Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de DNS Firewall para filtrar el tráfico de DNS saliente
<a name="resolver-dns-firewall"></a>

Con Resolver DNS Firewall, puede filtrar y regular el tráfico DNS saliente para su nube privada virtual (VPC). Para ello, cree colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, asocie los grupos de reglas a su VPC y, a continuación, monitoree la actividad en los registros y métricas de DNS Firewall. En función de la actividad, puede ajustar el comportamiento de DNS Firewall según corresponda. 

El firewall de DNS proporciona protección para sus solicitudes de DNS salientes. VPCs Estas solicitudes se envían a través de VPC Resolver para la resolución de nombres de dominio. Un uso principal de las protecciones de DNS Firewall es ayudar a evitar la filtración de datos DNS. La filtración de datos DNS puede ocurrir cuando un agente malintencionado pone en peligro una instancia de aplicación en su VPC y, a continuación, utiliza la búsqueda DNS para enviar datos fuera de la VPC a un dominio que controla. Con DNS Firewall, puede monitorear y controlar los dominios que las aplicaciones pueden consultar. Puede denegar el acceso a los dominios que sabe que son malos y permitir que pasen el resto de consultas. También puede denegar el acceso a todos los dominios, excepto a aquellos en los que confía explícitamente. 

También puede utilizar DNS Firewall para bloquear las solicitudes de resolución a los recursos de zonas alojadas privadas (compartidas o locales), incluidos los nombres de los puntos de enlace de VPC. Asimismo, puede bloquear solicitudes de nombres de instancias de Amazon EC2 públicas o privadas.

El firewall de DNS es una función de la resolución de VPC de Route 53 y no requiere ninguna configuración de resolución de VPC adicional para su uso. 

**AWS Firewall Manager es compatible con DNS Firewall**  
Puede usar Firewall Manager para configurar y administrar de forma centralizada las asociaciones de grupos de reglas del Firewall DNS para sus VPCs cuentas en AWS Organizations. Firewall Manager añade automáticamente las asociaciones VPCs que entran en el ámbito de aplicación de su política de Firewall Manager DNS Firewall. Para obtener más información, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la AWS WAF guía para * AWS Shield Advanced desarrolladores y la guía para desarrolladores*. AWS Firewall Manager

**Cómo funciona DNS Firewall con AWS Network Firewall**  
DNS Firewall y Network Firewall ofrecen filtrado de nombres de dominio, pero para diferentes tipos de tráfico. Con DNS Firewall y Network Firewall juntos, puede configurar el filtrado basado en dominio para el tráfico de la capa de aplicación en dos rutas de red diferentes. 
+ El firewall de DNS proporciona filtrado para las consultas de DNS salientes que pasan por la resolución de VPC de Route 53 desde las aplicaciones incluidas en su servidor. VPCs También puede configurar DNS Firewall a fin de enviar respuestas personalizadas para las consultas a nombres de dominio bloqueados. 
+ Network Firewall proporciona filtrado para el tráfico de la red y de la capa de aplicación, pero no tiene visibilidad de las consultas realizadas por Route 53 VPC Resolver. 

Para obtener más información sobre Network Firewall, consulte la [Guía para desarrolladores de Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

# Cómo funciona Resolver DNS Firewall
<a name="resolver-dns-firewall-overview"></a>

El firewall de DNS de Resolver le permite controlar el acceso a los sitios y bloquear las amenazas a nivel de DNS para las consultas de DNS que se envían desde su VPC a través del Resolver de VPC de Route 53. Con el firewall de DNS, usted define las reglas de filtrado de nombres de dominio en los grupos de reglas que asocia a su. VPCs Puede especificar listas de nombres de dominio para permitir o bloquear, o bien reglas avanzadas de Resolver DNS Firewall que ofrecen protección contra las amenazas basadas en los túneles de DNS y los algoritmos de generación de dominios (DGA). Puede personalizar las respuestas a las consultas de DNS que bloquee. En el caso de las reglas que contienen listas de dominios, también puede refinar estas reglas para permitir determinados tipos de consultas, como los registros MX. 

DNS Firewall solo filtra por el nombre de dominio. No resuelve ese nombre a una dirección IP que se va a bloquear. Además, DNS Firewall filtra el tráfico de DNS, pero no filtra otros protocolos de capa de aplicación, como HTTPS, SSH, TLS, FTP, entre otros.

