Verwenden der DNS Firewall zum Filtern von ausgehendem Datenverkehr DNS - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der DNS Firewall zum Filtern von ausgehendem Datenverkehr DNS

Mit der Route 53 Resolver DNS Firewall können Sie ausgehenden DNS Datenverkehr für Ihre Virtual Private Cloud filtern und regulieren ()VPC. Zu diesem Zweck erstellen Sie wiederverwendbare Sammlungen von Filterregeln in DNS Firewall-Regelgruppen, ordnen die Regelgruppen Ihren VPC zu und überwachen dann die Aktivität in DNS Firewall-Protokollen und -Metriken. Basierend auf der Aktivität können Sie das Verhalten der DNS Firewall entsprechend anpassen.

DNSDie Firewall bietet Schutz für ausgehende DNS Anfragen von IhremVPCs. Diese Anforderungen leiten über Resolver für die Auflösung von Domainnamen. Ein primärer Zweck von DNS Firewall-Schutzmaßnahmen besteht darin, die DNS Exfiltration Ihrer Daten zu verhindern. DNSEine Exfiltration kann passieren, wenn ein böswilliger Akteur eine Anwendungsinstanz in Ihrer Datenbank kompromittiert VPC und dann DNS Lookup verwendet, um Daten von dort an eine Domain VPC zu senden, die er kontrolliert. Mit der DNS Firewall können Sie die Domänen überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domains verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domains den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen.

Sie können die DNS Firewall auch verwenden, um Auflösungsanfragen an Ressourcen in privaten Hosting-Zonen (gemeinsam genutzt oder lokal), einschließlich VPC Endpunktnamen, zu blockieren. Es kann auch Anfragen für öffentliche oder private EC2 Amazon-Instanznamen blockieren.

DNSDie Firewall ist eine Funktion von Route 53 Resolver, für deren Verwendung kein zusätzliches Resolver-Setup erforderlich ist.

AWS Firewall Manager unterstützt Firewall DNS

Sie können den Firewall Manager verwenden, um Ihre DNS Firewall-Regelgruppenzuordnungen für Ihre Konten in zentral VPCs zu konfigurieren und zu verwalten AWS Organizations. Firewall Manager fügt automatisch Verknüpfungen hinzuVPCs, die in den Geltungsbereich Ihrer Firewall Manager DNS Manager-Firewall-Richtlinie fallen. Weitere Informationen finden Sie AWS Firewall Managerim Entwicklerhandbuch AWS WAF AWS Firewall Manager, und im AWS Shield Advanced Entwicklerhandbuch.

Wie funktioniert DNS Firewall mit AWS Network Firewall

DNSFirewall und Network Firewall bieten beide eine Filterung von Domainnamen, jedoch für unterschiedliche Arten von Datenverkehr. Wenn Sie DNS Firewall und Network Firewall zusammen verwenden, können Sie die domänenbasierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade konfigurieren.

  • DNSDie Firewall bietet Filterung für ausgehende DNS Anfragen, die den Route 53 Resolver von Anwendungen innerhalb Ihres Systems passieren. VPCs Sie können die DNS Firewall auch so konfigurieren, dass benutzerdefinierte Antworten auf Anfragen an blockierte Domainnamen gesendet werden.

  • Die Network Firewall bietet Filterung für den Datenverkehr auf Netzwerk- und Anwendungsebene, hat jedoch keine Einsicht in Abfragen, die von Route 53 Resolver durchgeführt werden.

Weitere Informationen finden über Network Firewall im Network-Firewall-Entwicklerhandbuch.