Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# DNS-Firewall-Regelgruppen und -Regeln
<a name="resolver-dns-firewall-rule-groups"></a>

In diesem Abschnitt werden die Einstellungen beschrieben, die Sie für Ihre DNS-Firewall-Regelgruppen und -Regeln konfigurieren können, um das Verhalten der DNS-Firewall für Sie zu definieren VPCs. Außerdem wird beschrieben, wie Sie die Einstellungen für Ihre Regelgruppen und Regeln verwalten. 

Wenn Sie Ihre Regelgruppen nach Ihren Wünschen konfiguriert haben, verwenden Sie sie direkt und können sie zwischen Konten und in Ihrer gesamten Organisation in AWS Organizations freigeben und verwalten.
+ Sie können eine Regelgruppe mehreren zuordnen VPCs, um ein einheitliches Verhalten in Ihrer gesamten Organisation zu gewährleisten. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Sie können Regelgruppen für Konten freigeben, um eine konsistente DNS-Abfrageverwaltung in Ihrer gesamten Organisation zu gewährleisten. Weitere Informationen finden Sie unter [Resolver-DNS-Firewall-Regelgruppen zwischen Konten teilen AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Sie können Regelgruppen in Ihrer gesamten Organisation verwenden, AWS Organizations indem Sie sie in AWS Firewall Manager Richtlinien verwalten. Informationen zu Firewall Manager finden Sie [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)im * AWS Shield Advanced Entwicklerhandbuch AWS WAF AWS Firewall Manager, und* unter.

# Regelgruppeneinstellungen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Wenn Sie eine DNS-Firewall-Regelgruppe erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**Name**  
Ein eindeutiger Name, mit dem Sie ganz einfach eine Regelgruppe auf dem Dashboard finden können.

**(Optionale) Beschreibung**  
Eine kurze Beschreibung, die mehr Kontext für die Regelgruppe bietet. 

**Region**  
Die AWS Region, die Sie bei der Erstellung der Regelgruppe ausgewählt haben. Eine Regelgruppe, die Sie in einer Region erstellen, ist nur in dieser Region verfügbar. Wenn Sie dieselbe Regelgruppe in mehr als einer Region verwenden möchten, müssen Sie die Regelgruppe in allen Regionen erstellen.

**Regeln**  
Das Filterverhalten der Regelgruppe ist in den Regeln enthalten. Weitere Informationen finden Sie im folgenden Abschnitt.

**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.  
Dies sind die Tags, mit AWS Fakturierung und Kostenmanagement denen Sie Ihre AWS Rechnung organisieren können. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*.

# Regeleinstellungen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Wenn Sie eine Regel in einer DNS-Firewall-Regelgruppe erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**Name**  
Eine eindeutige ID für die Regel in der Regelgruppe.

**(Optionale) Beschreibung**  
Eine kurze Beschreibung, die weitere Informationen über die Regel enthält. 

**Domainliste**  
Die Liste der Domains, auf die die Regel überprüft. Sie können Ihre eigene Domainliste erstellen und verwalten oder eine Domainliste abonnieren, die AWS für Sie verwaltet. Weitere Informationen finden Sie unter [Domain-Listen von Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md).   
Eine Regel kann entweder eine Domainliste oder einen erweiterten DNS-Firewall-Schutz enthalten, aber nicht beides.

**Einstellung für die Domänenumleitung (nur Domänenlisten)**  
Sie können festlegen, dass die DNS-Firewallregel nur die erste Domäne oder alle (Standard) Domänen in der DNS-Umleitungskette überprüft, z. B. CNAME, DNAME usw. Wenn Sie sich dafür entscheiden, alle Domänen zu überprüfen, müssen Sie die nachfolgenden Domänen in der DNS-Umleitungskette zur Domänenliste hinzufügen und die Aktion festlegen, die die Regel ausführen soll, entweder ALLOW, BLOCK oder ALERT. Weitere Informationen finden Sie unter [Komponenten und Einstellungen der Resolver DNS-Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components). 

