Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr
<a name="resolver-dns-firewall"></a>

Mit Resolver DNS Firewall können Sie ausgehenden DNS-Verkehr für Ihre Virtual Private Cloud (VPC) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen. 

Die DNS-Firewall bietet Schutz für ausgehende DNS-Anfragen von Ihrem. VPCs Diese Anfragen werden zur Auflösung von Domainnamen über VPC Resolver weitergeleitet. Eine primäre Verwendung des DNS-Firewall-Schutzes besteht darin, die DNS-Exfiltration Ihrer Daten zu verhindern. Die DNS-Exfiltration kann auftreten, wenn ein schlechter Akteur eine Anwendungs-Instance in Ihrer VPC gefährdet und dann DNS-Lookup verwendet, um Daten aus der VPC an eine Domain zu senden, die sie steuern. Mit der DNS-Firewall können Sie die Domains überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domains verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domains den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen. 

Sie können die DNS-Firewall auch verwenden, um Auflösungsanforderungen an Ressourcen in privaten gehosteten Zonen (gemeinsam oder lokal) einschließlich VPC-Endpunktnamen zu blockieren. Es kann auch Anfragen für öffentliche oder private Amazon-EC2-Instance-Namen blockieren.

Die DNS-Firewall ist eine Funktion von Route 53 VPC Resolver, für deren Verwendung kein zusätzliches VPC-Resolver-Setup erforderlich ist. 

**AWS Firewall Manager unterstützt die DNS-Firewall**  
Sie können den Firewall Manager verwenden, um Ihre DNS-Firewall-Regelgruppenzuordnungen für Ihre Konten in zentral VPCs zu konfigurieren und zu verwalten AWS Organizations. Firewall Manager fügt automatisch Verknüpfungen hinzu VPCs , die in den Geltungsbereich Ihrer Firewall Manager Manager-DNS-Firewall-Richtlinie fallen. Weitere Informationen finden Sie [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)im Entwicklerhandbuch *AWS WAF AWS Firewall Manager, und im AWS Shield Advanced Entwicklerhandbuch*.

**Wie funktioniert die DNS-Firewall mit AWS Network Firewall**  
Die DNS-Firewall und die Network Firewall bieten eine Filterung von Domainnamen, jedoch für verschiedene Arten von Datenverkehr. Zusammen mit DNS-Firewall und Network Firewall können Sie Domain-basierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade konfigurieren. 
+ Die DNS-Firewall bietet Filterung für ausgehende DNS-Abfragen, die den Route 53 VPC Resolver von Anwendungen in Ihrem. VPCs Sie können die DNS-Firewall auch so konfigurieren, dass benutzerdefinierte Antworten für Abfragen an blockierte Domainnamen gesendet werden. 
+ Die Network Firewall filtert sowohl den Datenverkehr auf Netzwerk- als auch auf Anwendungsebene, hat jedoch keinen Einblick in Abfragen, die vom Route 53 VPC Resolver gestellt wurden. 

Weitere Informationen finden über Network Firewall im [Network-Firewall-Entwicklerhandbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

# So funktioniert die Resolver DNS Firewall
<a name="resolver-dns-firewall-overview"></a>

Mit der Resolver DNS Firewall können Sie den Zugriff auf Websites kontrollieren und Bedrohungen auf DNS-Ebene für DNS-Abfragen blockieren, die von Ihrer VPC über den Route 53 VPC Resolver ausgehen. Mit der DNS-Firewall definieren Sie Regeln für die Filterung von Domainnamen in Regelgruppen, die Sie Ihren eigenen zuordnen. VPCs Sie können Listen mit Domainnamen angeben, die zugelassen oder blockiert werden sollen, oder erweiterte Resolver-DNS-Firewall-Regeln, die Schutz vor DNS-Tunneling und auf dem Domänengenerierungsalgorithmus (DGA) basierenden Bedrohungen bieten. Sie können die Antworten auf die DNS-Abfragen, die Sie blockieren, anpassen. Bei Regeln, die eine Domänenliste enthalten, können Sie die Regel auch so anpassen, dass bestimmte Abfragetypen, wie z. B. MX-Einträge, durchgelassen werden. 

Die DNS-Firewall filtert nur nach dem Domainnamen. Dieser Name wird nicht in eine IP-Adresse aufgelöst, die blockiert werden soll. Darüber hinaus filtert die DNS-Firewall den DNS-Verkehr, aber sie filtert keine anderen Protokolle auf Anwendungsebene wie HTTPS, SSH, TLS, FTP usw.

## Komponenten und Einstellungen der Resolver DNS-Firewall
<a name="resolver-dns-firewall-components"></a>

Sie verwalten die DNS-Firewall mit den folgenden zentralen Komponenten und Einstellungen.

**DNS Firewall-Regelgruppe**  
Definiert eine benannte, wiederverwendbare Sammlung von DNS-Firewallregeln zum Filtern von DNS-Abfragen. Sie füllen die Regelgruppe mit den Filterregeln auf und ordnen der Regelgruppe dann eine oder mehrere zu. VPCs Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, aktivieren Sie die DNS-Firewall-Filterung für die VPC. Wenn VPC Resolver dann eine DNS-Abfrage für eine VPC empfängt, der eine Regelgruppe zugeordnet ist, leitet VPC Resolver die Abfrage zur Filterung an die DNS-Firewall weiter.   
Wenn Sie einer einzelnen VPC mehrere Regelgruppen zuordnen, geben Sie deren Verarbeitungsreihenfolge über die Prioritätseinstellung in jeder Zuordnung an. Die DNS-Firewall verarbeitet Regelgruppen für eine VPC ab der Einstellung der niedrigsten numerischen Priorität.   
Weitere Informationen finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 

**DNS-Firewall-Regel**  
Definiert eine Filterregel für DNS-Abfragen in einer DNS-Firewall-Regelgruppe. Jede Regel gibt eine Domain-Liste oder einen DNS-Firewall-Schutz und eine Aktion für DNS-Abfragen an, deren Domains mit den Domainspezifikationen in der Liste übereinstimmen. Sie können übereinstimmende Abfragen zulassen (nur Regeln mit Domain-Listen), blockieren oder dafür eine Warnung ausgeben. In Regeln mit Domain-Listen können Sie auch Abfragetypen für die Domains in der Liste angeben. Sie können beispielsweise einen MX-Abfragetyp für eine oder mehrere bestimmte Domains blockieren oder zulassen. Sie können auch benutzerdefinierte Antworten für blockierte Abfragen definieren.   
Bei DNS-Firewallregeln können Sie nur übereinstimmende Abfragen blockieren oder bei entsprechenden Abfragen eine Warnung ausgeben.  
Jede Regel in einer Regelgruppe hat eine Prioritätseinstellung, die innerhalb der Regelgruppe eindeutig ist. Die DNS-Firewall verarbeitet die Regeln in einer Regelgruppe ab der niedrigsten numerischen Prioritätseinstellung.   
DNS-Firewall-Regeln existieren nur im Kontext der Regelgruppe, in der sie definiert sind. Sie können eine Regel unabhängig von ihrer Regelgruppe nicht wiederverwenden oder darauf verweisen.   
Weitere Informationen finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 

**Domainliste**  
Definiert eine benannte, wiederverwendbare Sammlung von Domainspezifikationen für die Verwendung in der DNS-Filterung. Jede Regel in einer Regelgruppe benötigt eine einzige Domainliste. Sie können die Domains angeben, für die Sie den Zugriff zulassen möchten, die Domains, für die Sie den Zugriff verweigern möchten, oder eine Kombination aus beiden. Sie können Ihre eigenen Domainlisten erstellen und Domainlisten verwenden, die für Sie AWS verwaltet werden.  
Weitere Informationen finden Sie unter [Domain-Listen von Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md). 

**Einstellung für die Domainumleitung (nur Domainlisten)**  
Mit der Einstellung für die Domänenumleitung können Sie eine DNS-Firewallregel so konfigurieren, dass alle Domänen in der DNS-Umleitungskette überprüft werden (Standard), z. B. CNAME, DNAME usw., oder nur die erste Domäne, und den Rest als vertrauenswürdig eingestuft werden. Wenn Sie die gesamte DNS-Umleitungskette überprüfen möchten, müssen Sie die nachfolgenden Domänen zu einer Domänenliste hinzufügen, die in der Regel auf ALLOW gesetzt ist. Wenn Sie die gesamte DNS-Umleitungskette überprüfen möchten, müssen Sie die nachfolgenden Domänen zu einer Domänenliste hinzufügen und die Aktion festlegen, die die Regel ausführen soll, entweder ALLOW, BLOCK oder ALERT.  
Das Vertrauensverhalten der Einstellung für die Domänenumleitung gilt nur innerhalb einer einzelnen DNS-Abfragetransaktion. Wenn ein DNS-Client auf Ihrem Host eine Domain, die in einer DNS-Umleitungskette vorkommt, separat abfragt (z. B. indem er das Umleitungsziel direkt abfragt), bewertet die DNS-Firewall dies als unabhängige Abfrage ohne Vertrauenskontext aus der ursprünglichen Abfrage. Um solche Abfragen zuzulassen, fügen Sie die Zieldomänen der Umleitung zu Ihrer Domainliste hinzu.
Weitere Informationen finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md). 

**Abfragetyp (nur Domainlisten)**  
Mit der Einstellung für den Abfragetyp können Sie eine DNS-Firewallregel konfigurieren, um einen bestimmten DNS-Abfragetyp zu filtern. Wenn Sie keinen Abfragetyp auswählen, wird die Regel auf alle DNS-Abfragetypen angewendet. Beispielsweise möchten Sie möglicherweise alle Abfragetypen für eine bestimmte Domain blockieren, aber MX-Einträge zulassen.  
Weitere Informationen finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md). 

**DNS Firewall Erweiterter Schutz**  
Erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Jede Regel in einer Regelgruppe erfordert eine einzelne erweiterte DNS-Firewall-Schutzeinstellung. Sie können folgenden Schutz wählen:  
+ Algorithmen zur Domain-Generierung (DGAs)

  DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.
+ DNS-Tunneling

  DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.
+ Wörterbuch: DGA

  Wörterbücher DGAs werden von Angreifern verwendet, um mithilfe von Wörterbuchwörtern Domains zu generieren, um der Entdeckung in der command-and-control Malware-Kommunikation zu entgehen.
In einer erweiterten DNS-Firewall-Regel können Sie wählen, ob eine Anfrage, die der Bedrohung entspricht, blockiert oder eine Warnung angezeigt werden soll. Die Algorithmen zum Schutz vor Bedrohungen werden von verwaltet und aktualisiert AWS.  
Weitere Informationen finden Sie unter [Resolver DNS Firewall Advanced](firewall-advanced.md). 

