Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Reglas y grupos de reglas de DNS Firewall
<a name="resolver-dns-firewall-rule-groups"></a>

En esta sección se describen los ajustes que puede configurar para los grupos de reglas y reglas del Firewall de DNS, a fin de definir el comportamiento del Firewall de DNS para usted VPCs. También se describe cómo administrar la configuración de las reglas y los grupos de reglas. 

Cuando los grupos de reglas estén configurados según sus preferencias, los puede usar directamente, así como compartirlos y administrarlos, entre cuentas y en toda la organización en AWS Organizations.
+ Puede asociar un grupo de reglas a varios VPCs para proporcionar un comportamiento coherente en toda la organización. Para obtener información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Puede compartir grupos de reglas entre cuentas para obtener una administración coherente de consultas de DNS en toda la organización. Para obtener información, consulte [Compartir los grupos de reglas de Resolver DNS Firewall entre cuentas AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Puede usar grupos de reglas en toda su organización AWS Organizations administrándolos en AWS Firewall Manager políticas. Para obtener información sobre Firewall Manager, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la AWS WAF guía para * AWS Shield Advanced desarrolladores y la guía para desarrolladores*. AWS Firewall Manager

# Configuración del grupo de reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Al crear o editar un grupo de reglas de DNS Firewall, debe especificar los siguientes valores:

**Name**  
Un nombre único fácil de recordar que permita encontrar fácilmente un grupo de reglas en el panel.

**(Opcional) Descripción**  
Una breve descripción que proporcione más contexto para el grupo de reglas. 

**Region**  
La AWS región que elija al crear el grupo de reglas. Un grupo de reglas creado en una región solo estará disponible en esa región. Para utilizar el mismo grupo de reglas en más de una región, debe crearlo en cada región.

**Reglas**  
El comportamiento de filtrado del grupo de reglas está incluido en sus reglas. Para obtener información, consulte la siguiente sección.

**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).  
Estas son las etiquetas Administración de facturación y costos de AWS que permiten organizar su AWS factura. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.

# Configuración de las reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Al crear o editar una regla de un grupo de reglas de DNS Firewall, debe especificar los siguientes valores:

**Name**  
Un identificador único de la regla del grupo de reglas.

**(Opcional) Descripción**  
Una breve descripción que proporciona más información acerca de la regla. 

**Lista de dominios**  
La lista de dominios que inspecciona la regla. Puede crear y administrar sus propias listas de dominios, o bien puede suscribirse a una lista de dominios que AWS administra automáticamente. Para obtener más información, consulte [Listas de dominios del firewall de DNS de Resolver](resolver-dns-firewall-domain-lists.md).   
Una regla puede contener una lista de dominios o una protección de DNS Firewall Advanced, pero no ambas.

**Configuración de redireccionamiento de dominios (solo listas de dominios)**  
Puede elegir que la regla de DNS Firewall inspeccione únicamente el primer dominio o todos (de forma predeterminada) los dominios de la cadena de redireccionamiento de DNS, como CNAME, DNAME, etc. Si decide inspeccionar todos los dominios, debe añadir los dominios subsiguientes de la cadena de redireccionamiento de DNS a la lista de dominios y establecer la acción que desee que lleve a cabo la regla: ALLOW, BLOCK o ALERT. Para obtener más información, consulte [Componentes y ajustes del firewall DNS de Resolver](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
El comportamiento de confianza de la configuración de redireccionamiento de dominios solo se aplica a una única transacción de consulta de DNS. Si un cliente DNS de su host consulta por separado un dominio que aparece en una cadena de redireccionamiento de DNS (por ejemplo, si consulta directamente al destino de la redirección), DNS Firewall la evalúa como una consulta independiente sin contexto de confianza respecto a la consulta original. Para permitir este tipo de consultas, añada los dominios de destino de la redirección a su lista de dominios.