**Abfragetyp (nur Domänenlisten)**  
Die Liste der DNS-Abfragetypen, nach denen die Regel sucht. Die folgenden Werte sind gültig:  
+  A: Gibt eine IPv4 Adresse zurück.
+ AAAA: Gibt eine IPv6-Adresse zurück.
+ CAA: Einschränkungen, mit denen SSL/TLS Zertifizierungen für CAs die Domain erstellt werden können.
+ CNAME: Gibt einen anderen Domainnamen zurück.
+ DS: Datensatz, der den DNSSEC-Signaturschlüssel einer delegierten Zone identifiziert.
+ MX: Spezifiziert Mailserver.
+ NAPTR: Regular-expression-based Umschreiben von Domainnamen.
+ NS: Autorisierende Nameserver.
+ PTR: Ordnet eine IP-Adresse einem Domainnamen zu.
+ SOA: Beginn des Autoritätsdatensatzes für die Zone.
+ SPF: Listet die Server auf, die berechtigt sind, E-Mails von einer Domain aus zu versenden.
+ SRV: Anwendungsspezifische Werte, die Server identifizieren.
+ TXT: Überprüft E-Mail-Absender und anwendungsspezifische Werte.
+ Ein Abfragetyp, den Sie mithilfe der DNS-Typ-ID definieren, z. B. 28 für AAAA. Die Werte müssen als TYPE definiert sein* NUMBER*, wobei sie beispielsweise 1-65334 lauten *NUMBER* können. TYPE28 Weitere Informationen finden Sie unter [Liste der DNS-Eintragstypen](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Sie können einen Abfragetyp pro Regel erstellen.
**Anmerkung**  
Wenn Sie eine Firewall-BLOCKregel mit der Aktion NXDOMAIN für den Abfragetyp AAAA einrichten, wird diese Aktion nicht auf synthetische IPv6 Adressen angewendet, die generiert werden, wenn sie DNS64 aktiviert ist. 

**DNS Firewall Erweiterter Schutz**  
Erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können zwischen folgenden Schutzoptionen wählen:  
+ Algorithmen zur Domain-Generierung (DGAs)

  DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.
+ DNS-Tunneling

  DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.
+ Wörterbuch: DGA

  Wörterbücher DGAs werden von Angreifern verwendet, um mithilfe von Wörterbuchwörtern Domains zu generieren, um der Entdeckung in der command-and-control Malware-Kommunikation zu entgehen.
In einer erweiterten DNS-Firewall-Regel können Sie wählen, ob eine Anfrage, die der Bedrohung entspricht, blockiert oder eine Warnung angezeigt werden soll.   
Weitere Informationen finden Sie unter [Resolver, DNS, Firewall, Erweitert](firewall-advanced.md).   
Eine Regel kann entweder einen erweiterten DNS-Firewall-Schutz oder eine Domänenliste enthalten, aber nicht beides.

**Vertrauensschwellenwert (nur DNS Firewall Advanced)**  
Der Vertrauensschwellenwert für DNS Firewall Advanced. Sie müssen diesen Wert angeben, wenn Sie eine Regel für DNS Firewall Advanced erstellen. Die Werte für das Vertrauensniveau bedeuten:  
+ Hoch – Erkennt nur die am besten bestätigten Bedrohungen bei einer niedrigen Rate an falsch-positiven Alarmen.
+ Mittel – Sorgt für ein ausgewogenes Verhältnis zwischen der Erkennung von Bedrohungen und falsch-positiven Alarmen.
+ Niedrig – Bietet die höchste Erkennungsrate für Bedrohungen, erhöht jedoch auch die Zahl der falsch-positiven Fehlalarme.
Weitere Informationen finden Sie unter [Regeleinstellungen in der DNS-Firewall](#resolver-dns-firewall-rule-settings). 