**Vertrauensschwellenwert (nur DNS Firewall Advanced-Schutz)**  
Der Vertrauensschwellenwert für den Schutz vor DNS-Bedrohungen. Sie müssen diesen Wert angeben, wenn Sie eine Regel für DNS Firewall Advanced erstellen. Die Werte für das Vertrauensniveau bedeuten:  
+ Hoch – Erkennt nur die am besten bestätigten Bedrohungen bei einer niedrigen Rate an falsch-positiven Alarmen.
+ Mittel – Sorgt für ein ausgewogenes Verhältnis zwischen der Erkennung von Bedrohungen und falsch-positiven Alarmen.
+ Niedrig – Bietet die höchste Erkennungsrate für Bedrohungen, erhöht jedoch auch die Zahl der falsch-positiven Fehlalarme.
Weitere Informationen finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md). 

**Verknüpfung zwischen einer DNS-Firewall-Regelgruppe und einer VPC**  
Definiert einen Schutz für eine VPC mithilfe einer DNS-Firewall-Regelgruppe und aktiviert die VPC Resolver DNS-Firewall-Konfiguration für die VPC.   
Wenn Sie einer einzelnen VPC mehrere Regelgruppen zuordnen, geben Sie deren Verarbeitungsreihenfolge über die Prioritätseinstellung in den Zuordnungen an. Die DNS-Firewall verarbeitet Regelgruppen für eine VPC ab der Einstellung der niedrigsten numerischen Priorität.   
Weitere Informationen finden Sie unter [Aktivierung des Resolver-DNS-Firewall-Schutzes für Ihre VPC](resolver-dns-firewall-vpc-protections.md). 

**DNS-Firewall-Konfiguration für eine VPC**  
Gibt an, wie VPC Resolver mit dem DNS-Firewall-Schutz auf VPC-Ebene umgehen soll. Diese Konfiguration gilt immer dann, wenn mindestens eine DNS-Firewall-Regelgruppe mit der VPC verknüpft ist.   
Diese Konfiguration legt fest, wie Route 53 VPC Resolver Abfragen verarbeitet, wenn die DNS-Firewall sie nicht filtern kann. Wenn der VPC Resolver keine Antwort von der DNS-Firewall auf eine Anfrage erhält, schlägt das Schließen standardmäßig fehl und blockiert die Abfrage.  
Weitere Informationen finden Sie unter [Konfiguration der DNS-Firewall-VPC](resolver-dns-firewall-vpc-configuration.md).

**Überwachung der DNS-Firewall-Aktionen**  
Sie können Amazon verwenden CloudWatch , um die Anzahl der DNS-Abfragen zu überwachen, die nach DNS-Firewall-Regelgruppen gefiltert werden. CloudWatch sammelt und verarbeitet Rohdaten zu lesbaren Metriken, die nahezu in Echtzeit verfügbar sind.   
Weitere Informationen finden Sie unter [Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).  
Sie können Amazon verwenden EventBridge, einen serverlosen Service, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, um skalierbare, ereignisgesteuerte Anwendungen zu erstellen.  
Weitere Informationen finden Sie unter [Verwaltung von Resolver-DNS-Firewall-Ereignissen mithilfe von Amazon EventBridge](dns-firewall-eventbridge-integration.md).

## Wie filtert die Resolver DNS Firewall DNS-Abfragen
<a name="resolver-dns-firewall-behavior"></a>

Wenn dem Route 53 VPC Resolver Ihrer VPC eine DNS-Firewall-Regelgruppe zugeordnet ist, wird der folgende Datenverkehr von der Firewall gefiltert:
+ DNS-Abfragen, die ihren Ursprung in dieser VPC haben und über VPC-DNS geleitet werden.
+ DNS-Abfragen, die über Resolver-Endpunkte von On-Premises-Ressourcen in dieselbe VPC geleitet werden, deren Resolver die DNS-Firewall zugeordnet hat.

Wenn die DNS-Firewall eine DNS-Abfrage empfängt, filtert sie die Abfrage anhand der von Ihnen konfigurierten Regelgruppen, Regeln und anderen Einstellungen und sendet die Ergebnisse zurück an VPC Resolver: 
+ Die DNS-Firewall wertet die DNS-Abfrage mithilfe der Regelgruppen aus, die der VPC zugeordnet sind, bis sie eine Übereinstimmung findet oder alle Regelgruppen ausschöpft. Die DNS-Firewall wertet die Regelgruppen in der Reihenfolge der Priorität aus, die Sie in der Zuordnung festgelegt haben, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen erhalten Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md) und [Aktivierung des Resolver-DNS-Firewall-Schutzes für Ihre VPC](resolver-dns-firewall-vpc-protections.md).
+ Innerhalb jeder Regelgruppe bewertet die DNS-Firewall die DNS-Abfrage anhand der Domänenliste oder der erweiterten DNS-Firewall-Schutzmaßnahmen, bis eine Übereinstimmung gefunden wird oder alle Regeln ausgeschöpft sind. DNS-Firewall wertet die Regeln in der Reihenfolge ihrer Priorität aus, beginnend mit der niedrigsten numerischen Einstellung. Weitere Informationen finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).
+ Wenn die DNS-Firewall eine Übereinstimmung mit der Domänenliste einer Regel oder Anomalien feststellt, die durch den erweiterten Regelschutz der DNS-Firewall identifiziert wurden, beendet sie die Abfrageauswertung und antwortet VPC Resolver mit dem Ergebnis. Wenn die Aktion aktiviert ist`alert`, sendet die DNS-Firewall auch eine Warnung an die konfigurierten VPC-Resolver-Protokolle. Weitere Informationen finden Sie unter [Regelaktionen in der DNS-Firewall](resolver-dns-firewall-rule-actions.md), [Domain-Listen von Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md) und [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ Wenn die DNS-Firewall alle Regelgruppen auswertet, ohne eine Übereinstimmung zu finden, antwortet sie wie gewohnt auf die Abfrage. 

VPC Resolver leitet die Anfrage entsprechend der Antwort der DNS-Firewall weiter. In dem unwahrscheinlichen Fall, dass die DNS-Firewall nicht reagiert, wendet VPC Resolver den konfigurierten DNS-Firewall-Fail-Modus der VPC an. Weitere Informationen finden Sie unter [Konfiguration der DNS-Firewall-VPC](resolver-dns-firewall-vpc-configuration.md).

## Allgemeine Schritte zur Verwendung der Resolver DNS Firewall
<a name="resolver-dns-firewall-high-level-steps"></a>

Um die Resolver-DNS-Firewall-Filterung in Ihrer Amazon Virtual Private Cloud Cloud-VPC zu implementieren, führen Sie die folgenden allgemeinen Schritte aus. 
+ **Definieren Sie Ihren Filteransatz, Ihre Domainlisten oder Ihre DNS-Firewall-Schutzmaßnahmen** — Entscheiden Sie, wie Sie Abfragen filtern möchten, identifizieren Sie die Domain-Spezifikationen, die Sie benötigen, und definieren Sie die Logik, die Sie zur Auswertung von Abfragen verwenden werden. Sie können beispielsweise alle Abfragen zulassen, die in einer Liste bekannter fehlerhafter Domains enthalten sind. Oder Sie möchten das Gegenteil tun und alle Domains bis auf eine genehmigte Liste blockieren, was als Walled-Garden-Ansatz bekannt ist. Sie können Ihre eigenen Listen mit genehmigten oder gesperrten Domainspezifikationen erstellen und verwalten und Sie können Domainlisten verwenden, die für Sie AWS verwaltet werden. Um Ihre DNS-Firewall-Einstellungen zu schützen, können Sie die Abfragen filtern, indem Sie sie alle blockieren, oder Sie können bei verdächtigem Abfrageverkehr an Domänen, der möglicherweise Anomalien im Zusammenhang mit Bedrohungen (DGA, DNS-Tunneling, Dictionary-DGA) enthält, warnen, um Ihre DNS-Firewall-Einstellungen zu testen. Weitere Informationen erhalten Sie unter [Domain-Listen von Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md) und [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ **Erstellen einer Firewall-Regelgruppe** – Erstellen Sie in der DNS-Firewall eine Regelgruppe zum Filtern von DNS-Abfragen für Ihre VPC. Sie müssen eine Regelgruppe in jeder Region erstellen, in der Sie sie verwenden möchten. Möglicherweise möchten Sie Ihr Filterverhalten auch in mehrere Regelgruppen unterteilen, um die Wiederverwendbarkeit in mehreren Filterszenarien für Ihre verschiedenen zu gewährleisten. VPCs Informationen zu Regelgruppen finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 
+ **Regeln hinzufügen und konfigurieren** – Fügen Sie Ihrer Regelgruppe für jede Domainliste und jedes Filterverhalten, das die Regelgruppe bereitstellen soll, eine Regel hinzu. Legen Sie die Prioritätseinstellungen für Ihre Regeln so fest, dass sie innerhalb der Regelgruppe in der richtigen Reihenfolge verarbeitet werden, und geben Sie der Regel, die Sie zuerst auswerten möchten, die niedrigste Priorität. Informationen zu Regeln finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 
+ **Ordnen Sie die Regelgruppe Ihrer VPC zu** – Ordnen Sie diese Ihrer VPC zu, um Ihre DNS-Firewall-Regelgruppe zu verwenden. Wenn Sie mehr als eine Regelgruppe für Ihre VPC verwenden, legen Sie die Priorität jeder Zuordnung so fest, dass die Regelgruppen in der richtigen Reihenfolge verarbeitet werden. Geben Sie der Regelgruppe, die Sie zuerst auswerten möchten, die niedrigste Priorität. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Optional) Ändern Sie die Firewallkonfiguration für die VPC** — Wenn Sie möchten, dass Route 53 VPC Resolver Abfragen blockiert, wenn die DNS-Firewall keine Antwort für sie zurücksendet, ändern Sie in VPC Resolver die DNS-Firewall-Konfiguration der VPC. Weitere Informationen finden Sie unter [Konfiguration der DNS-Firewall-VPC](resolver-dns-firewall-vpc-configuration.md).

## Verwendung von Resolver-DNS-Firewall-Regelgruppen in mehreren Regionen
<a name="resolver-dns-firewall-multiple-regions"></a>

Die Resolver DNS Firewall ist ein regionaler Dienst, sodass Objekte, die Sie in einer AWS Region erstellen, nur in dieser Region verfügbar sind. Wenn Sie dieselbe Regelgruppe in mehr als einer Region verwenden möchten, müssen Sie die Regelgruppe in allen Regionen erstellen.

Das AWS Konto, mit dem eine Regelgruppe erstellt wurde, kann sie mit anderen AWS Konten gemeinsam nutzen. Weitere Informationen finden Sie unter [Resolver-DNS-Firewall-Regelgruppen zwischen Konten teilen AWS](resolver-dns-firewall-rule-group-sharing.md).

