Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr

Mit der Route-53-Resolver-DNS-Firewall können Sie ausgehenden DNS-Datenverkehr für Ihre virtuelle private Cloud (VPCs, Virtual Private Clouds) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen.

Die DNS-Firewall bietet Schutz für ausgehende DNS-Anfragen von Ihrem. VPCs Diese Anforderungen leiten über Resolver für die Auflösung von Domainnamen. Eine primäre Verwendung des DNS-Firewall-Schutzes besteht darin, die DNS-Exfiltration Ihrer Daten zu verhindern. Die DNS-Exfiltration kann auftreten, wenn ein schlechter Akteur eine Anwendungs-Instance in Ihrer VPC gefährdet und dann DNS-Lookup verwendet, um Daten aus der VPC an eine Domain zu senden, die sie steuern. Mit der DNS-Firewall können Sie die Domains überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domains verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domains den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen.

Sie können die DNS-Firewall auch verwenden, um Auflösungsanforderungen an Ressourcen in privaten gehosteten Zonen (gemeinsam oder lokal) einschließlich VPC-Endpunktnamen zu blockieren. Es kann auch Anfragen für öffentliche oder private EC2 Amazon-Instanznamen blockieren.

Die DNS-Firewall ist ein Feature von Route 53 Resolver und erfordert keine zusätzliche Einrichtung des Resolvers.

AWS Firewall Manager unterstützt die DNS-Firewall

Sie können den Firewall Manager verwenden, um Ihre DNS-Firewall-Regelgruppenzuordnungen für Ihre Konten in zentral VPCs zu konfigurieren und zu verwalten AWS Organizations. Firewall Manager fügt automatisch Verknüpfungen hinzu VPCs , die in den Geltungsbereich Ihrer Firewall Manager Manager-DNS-Firewall-Richtlinie fallen. Weitere Informationen finden Sie AWS Firewall Managerim Entwicklerhandbuch AWS WAF AWS Firewall Manager, und im AWS Shield Advanced Entwicklerhandbuch.

Wie funktioniert die DNS-Firewall mit AWS Network Firewall

Die DNS-Firewall und die Network Firewall bieten eine Filterung von Domainnamen, jedoch für verschiedene Arten von Datenverkehr. Zusammen mit DNS-Firewall und Network Firewall können Sie Domain-basierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade konfigurieren.

  • Die DNS-Firewall bietet Filterung für ausgehende DNS-Abfragen, die den Route 53 53-Resolver von Anwendungen in Ihrem. VPCs Sie können die DNS-Firewall auch so konfigurieren, dass benutzerdefinierte Antworten für Abfragen an blockierte Domainnamen gesendet werden.

  • Die Network Firewall bietet Filterung für den Datenverkehr auf Netzwerk- und Anwendungsebene, hat jedoch keine Einsicht in Abfragen, die von Route 53 Resolver durchgeführt werden.

Weitere Informationen finden über Network Firewall im Network-Firewall-Entwicklerhandbuch.