**Action**  
Wie Sie möchten, dass die DNS-Firewall eine DNS-Abfrage verarbeitet, deren Domainname mit den Spezifikationen in der Domainliste der Regel übereinstimmt. Weitere Informationen finden Sie unter [Regelaktionen in der DNS-Firewall](resolver-dns-firewall-rule-actions.md). 

**Priorität**  
Eindeutige positive Ganzzahleinstellung für die Regel innerhalb der Regelgruppe, die die Verarbeitungsreihenfolge bestimmt. DNS-Firewall überprüft DNS-Abfragen anhand der Regeln in einer Regelgruppe beginnend mit der niedrigsten Prioritätseinstellung. Sie können die Priorität einer Regel jederzeit ändern, z. B. um die Reihenfolge der Verarbeitung zu ändern oder Platz für andere Regeln zu schaffen. 

# Regelaktionen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Wenn die DNS-Firewall eine Übereinstimmung zwischen einer DNS-Abfrage und einer Domainspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an. 

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben: 
+ **Allow**— Beenden Sie die Überprüfung der Abfrage und lassen Sie sie durchgehen. Nicht verfügbar für DNS Firewall Advanced.
+ **Alert**— Beenden Sie die Überprüfung der Abfrage, lassen Sie sie durchlaufen und protokollieren Sie eine Warnung für die Abfrage in den Route 53 VPC Resolver-Protokollen. 
+ **Block**— Unterbrechen Sie die Überprüfung der Abfrage, verhindern Sie, dass sie zum vorgesehenen Ziel weitergeleitet wird, und protokollieren Sie die Blockaktion für die Abfrage in den Route 53 VPC Resolver-Protokollen. 

  Antworten Sie mit der konfigurierten Blockantwort wie folgt: 
  + **NODATA**— Antwortet und gibt an, dass die Abfrage erfolgreich war, aber keine Antwort darauf verfügbar ist.
  + **NXDOMAIN**— Antwortet und gibt an, dass der Domainname der Anfrage nicht existiert.
  + **OVERRIDE**— Geben Sie in der Antwort eine benutzerdefinierte Überschreibung an. Für diese Option sind die folgenden zusätzlichen Einstellungen erforderlich: 
    + **Record value**— Der benutzerdefinierte DNS-Eintrag, der als Antwort auf die Anfrage zurückgesendet werden soll. 
    + **Record type**— Der Typ des DNS-Eintrags. Dies bestimmt das Format des Datensatzwertes. Dies muss `CNAME` lauten.
    + **Time to live in seconds**— Die empfohlene Zeitspanne für den DNS-Resolver oder Webbrowser, um den Override-Eintrag zwischenzuspeichern und ihn als Antwort auf diese Anfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.

Weitere Informationen zur Konfiguration und zum Inhalt der Abfrageprotokolle finden Sie unter [Abfrageprotokollierung](resolver-query-logs.md) und [Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md). 

**Verwenden Sie Alert, um die Blockierungsregeln zu testen**  
Wenn Sie eine Blockierungsregel zum ersten Mal erstellen, können Sie sie testen, indem Sie sie mit der auf Alert festgelegten Aktion konfigurieren. Sie können sich dann die Anzahl der Abfragen ansehen, bei denen die Regel eine Warnung ausgibt, um zu sehen, wie viele blockiert würden, wenn Sie die Aktion auf Block festlegen. 

# Regelgruppen und Regeln in der DNS-Firewall verwalten
<a name="resolver-dns-firewall-rule-group-managing"></a>

Folgen Sie den Anweisungen in diesem Abschnitt, um Regelgruppen und Regeln in der Konsole zu verwalten.

