Acciones de regla en DNS Firewall - Amazon Route 53

Acciones de regla en DNS Firewall

Cuando DNS Firewall encuentra una coincidencia entre una consulta de DNS y una especificación de dominio en una regla, aplica a la consulta la acción especificada en la regla.

Se le pide que especifique una de las opciones siguientes en cada regla que cree:

  • Allow: deje de inspeccionar la consulta y permita que pase por ella.

  • Alert: deje de inspeccionar la consulta, permita que pase por ella y registre una alerta para la consulta en los registros de Route 53 Resolver.

  • Block: interrumpa la inspección de la consulta, bloquee su destino previsto y registre la acción de bloqueo para la consulta en los registros de Route 53 Resolver.

    Responda con la respuesta de bloqueo configurada, a partir de lo siguiente:

    • NODATA: responde al indicar que la consulta se realizó correctamente, pero no hay respuesta disponible para ella.

    • NXDOMAIN: responda al indicar que el nombre de dominio de la consulta no existe.

    • OVERRIDE: proporciona una anulación personalizada en la respuesta. Esta opción requiere la siguiente configuración adicional:

      • Record value: el registro de DNS personalizado que se va a enviar de vuelta en respuesta a la consulta.

      • Record type: el tipo del registro de DNS. Esto determina el formato del valor de registro. Debe ser CNAME.

      • Time to live in seconds: la cantidad de tiempo recomendada para que el solucionador de DNS o el navegador web almacenen en caché el registro de anulación y lo utilicen en respuesta a esta consulta, si se vuelve a recibir. De forma predeterminada, es cero y el registro no se almacena en caché.

Para obtener más información acerca de la configuración de registros de consulta y el contenido, consulte Registro de consultas de Resolver y Valores que aparecen en los registros de consulta de Resolver.

Use Alert para probar las reglas de bloqueo

Cuando cree por primera vez una regla de bloqueo, puede probarla configurándola con la acción establecida en Alert. A continuación, puede examinar el número de consultas sobre las que avisa la regla para ver cuántas se bloquearían si establece la acción en Block.