## Componentes y ajustes del firewall DNS de Resolver
<a name="resolver-dns-firewall-components"></a>

Puede administrar DNS Firewall con los siguientes componentes y configuración centrales.

**Grupo de reglas de DNS Firewall**  
Define una colección, con nombre y reutilizable, de reglas de DNS Firewall para filtrar consultas de DNS. Rellene el grupo de reglas con las reglas de filtrado y, a continuación, asocie el grupo de reglas a una o más VPCs. Cuando se asocia un grupo de reglas a una VPC, se habilita el filtrado de DNS Firewall en la VPC. A continuación, cuando el Resolver de VPC recibe una consulta de DNS para una VPC que tiene un grupo de reglas asociado, el Resolver de VPC pasa la consulta al Firewall de DNS para que la filtre.   
Si asocia varios grupos de reglas a una sola VPC, indicará su orden de procesamiento a través de la configuración de prioridad de cada asociación. DNS Firewall procesa grupos de reglas para una VPC a partir de la configuración de prioridad numérica más baja activada.   
Para obtener más información, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md). 

**Regla de DNS Firewall**  
Define una regla de filtrado para consultas de DNS en un grupo de reglas de DNS Firewall. Cada regla especifica una lista de dominios o una protección de DNS Firewall y una acción que se debe realizar en relación con las consultas de DNS cuyos dominios coincidan con las especificaciones de dominios de la regla. Puede elegir que las consultas concordantes se acepten (solo en reglas con listas de dominios), se bloqueen, o bien que se emita una alerta sobre ellas. En las reglas con listas de dominios, también puede especificar tipos de consulta para los dominios de la lista; por ejemplo, puede bloquear o permitir un tipo de consulta MX para uno o varios dominios específicos. También se pueden definir respuestas personalizadas para las consultas bloqueadas.   
Cuando se trata de reglas de DNS Firewall, solo puede bloquear las consultas coincidentes o alertar sobre ellas.  
Cada regla de un grupo de reglas tiene una configuración de prioridad única en dicho grupo. DNS Firewall procesa las reglas en un grupo de reglas a partir de la configuración de prioridad numérica más baja activada.   
Las reglas de DNS Firewall solo existen en el contexto del grupo de reglas en el que están definidas. No se puede reutilizar una regla ni hacer referencia a ella con independencia de su grupo de reglas.   
Para obtener más información, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md). 

**Lista de dominios**  
Define una colección con nombre y reutilizable de especificaciones de dominio para su uso en el filtrado de DNS. Cada regla de un grupo de reglas requiere una lista única de dominios. Puede optar por especificar los dominios a los que desea permitir el acceso, a los que desea denegar el acceso o una combinación de ambos. Puede crear sus propias listas de dominios y utilizar listas de dominios que se AWS administren por usted.  
Para obtener más información, consulte [Listas de dominios del firewall de DNS de Resolver](resolver-dns-firewall-domain-lists.md). 

**Configuración de redireccionamiento de dominios (solo listas de dominios)**  
La configuración de redireccionamiento de dominios le permite configurar una regla de DNS Firewall para inspeccionar todos los dominios de la cadena de redireccionamiento de DNS (predeterminado), como CNAME, DNAME, entre otros, o solo el primer dominio y confiar en el resto. Si decide inspeccionar toda la cadena de redireccionamiento de DNS, debe agregar los dominios subsiguientes a una lista de dominios configurada como PERMITIDA en la regla. Si decide inspeccionar toda la cadena de redireccionamiento de DNS, debe añadir los dominios subsiguientes a una lista de dominios y establecer la acción que desea que lleve a cabo la regla: PERMITIR, BLOQUEAR o ALERTAR.  
Para obtener más información, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Tipo de consulta (solo listas de dominios)**  
La configuración del tipo de consulta le permite configurar una regla de DNS Firewall para filtrar un tipo de consulta de DNS concreto. Si no selecciona un tipo de consulta, la regla se aplica a todos los tipos de consultas de DNS. Por ejemplo, es posible que desee bloquear todos los tipos de consultas de un dominio concreto, pero permitir los registros MX.  
Para obtener más información, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Protección de DNS Firewall Advanced**  
Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Cada regla de un grupo de reglas requiere una configuración de protección única de DNS Firewall Advanced. Puede elegir que se proteja de lo siguiente:  
+ Algoritmos de generación de dominios (DGAs)

  DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Túneles de DNS

  Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
+ Diccionario (DGA)

  Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malware command-and-control.
En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas. Los algoritmos de protección contra amenazas son gestionados y actualizados por AWS.  
Para obtener más información, consulte [Resolver DNS Firewall Advanced](firewall-advanced.md). 