# Regionale Verfügbarkeit für die Resolver DNS Firewall
<a name="resolver-dns-firewall-availability"></a>

Die DNS-Firewall ist in den folgenden Versionen verfügbar: AWS-Regionen
+ Afrika (Kapstadt) 
+ Asien-Pazifik (Hongkong)
+ Asien-Pazifik (Hyderabad)
+ Asien-Pazifik (Jakarta) 
+ Asien-Pazifik (Malaysia)
+ Asien-Pazifik (Melbourne)
+ Asien-Pazifik (Mumbai)
+ Region Asien-Pazifik (Osaka)
+ Asien-Pazifik (Seoul)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Asien-Pazifik (Thailand)
+ Asien-Pazifik (Tokio)
+ Region Kanada (Zentral)
+ Kanada West (Calgary)
+ Region Europa (Frankfurt)
+ Region Europa (Irland)
+ Region Europa (London)
+ Europa (Milan) 
+ Region Europa (Paris)
+ Europa (Spain)
+ Europa (Stockholm)
+ Europa (Zürich)
+ Israel (Tel Aviv)
+ Mexiko (Zentral)
+ Middle East (Bahrain)
+ Naher Osten (VAE)
+ Südamerika (São Paulo)
+ USA Ost (Nord-Virginia)
+ USA Ost (Ohio)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
+ China (Peking) 
+ China (Ningxia) 
+ AWS GovCloud (US)

# Erste Schritte mit der Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

Die DNS-Firewall-Konsole enthält einen Assistenten, der Sie durch die folgenden Schritte für die ersten Schritte mit DNS Firewall führt:
+ Erstellen Sie Regelgruppen für jeden Satz von Regeln, den Sie verwenden möchten.
+ Füllen Sie für jede Regel die Domainliste aus, auf die Sie überprüfen möchten. Sie können Ihre eigenen Domainlisten erstellen und AWS verwaltete Domainlisten verwenden. 
+ Ordnen Sie Ihre Regelgruppen VPCs denen zu, in denen Sie sie verwenden möchten.

## Beispiel für Resolver DNS Firewall, Walled Garden
<a name="dns-firewall-walled-garden-example"></a>

In diesem Lernprogramm erstellen Sie eine Regelgruppe, die alle außer einer ausgewählten Gruppe von Domains blockiert, denen Sie vertrauen. Dies wird als geschlossene Plattform oder ummauerte Gartenansatz bezeichnet.

**So konfigurieren Sie eine DNS-Firewall-Regelgruppe mit dem Konsolenassistenten**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie auf der Seite **Regelgruppen** die Option **Regelgruppe hinzufügen** aus.

1. Geben Sie für den Regelgruppennamen **WalledGardenExample** ein. 

   Im Abschnitt **Tags** können Sie optional ein Schlüssel-Wert-Paar für ein Tag eingeben. Tags helfen Ihnen bei der Organisation und Verwaltung Ihrer AWS -Ressourcen. Weitere Informationen finden Sie unter [Amazon-Route-53-Ressourcen-Markierung](tagging-resources.md). 

1. Wählen Sie **Regelgruppe hinzufügen** aus.

1. Wählen Sie auf der **WalledGardenExample**Detailseite die **Registerkarte Regeln** und dann **Regel hinzufügen** aus.

1. Geben Sie im Bereich **Regeldetails** den Regelnamen ** BlockAll** ein.

1. Wählen Sie im Bereich **Domainliste** **Eigene Domainliste hinzufügen** aus. 

1. Wählen Sie unter **Neue Domainliste auswählen oder erstellen** die Option **Neue Domainliste erstellen** aus.

1. Geben Sie einen Namen **AllDomains** für die Domainliste ein und geben Sie dann in das Textfeld **Geben Sie eine Domäne pro Zeile** ein Sternchen ein: **\$1** ein. 

1. Akzeptieren Sie für die **Einstellung „Domainumleitung“** die Standardeinstellung und lassen Sie „**Abfragetyp — optional**“ leer.

1. Wählen Sie für die **Aktion** **BLOCKIEREN** aus und belassen Sie dann für die zu sendende Antwort die Standardeinstellung **NODATA**. 

1. Wählen Sie **Regel hinzufügen** aus. Ihre Regel **BlockAll**wird auf der **WalledGardenExample**Seite auf der Registerkarte **Regeln** angezeigt.

1. Wählen Sie auf der **WalledGardenExample**Seite **Regel hinzufügen** aus, um Ihrer Regelgruppe eine zweite Regel hinzuzufügen. 

1. Geben Sie im Bereich **Regeldetails** den Regelnamen ein** AllowSelectDomains**.

1. Wählen Sie im Bereich **Domainliste** **Eigene Domainliste hinzufügen** aus. 

1. Wählen Sie unter **Neue Domainliste auswählen oder erstellen** die Option **Neue Domainliste erstellen** aus.

1. Geben Sie einen Domainlistennamen **ExampleDomains** ein.

1. **Geben Sie in das Textfeld Geben Sie eine Domäne pro Zeile** ein in der ersten Zeile **example.com** und in der zweiten Zeile Folgendes ein**example.org**. 
**Anmerkung**  
Wenn die Regel auch für Subdomains gelten soll, müssen Sie diese Domains ebenfalls zur Liste hinzufügen. Um beispielsweise alle Subdomains von example.com hinzuzufügen, fügen Sie **\$1.example.com** zur Liste hinzu.

1. Akzeptieren Sie für die **Einstellung Domainumleitung** die Standardeinstellung und lassen Sie **Abfragetyp — optional** leer.

1. Wählen Sie für die **Aktion** die Option **ZULASSEN** aus. 

1. Wählen Sie **Regel hinzufügen** aus. Ihre Regeln werden beide auf der Registerkarte **Regeln** auf der **WalledGardenExample**Seite angezeigt.

1. Auf der Registerkarte **Regeln** auf der **WalledGardenExample**Seite können Sie die Bewertungsreihenfolge der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der **Spalte Priorität** aufgeführte Zahl auswählen und eine neue Zahl eingeben. Die DNS-Firewall bewertet Regeln ab der niedrigsten Prioritätseinstellung, sodass die Regel mit der niedrigsten Priorität als Erstes bewertet wird. In diesem Beispiel soll die DNS-Firewall zunächst DNS-Abfragen für die ausgewählte Liste der Domains identifizieren und zulassen und dann alle verbleibenden Abfragen blockieren. 

   Passen Sie die Regelpriorität so an, dass die Regel eine niedrigere Priorität **AllowSelectDomains**hat.

Sie haben jetzt eine Regelgruppe, die nur bestimmte Domainabfragen zulässt. Um mit der Verwendung zu beginnen, ordnen Sie es VPCs dem Bereich zu, in dem Sie das Filterverhalten verwenden möchten. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).

## Beispiel für eine Resolver-DNS-Firewall-Sperrliste
<a name="dns-firewall-block-list-example"></a>

In diesem Lernprogramm erstellen Sie eine Regelgruppe, die Domains blockiert, von denen Sie wissen, dass sie bösartig sind. Sie fügen außerdem einen DNS-Abfragetyp hinzu, der für die Domänen in der Sperrliste zulässig ist. Die Regelgruppe erlaubt alle anderen ausgehenden DNS-Anfragen über den VPC Resolver.

**So konfigurieren Sie eine DNS-Firewall-Blockliste mithilfe des Konsolenassistenten**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie auf der Seite **Regelgruppen** die Option **Regelgruppe hinzufügen** aus.

1. Geben Sie für den Regelgruppennamen **BlockListExample** ein. 

   Im Abschnitt **Tags** können Sie optional ein Schlüssel-Wert-Paar für ein Tag eingeben. Tags helfen Ihnen bei der Organisation und Verwaltung Ihrer AWS -Ressourcen. Weitere Informationen finden Sie unter [Amazon-Route-53-Ressourcen-Markierung](tagging-resources.md). 

1. Wählen Sie auf der **BlockListExample**Detailseite die Registerkarte **Regeln** und dann Regel **hinzufügen** aus.

1. Geben Sie im Bereich **Regeldetails** den Regelnamen ** BlockList** ein.

1. Wählen Sie im Bereich **Domainliste** **Eigene Domainliste hinzufügen** aus. 

1. Wählen Sie unter **Neue Domainliste auswählen oder erstellen** die Option **Neue Domainliste erstellen** aus.

1. Geben Sie einen Domainlistennamen **MaliciousDomains** ein, und geben Sie dann in das Textfeld die Domains ein, die Sie blockieren möchten. Beispiel, ** example.org**. Geben Sie pro Zeile eine Domain ein. 
**Anmerkung**  
Wenn die Regel auch auf Subdomains angewendet werden soll, müssen Sie diese Domains auch zur Liste hinzufügen. Um beispielsweise alle Subdomains von example.org hinzuzufügen, fügen Sie **\$1.example.org** zur Liste hinzu.

1. Akzeptieren Sie für die **Einstellung Domainumleitung** die Standardeinstellung und lassen Sie „**Abfragetyp — optional**“ leer.

1. Wählen Sie für die Aktion **BLOCK** aus und belassen Sie dann die zu sendende Antwort auf der Standardeinstellung von **NODATA**. 

1. Wählen Sie **Regel hinzufügen** aus. Ihre Regel wird auf der Seite auf der **BlockListExample**Registerkarte **Regeln** angezeigt

1. Auf der Registerkarte **Regeln** auf der **BlockedListExample**Seite können Sie die Reihenfolge der Auswertung der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der **Spalte Priorität** aufgeführte Zahl auswählen und eine neue Zahl eingeben. Die DNS-Firewall bewertet Regeln ab der niedrigsten Prioritätseinstellung, sodass die Regel mit der niedrigsten Priorität als Erstes bewertet wird. 

   Wählen Sie die Regelpriorität aus und passen Sie sie an, sodass sie entweder vor oder nach allen anderen Regeln, die Sie haben, bewertet **BlockList**wird. Meistens sollten bekannte bösartige Domains zuerst blockiert werden. Das heißt, die damit verbundenen Regeln sollten die niedrigste Prioritätsnummer haben.

1. Um eine Regel hinzuzufügen, die MX-Einträge für die BlockList Domains zulässt, wählen Sie auf der **BlockedListExample**Detailseite auf der Registerkarte **Regeln** die Option **Regel hinzufügen** aus.

1. Geben Sie im Bereich **Regeldetails** den Regelnamen ** BlockList-allowMX** ein.

1. Wählen Sie im Bereich **Domainliste** **Eigene Domainliste hinzufügen** aus. 

1. **Wählen Sie unter Neue Domainliste auswählen oder erstellen** die Option aus** MaliciousDomains**.