**Tipo de consulta (solo listas de dominios)**  
La lista de tipos de consultas de DNS que inspecciona la regla. Los siguientes valores son válidos:  
+  R: Devuelve una IPv4 dirección.
+ AAAA: devuelve una dirección Ipv6.
+ CAA: Limita la CAs posibilidad de crear SSL/TLS certificaciones para el dominio.
+ CNAME: devuelve otro nombre de dominio.
+ DS: registro que identifica la clave de firma del DNSSEC de una zona delegada.
+ MX: especifica los servidores de correo.
+ NAPTR: Regular-expression-based reescritura de nombres de dominio.
+ NS: servidores de nombres autorizados.
+ PTR: asigna una dirección IP a un nombre de dominio.
+ SOA: registro de inicio de autoridad de la zona.
+ SPF: muestra los servidores autorizados a enviar correos electrónicos desde un dominio.
+ SRV: valores específicos de la aplicación que identifican a los servidores.
+ TXT: verifica los remitentes de correo electrónico y los valores específicos de la aplicación.
+ Un tipo de consulta que se define mediante el ID de tipo de DNS, por ejemplo, 28 para AAAA. Los valores deben definirse como TYPE* NUMBER*, donde *NUMBER* pueden estar comprendidos entre 1 y 65334, por ejemplo. TYPE28 Para obtener más información, consulte la sección [Lista de tipos de registros de DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Puede crear un tipo de consulta por regla.
**nota**  
Si configuras una regla de bloqueo de firewall con la acción NXDOMAIN en el tipo de consulta igual a AAAA, esta acción no se aplicará a IPv6 las direcciones sintéticas generadas cuando esté habilitada. DNS64 

**Protección de DNS Firewall Advanced**  
Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede elegir que se proteja de lo siguiente:  
+ Algoritmos de generación de dominios () DGAs

  DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Túneles de DNS

  Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
+ Diccionario (DGA)

  Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malwarecommand-and-control .
En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas.   
Para obtener más información, vea Para obtener más información, consulte [Resolver DNS Firewall Advanced](firewall-advanced.md).   
Una regla puede contener una protección de DNS Firewall Advanced o una lista de dominios, pero no ambas.

**Umbral de confianza (solo con DNS Firewall Advanced)**  
El umbral de confianza para DNS Firewall Advanced. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:  
+ Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.
+ Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.
+ Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.
Para obtener más información, consulte [Configuración de las reglas en DNS Firewall](#resolver-dns-firewall-rule-settings). 

**Action**  
Cómo desea que DNS Firewall gestione una consulta de DNS cuyo nombre de dominio coincida con las especificaciones de la lista de dominios de la regla. Para obtener más información, consulte [Acciones de regla en DNS Firewall](resolver-dns-firewall-rule-actions.md). 

**Priority (Prioridad)**  
Configuración única de entero positivo para la regla del grupo de reglas que determina el orden de procesamiento. DNS Firewall inspecciona las consultas de DNS en las reglas de un grupo de reglas, comenzando por la configuración de prioridad numérica más baja y aumentando esta prioridad. Puede cambiar la prioridad de una regla en cualquier momento; por ejemplo, para cambiar el orden de procesamiento o dejar espacio para otras reglas. 

# Acciones de regla en DNS Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Cuando DNS Firewall encuentra una coincidencia entre una consulta de DNS y una especificación de dominio en una regla, aplica a la consulta la acción especificada en la regla. 

Se le pide que especifique una de las opciones siguientes en cada regla que cree: 
+ **Allow**— Deja de inspeccionar la consulta y deja que se complete. No está disponible para DNS Firewall Advanced.
+ **Alert**— Deje de inspeccionar la consulta, deje que se realice y registre una alerta para la consulta en los registros de VPC Resolver de Route 53. 
+ **Block**— Interrumpa la inspección de la consulta, impida que vaya al destino previsto y registre la acción de bloqueo de la consulta en los registros de VPC Resolver de Route 53. 

  Responda con la respuesta de bloqueo configurada, a partir de lo siguiente: 
  + **NODATA**— Responda indicando que la consulta se ha realizado correctamente, pero no hay ninguna respuesta disponible para ella.
  + **NXDOMAIN**— Responda indicando que el nombre de dominio de la consulta no existe.
  + **OVERRIDE**— Proporcione una anulación personalizada en la respuesta. Esta opción requiere los siguientes ajustes adicionales: 
    + **Record value**— El registro DNS personalizado que se devolverá en respuesta a la consulta. 
    + **Record type**— El tipo de registro DNS. Esto determina el formato del valor del registro. Debe ser `CNAME`.
    + **Time to live in seconds**— El tiempo recomendado para que la resolución de DNS o el navegador web almacenen en caché el registro de anulación y lo utilicen en respuesta a esta consulta, si se vuelve a recibir. De forma predeterminada, es cero y el registro no se almacena en caché.