**Umbral de confianza (solo con protección de DNS Firewall Advanced)**  
El umbral de confianza para la protección contra las amenazas del DNS. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:  
+ Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.
+ Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.
+ Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.
Para obtener más información, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Asociación entre un grupo de reglas de DNS Firewall y una VPC**  
Define una protección para una VPC mediante un grupo de reglas de firewall de DNS y habilita la configuración del firewall de DNS de VPC Resolver para la VPC.   
Si asocia varios grupos de reglas a una sola VPC, indicará su orden de procesamiento a través de la configuración de prioridades en las asociaciones. DNS Firewall procesa grupos de reglas para una VPC a partir de la configuración de prioridad numérica más baja activada.   
Para obtener más información, consulte [Habilitar las protecciones de Resolver DNS Firewall para su VPC](resolver-dns-firewall-vpc-protections.md). 

**Configuración del firewall DNS para una VPC**  
Especifica cómo VPC Resolver debe gestionar las protecciones del firewall de DNS a nivel de VPC. Esta configuración está vigente siempre que tenga al menos un grupo de reglas de DNS Firewall asociado a la VPC.   
Esta configuración especifica la forma en que Route 53 VPC Resolver gestiona las consultas cuando el firewall de DNS no las filtra. De forma predeterminada, si el Resolver de VPC no recibe una respuesta del firewall de DNS para una consulta, no se cierra y bloquea la consulta.  
Para obtener más información, consulte [Configuración de la VPC de DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

**Supervisión de las acciones del DNS Firewall**  
Puede utilizar Amazon CloudWatch para supervisar el número de consultas de DNS que filtran los grupos de reglas del firewall de DNS. CloudWatch recopila y procesa datos sin procesar para convertirlos en métricas legibles y prácticamente en tiempo real.   
Para obtener más información, consulte [Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).  
Puede usar Amazon EventBridge, un servicio sin servidor que usa eventos para conectar los componentes de la aplicación y crear aplicaciones escalables basadas en eventos.  
Para obtener más información, consulte [Administrar los eventos de Resolver DNS Firewall mediante Amazon EventBridge](dns-firewall-eventbridge-integration.md).

## Cómo filtra Resolver DNS Firewall las consultas de DNS
<a name="resolver-dns-firewall-behavior"></a>

Cuando un grupo de reglas de firewall de DNS está asociado a la resolución de VPC Route 53 de su VPC, el firewall filtra el siguiente tráfico:
+ Consultas de DNS que se originan en esa VPC y que atraviesan el DNS de la VPC.
+ Consultas de DNS que pasan a través de los puntos de enlace de Resolver desde recursos locales a la misma VPC que tiene DNS Firewall asociado a su solucionador.

Cuando el Firewall de DNS recibe una consulta de DNS, la filtra mediante los grupos de reglas, las reglas y otros ajustes que haya configurado y envía los resultados a VPC Resolver: 
+ DNS Firewall evalúa la consulta de DNS con los grupos de reglas asociados a la VPC hasta que encuentre una coincidencia o agote todos los grupos de reglas. DNS Firewall evalúa los grupos de reglas según la prioridad establecida en la asociación, comenzando por la configuración numérica más baja. Para obtener más información, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md) y [Habilitar las protecciones de Resolver DNS Firewall para su VPC](resolver-dns-firewall-vpc-protections.md).
+ En cada grupo de reglas, DNS Firewall evalúa la consulta de DNS en relación con la lista de dominios de cada regla o con las protecciones de DNS Firewall Advanced hasta que encuentra una coincidencia o agota todas las reglas. DNS Firewall evalúa las reglas por orden de prioridad, comenzando por la configuración numérica más baja. Para obtener más información, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Cuando el firewall de DNS encuentra una coincidencia con la lista de dominios de una regla o anomalías identificadas por las protecciones de reglas avanzadas del firewall de DNS, finaliza la evaluación de la consulta y responde a VPC Resolver con el resultado. Si la acción es`alert`, el firewall de DNS también envía una alerta a los registros configurados del Resolver de VPC. Para obtener más información, consulte [Acciones de regla en DNS Firewall](resolver-dns-firewall-rule-actions.md), [Listas de dominios del firewall de DNS de Resolver](resolver-dns-firewall-domain-lists.md) y [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ Si DNS Firewall evalúa todos los grupos de reglas sin encontrar una coincidencia, responde a la consulta de forma normal. 