1. Akzeptieren Sie für die **Einstellung Domainumleitung** die Standardeinstellung.

1. Wählen Sie in der Liste **DNS-Abfragetyp** die Option **MX: Spezifiziert Mailserver** aus.

1. Wählen Sie für die Aktion die Option **ZULASSEN**. 

1. Wählen Sie **Regel hinzufügen** aus. 

1. Auf der Registerkarte **Regeln** auf der **BlockedListExample**Seite können Sie die Reihenfolge der Auswertung der Regeln in Ihrer Regelgruppe anpassen, indem Sie die in der **Spalte Priorität** aufgeführte Zahl auswählen und eine neue Zahl eingeben. Die DNS-Firewall bewertet Regeln ab der niedrigsten Prioritätseinstellung, sodass die Regel mit der niedrigsten Priorität als Erstes bewertet wird. 

   Wählen Sie die Regelpriorität aus und passen Sie sie an, sodass **BlockList-allowMX** entweder vor oder nach allen anderen Regeln, die Sie haben, ausgewertet wird. Da Sie MX-Abfragen zulassen möchten, stellen Sie sicher, dass die Regel **BlockList-allowMX** eine niedrigere Priorität als hat. **BlockList**

Sie haben jetzt eine Regelgruppe, die bestimmte bösartige Domainabfragen blockiert, aber einen bestimmten DNS-Abfragetyp zulässt. Um mit der Verwendung zu beginnen, ordnen Sie es VPCs dem Bereich zu, in dem Sie das Filterverhalten verwenden möchten. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).

# DNS-Firewall-Regelgruppen und -Regeln
<a name="resolver-dns-firewall-rule-groups"></a>

In diesem Abschnitt werden die Einstellungen beschrieben, die Sie für Ihre DNS-Firewall-Regelgruppen und -Regeln konfigurieren können, um das Verhalten der DNS-Firewall für Sie zu definieren VPCs. Außerdem wird beschrieben, wie Sie die Einstellungen für Ihre Regelgruppen und Regeln verwalten. 

Wenn Sie Ihre Regelgruppen nach Ihren Wünschen konfiguriert haben, verwenden Sie sie direkt und können sie zwischen Konten und in Ihrer gesamten Organisation in AWS Organizations freigeben und verwalten.
+ Sie können eine Regelgruppe mehreren zuordnen VPCs, um ein einheitliches Verhalten in Ihrer gesamten Organisation zu gewährleisten. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Sie können Regelgruppen für Konten freigeben, um eine konsistente DNS-Abfrageverwaltung in Ihrer gesamten Organisation zu gewährleisten. Weitere Informationen finden Sie unter [Resolver-DNS-Firewall-Regelgruppen zwischen Konten teilen AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Sie können Regelgruppen in Ihrer gesamten Organisation verwenden, AWS Organizations indem Sie sie in AWS Firewall Manager Richtlinien verwalten. Informationen zu Firewall Manager finden Sie [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)im * AWS Shield Advanced Entwicklerhandbuch AWS WAF AWS Firewall Manager, und* unter.

# Regelgruppeneinstellungen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Wenn Sie eine DNS-Firewall-Regelgruppe erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**Name**  
Ein eindeutiger Name, mit dem Sie ganz einfach eine Regelgruppe auf dem Dashboard finden können.

**(Optionale) Beschreibung**  
Eine kurze Beschreibung, die mehr Kontext für die Regelgruppe bietet. 

**Region**  
Die AWS Region, die Sie bei der Erstellung der Regelgruppe ausgewählt haben. Eine Regelgruppe, die Sie in einer Region erstellen, ist nur in dieser Region verfügbar. Wenn Sie dieselbe Regelgruppe in mehr als einer Region verwenden möchten, müssen Sie die Regelgruppe in allen Regionen erstellen.

**Regeln**  
Das Filterverhalten der Regelgruppe ist in den Regeln enthalten. Weitere Informationen finden Sie im folgenden Abschnitt.

**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.  
Dies sind die Tags, mit AWS Fakturierung und Kostenmanagement denen Sie Ihre AWS Rechnung organisieren können. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*.

# Regeleinstellungen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Wenn Sie eine Regel in einer DNS-Firewall-Regelgruppe erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**Name**  
Eine eindeutige ID für die Regel in der Regelgruppe.

**(Optionale) Beschreibung**  
Eine kurze Beschreibung, die weitere Informationen über die Regel enthält. 

**Domainliste**  
Die Liste der Domains, auf die die Regel überprüft. Sie können Ihre eigene Domainliste erstellen und verwalten oder eine Domainliste abonnieren, die AWS für Sie verwaltet. Weitere Informationen finden Sie unter [Domain-Listen von Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md).   
Eine Regel kann entweder eine Domainliste oder einen erweiterten DNS-Firewall-Schutz enthalten, aber nicht beides.

**Einstellung für die Domänenumleitung (nur Domänenlisten)**  
Sie können festlegen, dass die DNS-Firewallregel nur die erste Domäne oder alle (Standard) Domänen in der DNS-Umleitungskette überprüft, z. B. CNAME, DNAME usw. Wenn Sie sich dafür entscheiden, alle Domänen zu überprüfen, müssen Sie die nachfolgenden Domänen in der DNS-Umleitungskette zur Domänenliste hinzufügen und die Aktion festlegen, die die Regel ausführen soll, entweder ALLOW, BLOCK oder ALERT. Weitere Informationen finden Sie unter [Komponenten und Einstellungen der Resolver DNS-Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
Das Vertrauensverhalten der Einstellung für die Domänenumleitung gilt nur innerhalb einer einzelnen DNS-Abfragetransaktion. Wenn ein DNS-Client auf Ihrem Host eine Domain, die in einer DNS-Umleitungskette vorkommt, separat abfragt (z. B. indem er das Umleitungsziel direkt abfragt), bewertet die DNS-Firewall dies als unabhängige Abfrage ohne Vertrauenskontext aus der ursprünglichen Abfrage. Um solche Abfragen zuzulassen, fügen Sie die Zieldomänen der Umleitung zu Ihrer Domainliste hinzu.

**Abfragetyp (nur Domainlisten)**  
Die Liste der DNS-Abfragetypen, nach denen die Regel sucht. Die folgenden Werte sind gültig:  
+  A: Gibt eine IPv4 Adresse zurück.
+ AAAA: Gibt eine IPv6-Adresse zurück.
+ CAA: Einschränkungen, die SSL/TLS Zertifizierungen für CAs die Domain erstellen können.
+ CNAME: Gibt einen anderen Domainnamen zurück.
+ DS: Datensatz, der den DNSSEC-Signaturschlüssel einer delegierten Zone identifiziert.
+ MX: Spezifiziert Mailserver.
+ NAPTR: Regular-expression-based Umschreiben von Domainnamen.
+ NS: Autorisierende Nameserver.
+ PTR: Ordnet eine IP-Adresse einem Domainnamen zu.
+ SOA: Beginn des Autoritätsdatensatzes für die Zone.
+ SPF: Listet die Server auf, die berechtigt sind, E-Mails von einer Domain aus zu versenden.
+ SRV: Anwendungsspezifische Werte, die Server identifizieren.
+ TXT: Überprüft E-Mail-Absender und anwendungsspezifische Werte.
+ Ein Abfragetyp, den Sie mithilfe der DNS-Typ-ID definieren, z. B. 28 für AAAA. Die Werte müssen als TYPE definiert sein* NUMBER*, wobei sie beispielsweise 1-65334 lauten *NUMBER* können. TYPE28 Weitere Informationen finden Sie unter [Liste der DNS-Eintragstypen](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Sie können einen Abfragetyp pro Regel erstellen.
**Anmerkung**  
Wenn Sie eine Firewall-BLOCKregel mit der Aktion NXDOMAIN für den Abfragetyp AAAA einrichten, wird diese Aktion nicht auf synthetische IPv6 Adressen angewendet, die generiert werden, wenn sie DNS64 aktiviert ist. 

**DNS Firewall Erweiterter Schutz**  
Erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können zwischen folgenden Schutzoptionen wählen:  
+ Algorithmen zur Domain-Generierung (DGAs)

  DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.
+ DNS-Tunneling

  DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.
+ Wörterbuch: DGA

  Wörterbücher DGAs werden von Angreifern verwendet, um mithilfe von Wörterbuchwörtern Domains zu generieren, um der Entdeckung in der command-and-control Malware-Kommunikation zu entgehen.
In einer erweiterten DNS-Firewall-Regel können Sie wählen, ob eine Anfrage, die der Bedrohung entspricht, blockiert oder eine Warnung angezeigt werden soll.   
Weitere Informationen finden Sie unter [Resolver DNS Firewall Advanced](firewall-advanced.md).   
Eine Regel kann entweder einen erweiterten DNS-Firewall-Schutz oder eine Domänenliste enthalten, aber nicht beides.

**Vertrauensschwellenwert (nur DNS Firewall Advanced)**  
Der Vertrauensschwellenwert für DNS Firewall Advanced. Sie müssen diesen Wert angeben, wenn Sie eine Regel für DNS Firewall Advanced erstellen. Die Werte für das Vertrauensniveau bedeuten:  
+ Hoch – Erkennt nur die am besten bestätigten Bedrohungen bei einer niedrigen Rate an falsch-positiven Alarmen.
+ Mittel – Sorgt für ein ausgewogenes Verhältnis zwischen der Erkennung von Bedrohungen und falsch-positiven Alarmen.
+ Niedrig – Bietet die höchste Erkennungsrate für Bedrohungen, erhöht jedoch auch die Zahl der falsch-positiven Fehlalarme.
Weitere Informationen finden Sie unter [Regeleinstellungen in der DNS-Firewall](#resolver-dns-firewall-rule-settings). 

**Action**  
Wie Sie möchten, dass die DNS-Firewall eine DNS-Abfrage verarbeitet, deren Domainname mit den Spezifikationen in der Domainliste der Regel übereinstimmt. Weitere Informationen finden Sie unter [Regelaktionen in der DNS-Firewall](resolver-dns-firewall-rule-actions.md). 

**Priorität**  
Eindeutige positive Ganzzahleinstellung für die Regel innerhalb der Regelgruppe, die die Verarbeitungsreihenfolge bestimmt. DNS-Firewall überprüft DNS-Abfragen anhand der Regeln in einer Regelgruppe beginnend mit der niedrigsten Prioritätseinstellung. Sie können die Priorität einer Regel jederzeit ändern, z. B. um die Reihenfolge der Verarbeitung zu ändern oder Platz für andere Regeln zu schaffen. 

# Regelaktionen in der DNS-Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Wenn die DNS-Firewall eine Übereinstimmung zwischen einer DNS-Abfrage und einer Domainspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an. 

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben: 
+ **Allow**— Beenden Sie die Überprüfung der Abfrage und lassen Sie sie durchgehen. Nicht verfügbar für DNS Firewall Advanced.
+ **Alert**— Beenden Sie die Überprüfung der Abfrage, lassen Sie sie durchlaufen und protokollieren Sie eine Warnung für die Abfrage in den Route 53 VPC Resolver-Protokollen. 
+ **Block**— Unterbrechen Sie die Überprüfung der Abfrage, verhindern Sie, dass sie zum vorgesehenen Ziel weitergeleitet wird, und protokollieren Sie die Blockaktion für die Abfrage in den Route 53 VPC Resolver-Protokollen. 

