identifizieren Sie die benötigten Domainspezifikationen und definieren Sie die Logik, die Sie zum Auswerten von Abfragen verwenden. Sie können beispielsweise alle Abfragen zulassen, die in einer Liste bekannter fehlerhafter Domains enthalten sind. Oder Sie möchten das Gegenteil tun und alle Domains bis auf eine genehmigte Liste blockieren, was als Walled-Garden-Ansatz bekannt ist. Sie können Ihre eigenen Listen mit genehmigten oder gesperrten Domainspezifikationen erstellen und verwalten und Sie können Domainlisten verwenden, die für Sie AWS verwaltet werden. Informationen zu Domainlisten finden Sie unter. Route 53 Resolver DNS Firewall-Domänenlisten

  • Eine Firewall-Regelgruppe erstellen — Erstellen Sie in DNS Firewall eine Regelgruppe, um DNS Abfragen für Ihre zu filtern. VPC Sie müssen eine Regelgruppe in jeder Region erstellen, in der Sie sie verwenden möchten. Möglicherweise möchten Sie Ihr Filterverhalten auch in mehr als eine Regelgruppe unterteilen, um die Wiederverwendbarkeit in mehreren Filterszenarien für Ihre verschiedenen VPCs Regelgruppen zu gewährleisten. Informationen zu Regelgruppen finden Sie unter DNSFirewall-Regelgruppen und Regeln.

  • Regeln hinzufügen und konfigurieren – Fügen Sie Ihrer Regelgruppe für jede Domainliste und jedes Filterverhalten, das die Regelgruppe bereitstellen soll, eine Regel hinzu. Legen Sie die Prioritätseinstellungen für Ihre Regeln so fest, dass sie innerhalb der Regelgruppe in der richtigen Reihenfolge verarbeitet werden, und geben Sie der Regel, die Sie zuerst auswerten möchten, die niedrigste Priorität. Informationen zu Regeln finden Sie unter DNSFirewall-Regelgruppen und Regeln.

  • Ordnen Sie die Regelgruppe Ihrer zu VPC — Um mit der Verwendung Ihrer DNS Firewall-Regelgruppe zu beginnen, ordnen Sie sie Ihrer VPC zu. Wenn Sie mehr als eine Regelgruppe für Ihre verwendenVPC, legen Sie die Priorität jeder Zuordnung fest, sodass die Regelgruppen in der richtigen Reihenfolge verarbeitet werden, und geben Sie der Regelgruppe, die Sie zuerst auswerten möchten, die niedrigste Priorität. Weitere Informationen finden Sie unter Zuordnungen zwischen Ihrer Regelgruppe VPC und der Route 53 Resolver DNS Firewall-Regelgruppe verwalten.

  • (Optional) Ändern Sie die Firewallkonfiguration für VPC — Wenn Sie möchten, dass Route 53 Resolver Abfragen blockiert, wenn die DNS Firewall keine Antwort für sie zurücksendet, ändern Sie in Resolver die DNS Firewall-Konfiguration VPC von. Weitere Informationen finden Sie unter DNSVPCFirewall-Konfiguration.

Verwendung von Route 53 Resolver DNS Firewall-Regelgruppen in mehreren Regionen

Die Route 53 Resolver DNS Firewall ist ein regionaler Dienst, sodass Objekte, die Sie in einer AWS Region erstellen, nur in dieser Region verfügbar sind. Wenn Sie dieselbe Regelgruppe in mehr als einer Region verwenden möchten, müssen Sie die Regelgruppe in allen Regionen erstellen.

Das AWS Konto, das eine Regelgruppe erstellt hat, kann sie mit anderen AWS Konten teilen. Weitere Informationen finden Sie unter Route 53 Resolver DNS Firewall-Regelgruppen zwischen AWS Konten teilen.