Wenn Sie Änderungen an DNS-Firewall-Entitäten wie Regeln und Domainlisten vornehmen, werden die Änderungen überall dort weitergegeben, wo die Entitäten gespeichert und verwendet werden. Ihre Änderungen werden innerhalb von Sekunden angewendet, es kann jedoch zu einer kurzen Inkonsistenzzeit kommen, wenn die Änderungen an einigen Stellen und nicht an anderen Stellen eingetroffen sind. Wenn Sie beispielsweise eine Domain zu einer Domainliste hinzufügen, auf die durch eine Sperrregel verwiesen wird, wird die neue Domain möglicherweise kurz in einem Bereich Ihrer VPC blockiert, während sie in einem anderen Bereich weiterhin zulässig ist. Diese temporäre Inkonsistenz kann auftreten, wenn Sie die Regelgruppe und VPC-Zuordnungen zum ersten Mal konfigurieren und vorhandene Einstellungen ändern. Im Allgemeinen dauern alle Inkonsistenzen dieses Typs nur wenige Sekunden.

# Erstellen einer Regelgruppe und -regeln
<a name="resolver-dns-firewall-rule-group-adding"></a>

Gehen Sie wie in diesem Verfahren beschrieben vor, um eine Regelgruppe zu erstellen und ihr Regeln hinzuzufügen.

**So erstellen Sie eine Regelgruppe und ihre Regeln**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie **Regelgruppe hinzufügen** und befolgen Sie dann die Anweisungen des Assistenten, um Ihre Regelgruppe und Regeleinstellungen anzugeben.

   Informationen zu den Werten für Regelgruppen finden Sie unter [Regelgruppeneinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-group-settings.md).

   Informationen zu den Werten für Regeln finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md).

# Anzeigen und Aktualisieren einer Regelgruppe und Regeln
<a name="resolver-dns-firewall-rule-group-editing"></a>

Gehen Sie wie folgt vor, um die Regelgruppen und die ihnen zugewiesenen Regeln anzuzeigen. Sie können auch die Regelgruppe und die Regeleinstellungen aktualisieren.

**So zeigen Sie eine Regelgruppe an und aktualisieren sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie die Regelgruppe aus, die Sie anzeigen oder bearbeiten möchten, und wählen Sie dann **Details anzeigen** aus. 

1. Auf der Regelgruppe können Sie Einstellungen anzeigen und bearbeiten.

   Informationen zu den Werten für Regelgruppen finden Sie unter [Regelgruppeneinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-group-settings.md).

   Informationen zu den Werten für Regeln finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md).

# Löschen einer Regelgruppe
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Gehen Sie wie folgt vor, um eine Regelgruppe zu löschen.

**Wichtig**  
Wenn Sie eine Regelgruppe löschen, die einer VPC zugeordnet ist, entfernt die DNS-Firewall die Zuordnung und stoppt die Schutzmaßnahmen, die die Regelgruppe für die VPC bereitstellte. 

**DNS-Firewall-Entitäten löschen**  
Wenn Sie eine Entität löschen, die Sie in der DNS-Firewall verwenden können, z. B. eine Domainliste, die möglicherweise in einer Regelgruppe verwendet wird, oder eine Regelgruppe, die einer VPC zugeordnet ist, überprüft die DNS-Firewall, ob die Entität derzeit verwendet wird. Wenn es feststellt, dass es verwendet wird, warnt die DNS-Firewall Sie. DNS Firewall kann fast immer bestimmen, ob eine Entität verwendet wird. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicherstellen müssen, dass die Entität derzeit nicht verwendet, überprüfen Sie sie in Ihren DNS-Firewall-Konfigurationen, bevor Sie sie löschen. Wenn es sich bei der Entität um eine referenzierte Domainliste handelt, stellen Sie sicher, dass keine Regelgruppen sie verwenden. Wenn es sich bei der Entität um eine Regelgruppe handelt, überprüfen Sie, ob sie keiner VPCs Regelgruppe zugeordnet ist.

**So löschen Sie eine Regelgruppe**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie die Regelgruppe aus, die Sie löschen möchten, wählen Sie dann **Löschen** und bestätigen Sie den Löschvorgang.