  Antworten Sie mit der konfigurierten Blockantwort wie folgt: 
  + **NODATA**— Antwortet und gibt an, dass die Abfrage erfolgreich war, aber keine Antwort darauf verfügbar ist.
  + **NXDOMAIN**— Antwortet und gibt an, dass der Domainname der Anfrage nicht existiert.
  + **OVERRIDE**— Geben Sie in der Antwort eine benutzerdefinierte Überschreibung an. Diese Option erfordert die folgenden zusätzlichen Einstellungen: 
    + **Record value**— Der benutzerdefinierte DNS-Eintrag, der als Antwort auf die Anfrage zurückgesendet werden soll. 
    + **Record type**— Der Typ des DNS-Eintrags. Dies bestimmt das Format des Datensatzwertes. Dies muss `CNAME` lauten.
    + **Time to live in seconds**— Die empfohlene Zeitspanne für den DNS-Resolver oder Webbrowser, um den Override-Eintrag zwischenzuspeichern und ihn als Antwort auf diese Anfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.

Weitere Informationen zur Konfiguration und zum Inhalt der Abfrageprotokolle finden Sie unter [Abfrageprotokollierung](resolver-query-logs.md) und [Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md). 

**Verwenden Sie Alert, um die Blockierungsregeln zu testen**  
Wenn Sie eine Blockierungsregel zum ersten Mal erstellen, können Sie sie testen, indem Sie sie mit der auf Alert festgelegten Aktion konfigurieren. Sie können sich dann die Anzahl der Abfragen ansehen, bei denen die Regel eine Warnung ausgibt, um zu sehen, wie viele blockiert würden, wenn Sie die Aktion auf Block festlegen. 

# Regelgruppen und Regeln in der DNS-Firewall verwalten
<a name="resolver-dns-firewall-rule-group-managing"></a>

Folgen Sie den Anweisungen in diesem Abschnitt, um Regelgruppen und Regeln in der Konsole zu verwalten.

Wenn Sie Änderungen an DNS-Firewall-Entitäten wie Regeln und Domainlisten vornehmen, werden die Änderungen überall dort weitergegeben, wo die Entitäten gespeichert und verwendet werden. Ihre Änderungen werden innerhalb von Sekunden angewendet, es kann jedoch zu einer kurzen Inkonsistenzzeit kommen, wenn die Änderungen an einigen Stellen und nicht an anderen Stellen eingetroffen sind. Wenn Sie beispielsweise eine Domain zu einer Domainliste hinzufügen, auf die durch eine Sperrregel verwiesen wird, wird die neue Domain möglicherweise kurz in einem Bereich Ihrer VPC blockiert, während sie in einem anderen Bereich weiterhin zulässig ist. Diese temporäre Inkonsistenz kann auftreten, wenn Sie die Regelgruppe und VPC-Zuordnungen zum ersten Mal konfigurieren und vorhandene Einstellungen ändern. Im Allgemeinen dauern alle Inkonsistenzen dieses Typs nur wenige Sekunden.

# Erstellen einer Regelgruppe und -regeln
<a name="resolver-dns-firewall-rule-group-adding"></a>

Gehen Sie wie in diesem Verfahren beschrieben vor, um eine Regelgruppe zu erstellen und ihr Regeln hinzuzufügen.

**So erstellen Sie eine Regelgruppe und ihre Regeln**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie **Regelgruppe hinzufügen** und befolgen Sie dann die Anweisungen des Assistenten, um Ihre Regelgruppe und Regeleinstellungen anzugeben.

   Informationen zu den Werten für Regelgruppen finden Sie unter [Regelgruppeneinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-group-settings.md).

   Informationen zu den Werten für Regeln finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md).

# Anzeigen und Aktualisieren einer Regelgruppe und Regeln
<a name="resolver-dns-firewall-rule-group-editing"></a>

Gehen Sie wie folgt vor, um die Regelgruppen und die ihnen zugewiesenen Regeln anzuzeigen. Sie können auch die Regelgruppe und die Regeleinstellungen aktualisieren.

**So zeigen Sie eine Regelgruppe an und aktualisieren sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie die Regelgruppe aus, die Sie anzeigen oder bearbeiten möchten, und wählen Sie dann **Details anzeigen** aus. 

1. Auf der Regelgruppe können Sie Einstellungen anzeigen und bearbeiten.

   Informationen zu den Werten für Regelgruppen finden Sie unter [Regelgruppeneinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-group-settings.md).

   Informationen zu den Werten für Regeln finden Sie unter [Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md).

# Löschen einer Regelgruppe
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Gehen Sie wie folgt vor, um eine Regelgruppe zu löschen.

**Wichtig**  
Wenn Sie eine Regelgruppe löschen, die einer VPC zugeordnet ist, entfernt die DNS-Firewall die Zuordnung und stoppt die Schutzmaßnahmen, die die Regelgruppe für die VPC bereitstellte. 

**DNS-Firewall-Entitäten löschen**  
Wenn Sie eine Entität löschen, die Sie in der DNS-Firewall verwenden können, z. B. eine Domainliste, die möglicherweise in einer Regelgruppe verwendet wird, oder eine Regelgruppe, die einer VPC zugeordnet ist, überprüft die DNS-Firewall, ob die Entität derzeit verwendet wird. Wenn es feststellt, dass es verwendet wird, warnt die DNS-Firewall Sie. DNS Firewall kann fast immer bestimmen, ob eine Entität verwendet wird. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicherstellen müssen, dass die Entität derzeit nicht verwendet, überprüfen Sie sie in Ihren DNS-Firewall-Konfigurationen, bevor Sie sie löschen. Wenn es sich bei der Entität um eine referenzierte Domainliste handelt, stellen Sie sicher, dass keine Regelgruppen sie verwenden. Wenn es sich bei der Entität um eine Regelgruppe handelt, überprüfen Sie, ob sie keiner VPCs Regelgruppe zugeordnet ist.

**So löschen Sie eine Regelgruppe**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie mit Schritt 3 fort.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie die Regelgruppe aus, die Sie löschen möchten, wählen Sie dann **Löschen** und bestätigen Sie den Löschvorgang.

# Domain-Listen von Resolver DNS Firewall
<a name="resolver-dns-firewall-domain-lists"></a>

Eine *Domainliste* ist ein wiederverwendbarer Satz von Domainspezifikationen, die Sie in einer DNS-Firewall-Regel innerhalb einer Regelgruppe verwenden. Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domainlisten, die in den Regeln verwendet werden. Wenn es eine Übereinstimmung findet, verarbeitet es die DNS-Abfrage gemäß der Aktion der Übereinstimmungsregel. Weitere Informationen zu Regelgruppen und Regeln finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md). 

Mit Domainlisten können Sie Ihre expliziten Domainspezifikationen von den Aktionen trennen, die Sie für sie ausführen möchten. Sie können eine einzelne Domainliste in mehreren Regeln verwenden, und alle Aktualisierungen, die Sie an der Domainliste vornehmen, wirken sich automatisch auf alle Regeln aus, die sie verwenden. 

Domainlisten lassen sich in zwei Hauptkategorien einteilen: 
+ Verwaltete Domainlisten, die für Sie AWS erstellt und verwaltet werden.
+ Eigene Domainlisten, die Sie erstellen und pflegen.

In diesem Abschnitt werden die Arten von verwalteten Domainlisten beschrieben, die Ihnen zur Verfügung stehen, und bietet Anleitungen zum Erstellen und Verwalten Ihrer eigenen Domainlisten, wenn Sie dies wünschen. 

# Verwaltete Domainlisten
<a name="resolver-dns-firewall-managed-domain-lists"></a>

Verwaltete Domainlisten enthalten Domainnamen, die mit böswilligen Aktivitäten oder anderen potenziellen Bedrohungen in Verbindung stehen. AWS verwaltet diese Listen, damit Route 53 VPC Resolver-Kunden ausgehende DNS-Abfragen kostenlos mit ihnen vergleichen können, wenn sie die DNS-Firewall verwenden. 

Sich über die sich ständig ändernde Bedrohungslandschaft auf dem Laufenden zu halten, kann zeitaufwändig und teuer sein. Mit verwalteten Domänenlisten können Sie Zeit sparen, wenn Sie die DNS-Firewall implementieren und verwenden. AWS aktualisiert die Listen automatisch, wenn neue Sicherheitslücken und Bedrohungen auftauchen. AWS wird häufig vor der Veröffentlichung über neue Sicherheitslücken informiert, sodass die DNS-Firewall häufig Gegenmaßnahmen für Sie ergreifen kann, bevor eine neue Bedrohung allgemein bekannt wird. 

Verwaltete Domainlisten können vor gängigen Internet-Bedrohungen schützen und fügen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Die AWS verwalteten Domainlisten beziehen ihre Daten sowohl aus internen AWS Quellen als [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future)auch aus internen Quellen und werden ständig aktualisiert. AWS Verwaltete Domänenlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht Amazon GuardDuty, z. B. solche, die von den ausgewählten AWS Ressourcen bestimmt werden.

Als bewährte Methode sollten Sie eine verwaltete Domainliste in einer Nicht-Produktionsumgebung testen, bevor Sie sie in der Produktion verwenden, wobei die Regelaktion auf `Alert` festgelegt ist. Evaluieren Sie die Regel anhand von CloudWatch Amazon-Metriken in Kombination mit von Resolver DNS Firewall gesammelten Anfragen oder DNS-Firewall-Protokollen. Wenn Sie überzeugt sind, dass die Regel das tut, was Sie wollen, ändern Sie die Aktionseinstellung nach Bedarf. 

**Verfügbare AWS verwaltete Domainlisten**  
In diesem Abschnitt werden die derzeit verfügbaren Listen der verwalteten Domains beschrieben. Wenn Sie sich in einer Region befinden, in der diese Listen unterstützt werden, werden sie in der Konsole angezeigt, wenn Sie Domainlisten verwalten und wenn Sie die Domainliste für eine Regel angeben. In den Protokollen wird die Domainliste innerhalb der `firewall_domain_list_id field` protokolliert.