Para obtener más información acerca de la configuración de registros de consulta y el contenido, consulte [Registro de consultas de Resolver](resolver-query-logs.md) y [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md). 

**Use Alert para probar las reglas de bloqueo**  
Cuando cree por primera vez una regla de bloqueo, puede probarla configurándola con la acción establecida en Alert. A continuación, puede examinar el número de consultas sobre las que avisa la regla para ver cuántas se bloquearían si establece la acción en Block. 

# Administración de reglas y grupos de reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-group-managing"></a>

Para administrar reglas y grupos de reglas en la consola, siga las instrucciones de esta sección.

Cuando realiza cambios en las entidades de DNS Firewall, como reglas y listas de dominios, DNS Firewall propaga los cambios en todos los lugares donde se almacenan y utilizan las entidades. Los cambios se aplican en cuestión de segundos, pero puede haber un breve período de incoherencia en el que los cambios hayan llegado en algunos lugares y en otros no. Por ejemplo, si agrega un dominio a una lista de dominios a la que hace referencia una regla de bloqueo, es posible que el nuevo dominio se bloquee brevemente en un área de la VPC pero se permita en otra. Esta incoherencia temporal puede producirse al configurar por primera vez el grupo de reglas y asociaciones de VPC, y al cambiar la configuración existente. Generalmente, las incoherencias de este tipo duran solo unos segundos.

# Creación de reglas y de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-adding"></a>

Para crear un grupo de reglas y añadirle reglas, siga los pasos de este procedimiento.

**Creación de un grupo de reglas y sus reglas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Elija **Add rule group** (Agregar grupo de reglas) y, a continuación, siga las instrucciones del asistente para especificar la configuración de la regla y del grupo de reglas.

   Para obtener información acerca de los valores de los grupos de reglas, consulte [Configuración del grupo de reglas en DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Para obtener información acerca de los valores para las reglas, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Visualización y actualización de reglas y de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-editing"></a>

Utilice el siguiente procedimiento para ver los grupos de reglas y las reglas que se les han asignado. También puede actualizar el grupo de reglas y la configuración de reglas.

**Visualización y actualización de un grupo de reglas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Seleccione el grupo de reglas que desea ver o editar y, a continuación, elija **View details** (Ver detalles). 

1. En la página del grupo de reglas puede ver y editar la configuración.

   Para obtener información acerca de los valores de los grupos de reglas, consulte [Configuración del grupo de reglas en DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Para obtener información acerca de los valores para las reglas, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Eliminación de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Para eliminar un grupo de reglas, realice el procedimiento siguiente.

**importante**  
Si elimina un grupo de reglas asociado a una VPC, DNS Firewall quita la asociación y detiene las protecciones que el grupo de reglas estaba proporcionando a la VPC. 

**Eliminación de entidades de DNS Firewall**  
Cuando elimina una entidad que puede usar en DNS Firewall, como una lista de dominios que podría estar en uso en un grupo de reglas, o un grupo de reglas que podría estar asociado a una VPC, DNS Firewall verifica si la entidad se está utilizando actualmente. Si descubre que está en uso, DNS Firewall le avisa. DNS Firewall casi siempre sabe determinar si alguna entidad está en uso. No obstante, es posible que en algunos casos no consiga hacerlo. Si tiene que asegurarse de que no hay nada que esté utilizando actualmente la entidad, verifique las configuraciones de DNS Firewall antes de eliminarla. Si la entidad es una lista de dominios a la que se hace referencia, verifique que ningún grupo de reglas la esté utilizando. Si la entidad es un grupo de reglas, compruebe que no esté asociada a ninguno VPCs.

**Para eliminar un grupo de reglas:**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Seleccione el grupo de reglas que desee eliminar y, a continuación, seleccione **Eliminar** y confirme la eliminación.