Configuración de las reglas en DNS Firewall - Amazon Route 53

Configuración de las reglas en DNS Firewall

Al crear o editar una regla de un grupo de reglas de DNS Firewall, debe especificar los siguientes valores:

Nombre

Un identificador único de la regla del grupo de reglas.

(Opcional) Descripción

Una breve descripción que proporciona más información acerca de la regla.

Lista de dominios

La lista de dominios que inspecciona la regla. Puede crear y administrar sus propias listas de dominios, o bien puede suscribirse a una lista de dominios que AWS administra automáticamente. Para obtener más información, consulte Listas de dominios de DNS Firewall de Route 53 Resolver.

Configuración de redireccionamiento de un dominio

Puede elegir que la regla de DNS Firewall inspeccione únicamente el primer dominio o todos (de forma predeterminada) los dominios de la cadena de redireccionamiento de DNS, como CNAME, DNAME, etc. Si decide inspeccionar todos los dominios, debe añadir los dominios subsiguientes de la cadena de redireccionamiento de DNS a la lista de dominios y establecer la acción que desee que lleve a cabo la regla: ALLOW, BLOCK o ALERT. Para obtener más información, consulte Componentes y configuración de DNS Firewall de Route 53 Resolver.

Tipo de consulta

La lista de tipos de consultas de DNS que inspecciona la regla. Los siguientes valores son válidos:

  • A: devuelve una dirección IPv4.

  • AAAA: devuelve una dirección Ipv6.

  • CAA: restringe las CA que pueden crear certificaciones SSL/TLS para el dominio.

  • CNAME: devuelve otro nombre de dominio.

  • DS: registro que identifica la clave de firma del DNSSEC de una zona delegada.

  • MX: especifica los servidores de correo.

  • NAPTR: reescritura de nombres de dominio basada en expresiones regulares.

  • NS: servidores de nombres autorizados.

  • PTR: asigna una dirección IP a un nombre de dominio.

  • SOA: registro de inicio de autoridad de la zona.

  • SPF: muestra los servidores autorizados a enviar correos electrónicos desde un dominio.

  • SRV: valores específicos de la aplicación que identifican a los servidores.

  • TXT: verifica los remitentes de correo electrónico y los valores específicos de la aplicación.

  • Un tipo de consulta que se define mediante el ID de tipo de DNS, por ejemplo, 28 para AAAA. Los valores deben definirse como TYPENÚMERO, donde el NÚMERO puede estar comprendido entre 1 y 65334, por ejemplo, TYPE28. Para obtener más información, consulte la sección Lista de tipos de registros de DNS.

    Puede crear un tipo de consulta por regla.

    nota

    Si configura una regla de BLOCK de firewall con la acción NXDOMAIN en el tipo de consulta igual a AAAA, esta acción no se aplicará a las direcciones IPv6 sintéticas generadas cuando DNS64 esté habilitado.

Acción

Cómo desea que DNS Firewall gestione una consulta de DNS cuyo nombre de dominio coincida con las especificaciones de la lista de dominios de la regla. Para obtener más información, consulte Acciones de regla en DNS Firewall.

Priority (Prioridad)

Configuración única de entero positivo para la regla del grupo de reglas que determina el orden de procesamiento. DNS Firewall inspecciona las consultas de DNS en las reglas de un grupo de reglas, comenzando por la configuración de prioridad numérica más baja y aumentando esta prioridad. Puede cambiar la prioridad de una regla en cualquier momento; por ejemplo, para cambiar el orden de procesamiento o dejar espacio para otras reglas.