AWS bietet die folgenden verwalteten Domänenlisten in den Regionen, in denen sie verfügbar sind, für alle Benutzer der Resolver DNS Firewall. 
+ `AWSManagedDomainsMalwareDomainList` – – Domains, die mit dem Senden von Malware, Hosting von Malware oder dem Verteilen von Malware in Verbindung gebracht werden.
+ `AWSManagedDomainsBotnetCommandandControl` – Domains, die mit der Kontrolle von Computernetzwerken verbunden sind, die mit Spam-Malware infiziert sind. 
+ `AWSManagedDomainsAggregateThreatList`— Domänen, die mehreren DNS-Bedrohungskategorien zugeordnet sind, darunter Malware, Ransomware, Botnet, Spyware und DNS-Tunneling, um verschiedene Arten von Bedrohungen zu blockieren. `AWSManagedDomainsAggregateThreatList`umfasst alle Domänen in den anderen hier AWS aufgelisteten verwalteten Domainlisten.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domains, die mit Amazon GuardDuty DNS-Sicherheitsergebnissen verknüpft sind. Die Domains stammen ausschließlich aus den GuardDuty Bedrohungsinformationssystemen von und enthalten keine Domains, die aus externen Quellen Dritter stammen. Insbesondere blockiert diese Liste derzeit nur Domains, die intern generiert und für folgende Erkennungen verwendet wurden GuardDuty: Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ AbusedDomainRequest .Reputation, Impact: BitcoinDomainRequest .Reputation. MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

  Weitere Informationen [finden Sie im * GuardDuty Amazon-Benutzerhandbuch* unter Typen suchen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html).

AWS Verwaltete Domainlisten können nicht heruntergeladen oder durchsucht werden. Um geistiges Eigentum zu schützen, können Sie die einzelnen Domainspezifikationen in AWS verwalteten Domainlisten nicht anzeigen oder bearbeiten. Diese Einschränkung trägt auch dazu bei, böswillige Benutzer daran zu hindern, Bedrohungen zu entwickeln, die speziell zur Umgehung veröffentlichter Listen dienen. 

**Um die Listen der verwalteten Domänen zu testen**  
Zum Testen der verwalteten Domainlisten stehen folgende Domains zur Verfügung:

**AWSManagedDomainsBotnetCommandandControl**  
+  controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsMalwareDomainList**  
+  controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsAggregateThreatList und AWSManaged DomainsAmazonGuardDutyThreatList**  
+  controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Diese Domains werden in 1.2.3.4 aufgelöst, wenn sie nicht blockiert werden. Wenn Sie die verwalteten Domainlisten in einer VPC verwenden, wird bei der Abfrage dieser Domains die Antwort zurückgegeben, auf die eine Blockaktion in der Regel festgelegt ist (z. B. NODATA). 

Weitere Informationen zu verwalteten Domainlisten erhalten Sie vom [AWS Support -Center](https://console.aws.amazon.com/support/home#/). 

In der folgenden Tabelle sind die verfügbaren Regionen für AWS verwaltete Domainlisten aufgeführt.


**Verfügbarkeit verwalteter Domainlisten nach Region**  

| Region | Sind verwaltete Domainlisten verfügbar? | 
| --- | --- | 
|  Afrika (Kapstadt)   |  Ja  | 
|  Asien-Pazifik (Hongkong)  | Ja | 
|  Asien-Pazifik (Hyderabad)  | Ja | 
|  Asien-Pazifik (Jakarta)   |  Ja  | 
|  Asien-Pazifik (Malaysia)  |  Ja  | 
|  Asien-Pazifik (Melbourne)  | Ja | 
|  Asien-Pazifik (Mumbai)  |  Ja  | 
|  Region Asien-Pazifik (Osaka)  |  Ja  | 
|  Asien-Pazifik (Seoul)  |  Ja  | 
|  Asien-Pazifik (Singapore)  |  Ja  | 
|  Asien-Pazifik (Sydney)  |  Ja  | 
|  Asien-Pazifik (Thailand)  |  Ja  | 
|  Asien-Pazifik (Tokyo)  |  Ja  | 
|  Region Kanada (Zentral)  |  Ja  | 
|  Kanada West (Calgary)  |  Ja  | 
|  Region Europa (Frankfurt)  |  Ja  | 
|  Region Europa (Irland)  |  Ja  | 
|  Region Europa (London)  |  Ja  | 
|  Europa (Milan)   |  Ja  | 
|  Region Europa (Paris)  |  Ja  | 
|  Europa (Spain)  | Ja | 
|  Europa (Stockholm)  |  Ja  | 
|  Europa (Zürich)  | Ja | 
|  Israel (Tel Aviv)  | Ja | 
|  Middle East (Bahrain)  | Ja | 
|  Naher Osten (VAE)  | Ja | 
|  Südamerika (São Paulo)  |  Ja  | 
|  USA Ost (Nord-Virginia)  |  Ja  | 
|  USA Ost (Ohio)  |  Ja  | 
|  USA West (Nordkalifornien)  |  Ja  | 
|  USA West (Oregon)  |  Ja  | 
|  China (Peking)   |  Ja  | 
|  China (Ningxia)   |  Ja  | 
|  AWS GovCloud (US)  |  Ja  | 

**Zusätzliche Sicherheitsüberlegungen**  
AWS Verwaltete Domainlisten sollen Sie vor gängigen Internet-Bedrohungen schützen. Bei Verwendung gemäß der Dokumentation fügen diese Listen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Verwaltete Domainlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht, die durch die von Ihnen ausgewählten AWS -Ressourcen bestimmt werden. Wie Sie sicherstellen können, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind, finden Sie unter [Modell der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**Beseitigung von False-Positive-Szenarien**  
Wenn Sie in Regeln, die verwaltete Domainlisten zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, führen Sie die folgenden Schritte aus: 

1. Identifizieren Sie in den VPC-Resolver-Protokollen die Regelgruppe und die Liste der verwalteten Domänen, die den Fehlalarm verursacht haben. Dazu finden Sie das Protokoll für die Abfrage, die die DNS-Firewall blockiert, aber die Sie zulassen möchten. Der Protokolldatensatz listet die Regelgruppe, die Regelaktion und die verwalteten Liste auf. Weitere Informationen über Protokolle finden Sie unter [Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md).

1. Erstellen Sie eine neue Regel in der Regelgruppe, die die blockierte Abfrage explizit zulässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anweisungen zur Regelgruppen- und Regelverwaltung unter [Erstellen einer Regelgruppe und -regeln](resolver-dns-firewall-rule-group-adding.md).

1. Priorisieren Sie die neue Regel innerhalb der Regelgruppe, sodass sie vor der Regel ausgeführt wird, die die verwalteten Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regelgruppe aktualisiert haben, lässt die neue Regel explizit den Domainnamen zu, den Sie zulassen möchten, bevor die Blockierungsregel ausgeführt wird. 

# Verwaltung Ihrer eigenen Domainlisten
<a name="resolver-dns-firewall-user-managed-domain-lists"></a>

Sie können eigene Domainlisten erstellen, um Domainkategorien anzugeben, die Sie entweder nicht in den verwalteten Domainlistenangeboten finden oder die Sie lieber selbst bearbeiten. 

Zusätzlich zu den in diesem Abschnitt beschriebenen Verfahren können Sie in der Konsole eine Domänenliste im Kontext der Resolver DNS-Firewall-Regelverwaltung erstellen, wenn Sie eine Regel erstellen oder aktualisieren. 

Jede Domainspezifikation in Ihrer Domainliste muss die folgenden Anforderungen erfüllen: 
+ Es kann optional mit `*` (Sternchen) beginnen.
+ Mit Ausnahme des optionalen Startsterisks und eines Punktes als Trennzeichen zwischen Bezeichnungen darf es nur die folgenden Zeichen enthalten:,`A-Z`, `a-z``0-9`, `-` (Bindestrich).
+ Es muss 1 bis 255 Zeichen lang sein. 

Wenn Sie Änderungen an DNS-Firewall-Entitäten wie Regeln und Domainlisten vornehmen, werden die Änderungen überall dort weitergegeben, wo die Entitäten gespeichert und verwendet werden. Ihre Änderungen werden innerhalb von Sekunden angewendet, es kann jedoch zu einer kurzen Inkonsistenzzeit kommen, wenn die Änderungen an einigen Stellen und nicht an anderen Stellen eingetroffen sind. Wenn Sie beispielsweise eine Domain zu einer Domainliste hinzufügen, auf die durch eine Sperrregel verwiesen wird, wird die neue Domain möglicherweise kurz in einem Bereich Ihrer VPC blockiert, während sie in einem anderen Bereich weiterhin zulässig ist. Diese temporäre Inkonsistenz kann auftreten, wenn Sie die Regelgruppe und VPC-Zuordnungen zum ersten Mal konfigurieren und vorhandene Einstellungen ändern. Im Allgemeinen dauern alle Inkonsistenzen dieses Typs nur wenige Sekunden.

**Testen Sie Ihre Domainliste, bevor Sie sie in der Produktion verwenden**  
Als bewährte Methode sollten Sie eine Domainliste in einer Nicht-Produktionsumgebung testen, bevor Sie sie in der Produktion verwenden, wobei die Regelaktion auf `Alert` festgelegt ist. Evaluieren Sie die Regel anhand von CloudWatch Amazon-Metriken und den VPC-Resolver-Protokollen. Die Protokolle enthalten den Namen der Domainliste für alle Warnungen und Blockierungsaktionen. Wenn Sie sicher sind, dass die Domainliste Ihren DNS-Abfragen entspricht, wie gewünscht, ändern Sie die Einstellung für die Regelaktion nach Bedarf. Informationen zu CloudWatch Metriken und den Abfrageprotokollen finden Sie unter [Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)[Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md), und. [Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten](resolver-query-logging-configurations-managing.md) 

**So fügen Sie eine Domainliste hinzu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen. Fahren Sie fort mit Schritt 2.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Domainlisten** aus. Auf der Seite **Domainlisten** können Sie vorhandene Domainlisten auswählen und bearbeiten sowie eigene hinzufügen.

1. Um eine Domainliste hinzuzufügen, wählen Sie **Domainliste hinzufügen**. 

1. Geben Sie einen Namen für Ihre Domainliste ein, und geben Sie dann Ihre Domainspezifikationen in das Textfeld ein (jeweils 1 pro Zeile). 

   Wenn Sie **Umschalten zum Massen-Upload** auf **Ein** schieben, geben Sie den URI des Amazon-S3-Buckets ein, in dem Sie eine Domainliste erstellt haben. Diese Domainliste sollte einen Domainnamen pro Zeile haben.
**Anmerkung**  
Doppelte Domainnamen führen dazu, dass der Massenimport fehlschlägt.

1. Klicken Sie auf **Domainliste hinzufügen**. Auf der Seite **Domainlisten** wird Ihre neue Domainliste aufgeführt. 

Nachdem Sie die Domainliste erstellt haben, können Sie sie nach Namen aus Ihren DNS-Firewall-Regeln referenzieren. 

**DNS-Firewall-Entitäten löschen**  
Wenn Sie eine Entität löschen, die Sie in der DNS-Firewall verwenden können, z. B. eine Domainliste, die möglicherweise in einer Regelgruppe verwendet wird, oder eine Regelgruppe, die einer VPC zugeordnet ist, überprüft die DNS-Firewall, ob die Entität derzeit verwendet wird. Wenn es feststellt, dass es verwendet wird, warnt die DNS-Firewall Sie. DNS Firewall kann fast immer bestimmen, ob eine Entität verwendet wird. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicherstellen müssen, dass die Entität derzeit nicht verwendet, überprüfen Sie sie in Ihren DNS-Firewall-Konfigurationen, bevor Sie sie löschen. Wenn es sich bei der Entität um eine referenzierte Domainliste handelt, stellen Sie sicher, dass keine Regelgruppen sie verwenden. Wenn es sich bei der Entität um eine Regelgruppe handelt, überprüfen Sie, ob sie keiner Regelgruppe zugeordnet ist VPCs.

**So löschen Sie eine Domainliste**

1. Wählen Sie im Navigationsbereich **Domainlisten** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Domainliste aus. 

1. Wählen Sie die Domainliste aus, die Sie löschen möchten, wählen Sie dann **Löschen** und bestätigen Sie den Löschvorgang.

# Resolver DNS Firewall Advanced
<a name="firewall-advanced"></a>

DNS Firewall Advanced erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können einen Bedrohungstyp in einer Regel angeben, die Sie in einer DNS-Firewallregel innerhalb einer Regelgruppe verwenden. Wenn Sie einer VPC eine Regelgruppe zuordnen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domänen, die in den Regeln gekennzeichnet sind. Wenn es eine Übereinstimmung findet, verarbeitet es die DNS-Abfrage gemäß der Aktion der Übereinstimmungsregel.

DNS Firewall Advanced identifiziert verdächtige DNS-Bedrohungssignaturen, indem es eine Reihe von Schlüsselkennungen in der DNS-Payload untersucht, darunter den Zeitstempel der Anfragen, die Häufigkeit von Anfragen und Antworten, die DNS-Abfragezeichenfolgen sowie die Länge, Art oder Größe sowohl ausgehender als auch eingehender DNS-Abfragen. Je nach Art der Bedrohungssignatur können Sie Richtlinien so konfigurieren, dass die Anfrage blockiert oder einfach protokolliert und eine Warnung angezeigt wird. Durch die Verwendung eines erweiterten Satzes von Bedrohungskennungen können Sie sich vor DNS-Bedrohungen schützen, die von Domänenquellen ausgehen, die möglicherweise noch nicht durch Threat-Intelligence-Feeds, die von der breiteren Sicherheitsgemeinschaft verwaltet werden, noch nicht klassifiziert wurden.

Derzeit bietet DNS Firewall Advanced Schutz vor: 
+ Algorithmen zur Domänengenerierung () DGAs

  DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.
+ DNS-Tunneling

  DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.
+ Wörterbuch: DGA

  Wörterbücher DGAs werden von Angreifern verwendet, um mithilfe von Wörterbuchwörtern Domains zu generieren, um der Entdeckung in der command-and-control Malware-Kommunikation zu entgehen.

Informationen zum Erstellen von Regeln finden Sie unter [Erstellen einer Regelgruppe und -regeln](resolver-dns-firewall-rule-group-adding.md) und[Regeleinstellungen in der DNS-Firewall](resolver-dns-firewall-rule-settings.md). 

**Beseitigung von False-Positive-Szenarien**  
Wenn Sie in Regeln, die erweiterte DNS-Firewall-Schutzfunktionen zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, gehen Sie wie folgt vor: 

1. Identifizieren Sie in den VPC-Resolver-Protokollen die Regelgruppe und die erweiterten Schutzmaßnahmen der DNS-Firewall, die den Fehlalarm verursacht haben. Dazu finden Sie das Protokoll für die Abfrage, die die DNS-Firewall blockiert, aber die Sie zulassen möchten. Im Protokolleintrag sind die Regelgruppe, die Regelaktion und der erweiterte DNS-Firewall-Schutz aufgeführt. Weitere Informationen über Protokolle finden Sie unter [Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md).

1. Erstellen Sie eine neue Regel in der Regelgruppe, die die blockierte Abfrage explizit zulässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anweisungen zur Regelgruppen- und Regelverwaltung unter [Erstellen einer Regelgruppe und -regeln](resolver-dns-firewall-rule-group-adding.md).

1. Priorisieren Sie die neue Regel innerhalb der Regelgruppe, sodass sie vor der Regel ausgeführt wird, die die verwalteten Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regelgruppe aktualisiert haben, lässt die neue Regel explizit den Domainnamen zu, den Sie zulassen möchten, bevor die Blockierungsregel ausgeführt wird. 

# Konfigurieren der Protokollierung für DNS Firewall
<a name="firewall-resolver-query-logs-configuring"></a>

 Sie können Ihre DNS-Firewall-Regeln anhand von CloudWatch Amazon-Metriken und Resolver-Abfrageprotokollen auswerten. Die Protokolle enthalten den Namen der Domainliste für alle Warnungen und Blockierungsaktionen. Weitere Informationen zu Amazon finden CloudWatch Sie unter[Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).

Wenn Sie die DNS-Firewall aktivieren, ordnen Sie sie einer VPC zu und Sie haben die Protokollierung aktiviert, ` firewall_rule_group_id`, `firewall_rule_action` und ` firewall_domain_list_id` sind die DNS-Firewall-spezifischen Felder, die in Ihren Protokollen bereitgestellt werden.

**Anmerkung**  
 In den Abfrageprotokollen werden die zusätzlichen DNS-Firewall-Felder nur für die Abfragen angezeigt, die durch DNS-Firewall-Regeln blockiert werden.

Um mit der Protokollierung der DNS-Abfragen zu beginnen, die nach DNS-Firewall-Regeln gefiltert werden, die ihren Ursprung in Ihrem haben VPCs, führen Sie die folgenden Aufgaben in der Amazon Route 53-Konsole aus:<a name="firewall-resolver-query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung der Resolver-Abfrage für die DNS-Firewall**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken (![\[Menu icon\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/menu-icon.png)) aus.

1. Wählen Sie im Resolver-Menü die Option **Abfrageprotokollierung**.

1. Wählen Sie in der Regionsauswahl die AWS Region aus, in der Sie die Konfiguration für die Abfrageprotokollierung erstellen möchten. 

   Dies muss dieselbe Region sein, in der Sie VPCs die mit der DNS-Firewall verknüpften Regionen erstellt haben, für die Sie Abfragen protokollieren möchten. Wenn Sie VPCs in mehreren Regionen arbeiten, müssen Sie mindestens eine Konfiguration für die Abfrageprotokollierung für jede Region erstellen.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung**.

1. Geben Sie die folgenden Werte an:  
**Name der Abfrageprotokollierungskonfiguration**  
Geben Sie einen Namen für Ihre Abfrageprotokollierungskonfiguration ein. Der Name wird in der Konsole in der Liste der Konfigurationen für die Abfrageprotokollierung angezeigt. Geben Sie einen Namen ein, den Sie später bei der Suche nach dieser Konfiguration unterstützen.  
**Ziel der Abfrageprotokolle**  
Wählen Sie den AWS Ressourcentyp aus, an den VPC Resolver Abfrageprotokolle senden soll. Informationen zur Auswahl zwischen den Optionen (CloudWatch Logs-Protokollgruppe, S3-Bucket und Firehose-Lieferstream) finden Sie unter[AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).  
Nachdem Sie den Ressourcentyp ausgewählt haben, können Sie entweder eine weitere Ressource dieses Typs erstellen oder eine vorhandene Ressource auswählen, die mit dem aktuellen AWS Konto erstellt wurde.  
Sie können nur Ressourcen auswählen, die in der AWS -Region erstellt wurden, die Sie in Schritt 4 ausgewählt haben, der Region, in der Sie die Abfrageprotokollierungskonfiguration erstellen. Wenn Sie eine neue Ressource erstellen, wird diese Ressource in derselben Region erstellt.  
**VPCs um Abfragen zu protokollieren für**  
Bei dieser Konfiguration für die Abfrageprotokollierung werden DNS-Abfragen protokolliert, die ihren Ursprung in der VPCs von Ihnen ausgewählten Datei haben. **Aktivieren Sie das Kontrollkästchen für jede VPC in der aktuellen Region, für die VPC Resolver Abfragen protokollieren soll, und wählen Sie dann Wählen aus.**  
Die VPC-Protokollzustellung kann für einen bestimmten Zieltyp nur einmal aktiviert werden. Die Protokolle können nicht an mehrere Ziele desselben Typs übermittelt werden. Beispielsweise können VPC-Protokolle nicht an zwei Amazon-S3-Ziele übermittelt werden.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung**.

**Anmerkung**  
Sie sollten innerhalb weniger Minuten nach erfolgreicher Erstellung der Konfiguration für die Abfrageprotokollierung DNS-Abfragen von Ressourcen in Ihrer VPC in den Protokollen anzeigen.

# Resolver-DNS-Firewall-Regelgruppen zwischen Konten teilen AWS
<a name="resolver-dns-firewall-rule-group-sharing"></a>

Sie können DNS-Firewall-Regelgruppen für mehrere AWS Konten gemeinsam nutzen. Um Regelgruppen gemeinsam zu nutzen, verwenden Sie AWS Resource Access Manager (AWS RAM). Die DNS-Firewall-Konsole ist in die AWS RAM Konsole integriert. Weitere Informationen zu AWS RAM finden Sie im [Resource Access Manager Manager-Benutzerhandbuch](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Beachten Sie Folgendes:

**Gemeinsame Regelgruppen zuordnen mit VPCs**  
Wenn ein anderes AWS Konto eine Regelgruppe mit Ihrem Konto geteilt hat, können Sie sie Ihrem VPCs Konto zuordnen, genauso wie Sie Regelgruppen zuordnen, die Sie erstellt haben. Weitere Informationen finden Sie unter [Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten](resolver-dns-firewall-vpc-associating-rule-group.md).

**Löschen oder Aufheben der Freigabe einer freigegebenen Regelgruppe**  
Wenn Sie eine Regelgruppe gemeinsam mit anderen Konten verwenden und dann entweder die Regelgruppe löschen oder die gemeinsame Nutzung beenden, entfernt die DNS-Firewall alle Verknüpfungen, die die anderen Konten zwischen der Regelgruppe und ihren Konten erstellt haben VPCs. 

**Maximale Einstellungen für Regelgruppen und -zuordnungen**  
Gemeinsam genutzte Regelgruppen und ihre Verknüpfungen zu VPCs sind in der Anzahl der Konten enthalten, mit denen die Regelgruppen gemeinsam genutzt werden.   
Aktuelle Kontingente für DNS-Firewall finden Sie unter [Kontingente auf der Resolver DNS Firewall](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).

**Berechtigungen**  
Um eine Regelgruppe mit einem anderen AWS Konto zu teilen, benötigen Sie die Berechtigung, die [PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)Aktion zu verwenden.

**Einschränkungen für das AWS Konto, mit dem eine Regelgruppe geteilt wird**  
Das Konto, für das eine Regelgruppe freigegeben werden, kann die Regelgruppe nicht ändern oder löschen. 

**Tagging**  
Nur das Konto, das eine Regelgruppe erstellt hat, kann Tags zu dieser hinzufügen, löschen oder anzeigen.

Führen Sie die folgenden Schritte aus, um den aktuellen Freigabestatus einer Regelgruppe (einschließlich der Regelgruppe, das die Regelgruppe freigegeben hat, oder des Kontos, für das eine Regelgruppe freigegeben wurde) anzuzeigen und um Regelgruppen für ein anderes Konto freizugeben.

**Um den Freigabestatus einzusehen und Regelgruppen für ein anderes AWS Konto freizugeben**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Rule groups** (Regelgruppen).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regelgruppe erstellt haben.

   Die Spalte **Sharing status (Freigabestatus)** zeigt den aktuellen Freigabestatus der Regelgruppen, die von dem aktuellen Konto erstellt wurden oder die für das aktuelle Konto freigegeben wurden:
   + **Nicht geteilt**: Das aktuelle AWS Konto hat die Regelgruppe erstellt, und die Regelgruppe wird nicht mit anderen Konten geteilt.
   + **Shared by me (Von mir freigegeben)**: Das aktuelle Konto hat die Regelgruppe erstellt und für ein oder mehrere Konten freigegeben.
   + **Shared with me (Für mich freigegeben)**: Ein anderes Konto hat die Regelgruppe erstellt und für das aktuelle Konto freigegeben.

1. Wählen Sie den Namen der Regelgruppen, für die Sie Freigabeinformationen anzeigen möchten oder die Sie für ein anderes Konto freigeben möchten.

   Auf der *rule group name* Seite **Regelgruppe:** zeigt der Wert unter **Besitzer** die ID des Kontos an, mit dem die Regelgruppe erstellt wurde. Dies ist das aktuelle Konto, sofern der Wert unter **Sharing Status (Freigabestatus)** nicht **Shared with me (Für mich freigegeben)** lautet. In diesem Fall ist **Besitzer** das Konto, das die Regelgruppe erstellt und sie mit dem aktuellen Konto geteilt hat.

1. Wählen Sie **Share (Freigeben)**, um zusätzliche Informationen anzuzeigen oder die Regelgruppe für ein anderes Konto freizugeben. Abhängig vom Wert für den **Freigabestatus** wird eine Seite in der AWS RAM Konsole angezeigt:
   + **Not shared (Nicht freigegeben)**: Die Seite **Create resource share (Ressourcenfreigabe erstellen)** wird angezeigt. Informationen zum Freigeben der Regelgruppe für ein anderes Konto, eine andere Organisationseinheit oder Organisation erhalten Sie unter dem folgenden Schritt.
   + **Shared by me (Von mir freigegeben)**: Die Seite **Shared resources (Freigegebene Ressourcen)** zeigt die Regelgruppen und andere Ressourcen, die zu dem aktuellen Konto gehören und für andere Konten freigegeben wurden.
   + **Shared with me (Für mich freigegeben)**: Die Seite **Shared resources (Freigegebene Ressourcen)** zeigt die Regelgruppen und andere Ressourcen, die zu anderen Konten gehören und für das aktuelle Konto freigegeben wurden.

1. Um eine Regelgruppe mit einem anderen AWS Konto, einer anderen Organisationseinheit oder Organisation zu teilen, geben Sie die folgenden Werte an.
**Anmerkung**  
Sie können keine Freigabeeinstellungen aktualisieren. Um eine der folgenden Einstellungen zu ändern, müssen Sie eine Regelgruppe mit den neuen Einstellungen freigeben und die alten Freigabeeinstellungen anschließend entfernen.  
**Description**  
Geben Sie eine Kurzbeschreibung ein, mit der Sie sich den Grund für die Freigabe der Regelgruppe merken können.  
**Ressourcen**  
Aktivieren Sie das Kontrollkästchen für die Regelgruppe, die Sie freigeben möchten.  
**Prinzipale**  
Geben Sie die AWS Kontonummer, den Namen der Organisationseinheit oder den Namen der Organisation ein.  
**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können beispielsweise **Cost center** für **Key** und **456** für **Value** angeben.  
Dies sind die Tags, mit AWS Fakturierung und Kostenmanagement denen Sie Ihre AWS Rechnung organisieren können. Sie können Tags auch für andere Zwecke verwenden. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*.

# Aktivierung des Resolver-DNS-Firewall-Schutzes für Ihre VPC
<a name="resolver-dns-firewall-vpc-protections"></a>

Sie aktivieren den Schutz der DNS-Firewall für Ihre VPC, indem Sie einer oder mehreren Regelgruppen der VPC zuordnen. Immer wenn eine VPC einer DNS-Firewall-Regelgruppe zugeordnet ist, bietet Route 53 VPC Resolver die folgenden DNS-Firewall-Schutzmaßnahmen: 
+ VPC Resolver leitet die ausgehenden DNS-Abfragen der VPC über die DNS-Firewall weiter, und die DNS-Firewall filtert die Abfragen mithilfe der zugehörigen Regelgruppen. 
+ VPC Resolver erzwingt die Einstellungen in der DNS-Firewall-Konfiguration der VPC. 

Um DNS-Firewall-Schutz für Ihre VPC bereitzustellen, gehen Sie wie folgt vor: 
+ Erstellen und verwalten Sie Verknüpfungen zwischen Ihren DNS-Firewall-Regelgruppen und Ihrer VPC. Informationen zu Regelgruppen finden Sie unter [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).
+ Konfigurieren Sie, wie VPC Resolver DNS-Abfragen für die VPC während eines Fehlers verarbeiten soll, z. B. wenn die DNS-Firewall keine Antwort auf eine DNS-Anfrage liefert.

# Zuordnungen zwischen Ihrer VPC und der Resolver DNS Firewall-Regelgruppe verwalten
<a name="resolver-dns-firewall-vpc-associating-rule-group"></a>

**So zeigen Sie die VPC Zuordnungen einer Regelgruppe an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

   Wählen Sie im Navigationsbereich die Option **DNS-Firewall** aus, um die Seite **Regelgruppen** der DNS-Firewall in der Amazon-VPC-Konsole zu öffnen.

   - ODER - 

   Melden Sie sich in der AWS-Managementkonsole an und öffnen Sie die Seite . 

   die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 

1. Wählen Sie im Navigationsbereich unter **DNS-Firewall** die Option **Regelgruppen** aus.

1. Wählen Sie in der Navigationsleiste die Region für die Regelgruppe aus. 

1. Wählen Sie die Regelgruppe aus, die Sie zuordnen möchten.

1. Wählen Sie die Option **Details anzeigen** aus. Die Regelgruppe wird angezeigt. 

1. Unten sehen Sie einen Detailbereich mit Registern, der Regeln und zugehörige Regeln enthält. VPCs Wählen Sie die Registerkarte Zugeordnet**. VPCs**

**So verknüpfen Sie eine Regelgruppe mit einer VPC**

1. Suchen Sie die VPC-Zuordnungen der Regelgruppe, indem Sie die Anweisungen [im vorherigen Verfahren](resolver-dns-firewall-rule-group-sharing.md) **So zeigen Sie die VPC-Zuordnungen einer Regelgruppe** befolgen. 

1. **Wählen Sie auf der VPCs Registerkarte Zugeordnet die Option **Associate VPC** aus.**

1. Suchen Sie im Dropdown-Menü die VPC, die Sie mit der Regelgruppe verknüpfen möchten. Wählen Sie es aus und wählen Sie **Zuordnung von** aus.

Auf der Regelgruppenseite ist Ihre VPC auf der VPCs Registerkarte Zugeordnet **aufgeführt**. Zunächst meldet der **Status** der Zuordnung **Aktualisieren**. Wenn die Zuordnung abgeschlossen ist, ändert sich der Status in **Abgeschlossen**. 

**So entfernen Sie eine Zuordnung zwischen einer Regelgruppe und einer VPC**

1. Suchen Sie die VPC-Zuordnungen der Regelgruppe, indem Sie die Anweisungen [im vorherigen Verfahren](resolver-dns-firewall-rule-group-sharing.md) **So zeigen Sie die VPC-Zuordnungen einer Regelgruppe** befolgen. 

1. Wählen Sie die VPC aus, die Sie aus der Liste entfernen möchten, und wählen Sie dann **Disassociate** aus. Überprüfen Sie und bestätigen Sie die Aktion. 

Auf der Regelgruppenseite wird Ihre VPC auf der VPCs Registerkarte Zugeordnet mit dem Status ****Disassociated**** aufgeführt. Nach Abschluss des Vorgangs aktualisiert die DNS-Firewall die Liste, um die VPC zu entfernen. 

# Konfiguration der DNS-Firewall-VPC
<a name="resolver-dns-firewall-vpc-configuration"></a>

Die DNS-Firewall-Konfiguration für Ihre VPC bestimmt, ob Route 53 VPC Resolver Abfragen zulässt oder sie bei Ausfällen blockiert, z. B. wenn die DNS-Firewall beeinträchtigt ist, nicht reagiert oder in der Zone nicht verfügbar ist. VPC Resolver erzwingt die Firewallkonfiguration einer VPC, wenn Sie eine oder mehrere DNS-Firewall-Regelgruppen mit der VPC verknüpft haben.

Sie können eine VPC so konfigurieren, dass sie nicht geöffnet oder nicht geschlossen wird. 
+ Standardmäßig ist der Fehlermodus geschlossen, was bedeutet, dass VPC Resolver alle Abfragen blockiert, für die er keine Antwort von der DNS-Firewall erhält, und eine ` SERVFAIL` DNS-Antwort sendet. Dieser Ansatz begünstigt Sicherheit gegenüber Verfügbarkeit. 
+ Wenn Sie Fail Open aktivieren, lässt VPC Resolver Abfragen durch, wenn er keine Antwort von der DNS-Firewall erhält. Dieser Ansatz begünstigt die Verfügbarkeit gegenüber der Sicherheit. 

**So ändern Sie die Konfiguration der DNS-Firewall für eine VPC (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die VPC Resolver-Konsole unter. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. Wählen Sie im Navigationsbereich unter **Resolvers** die Option. **VPCs** 

1. Suchen Sie auf der **VPCs**Seite die VPC und bearbeiten Sie sie. Ändern Sie die Konfiguration der DNS-Firewall so, dass sie bei Bedarf nicht geöffnet oder nicht geschlossen wird. 

**So ändern Sie das Verhalten der DNS-Firewall für eine VPC (API)**
+ Aktualisieren Sie Ihre VPC-Firewallkonfiguration, indem Sie anrufen [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)und diese aktivieren oder deaktivieren` FirewallFailOpen`. 

Sie können eine Liste Ihrer VPC-Firewall-Konfigurationen über die API abrufen, indem Sie aufrufen [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html).