El solucionador de VPC enruta la consulta según la respuesta del firewall de DNS. En el improbable caso de que el firewall de DNS no responda, el solucionador de VPC aplica el modo de error del firewall de DNS configurado por la VPC. Para obtener más información, consulte [Configuración de la VPC de DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

## Pasos de alto nivel para usar Resolver DNS Firewall
<a name="resolver-dns-firewall-high-level-steps"></a>

Para implementar el filtrado de Resolver DNS Firewall en su VPC de Amazon Virtual Private Cloud, lleve a cabo los siguientes pasos de alto nivel. 
+ **Definir el enfoque de filtrado, las listas de dominios o las protecciones de DNS Firewall**: decida cómo desea filtrar las consultas, identifique las especificaciones de dominio que necesitará y defina la lógica que utilizará para evaluar las consultas. Por ejemplo, puede que quiera permitir todas las consultas excepto las que se encuentran en una lista de dominios incorrectos conocidos. O es posible que desee hacer lo contrario y bloquearlos todos, menos una lista autorizada de dominios; a esto se le llama enfoque de jardín vallado. Puede crear y administrar sus propias listas de especificaciones de dominio aprobadas o bloqueadas y puede usar listas de dominios que se AWS administren por usted. Para proteger el firewall de DNS, puede filtrar las consultas bloqueándolas todas o puede alertar sobre cualquier tráfico de consultas sospechoso a dominios que puedan contener anomalías asociadas a amenazas (DGA, túneles de DNS, DGA de diccionario) para comprobar la configuración del firewall de DNS. Para obtener más información, consulte [Listas de dominios del firewall de DNS de Resolver](resolver-dns-firewall-domain-lists.md) y [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ **Crear un grupo de reglas de firewall**: en DNS Firewall, cree un grupo de reglas para filtrar las consultas de DNS de la VPC. Debe crear un grupo de reglas en cada región en la que desee utilizarlo. También puedes separar tu comportamiento de filtrado en más de un grupo de reglas para poder volver a usarlo en varios escenarios de filtrado según tus necesidades. VPCs Para obtener información acerca de los grupos de reglas, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md). 
+ **Agregar y configurar las reglas**: agregue una regla al grupo de reglas para cada lista de dominios y comportamiento de filtrado que desee que proporcione el grupo de reglas. Establezca la configuración de prioridades de las reglas para que se procesen en el orden correcto en el grupo de reglas, dando la prioridad más baja a la regla que desee evaluar en primer lugar. Para obtener más información acerca de las reglas, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md). 
+ **Asociar el grupo de reglas a la VPC**: para comenzar a utilizar el grupo de reglas de DNS Firewall, asócielo a la VPC. Si utiliza más de un grupo de reglas para la VPC, establezca la prioridad de cada asociación para que los grupos de reglas se procesen en el orden correcto, dando la prioridad más baja al grupo de reglas que desee evaluar en primer lugar. Para obtener más información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Opcional) Cambie la configuración del firewall de la VPC**: si desea que Route 53 VPC Resolver bloquee las consultas cuando el firewall de DNS no puede devolverles una respuesta, en VPC Resolver, cambie la configuración del firewall de DNS de la VPC. Para obtener más información, consulte [Configuración de la VPC de DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

## Uso de grupos de reglas del firewall DNS de Resolver en varias regiones
<a name="resolver-dns-firewall-multiple-regions"></a>

Resolver DNS Firewall es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para usar el mismo grupo de reglas en más de una región, debe crearlo en cada región.

La AWS cuenta que creó un grupo de reglas puede compartirlo con otras AWS cuentas. Para obtener más información, consulte [Compartir los grupos de reglas de Resolver DNS Firewall entre cuentas AWS](resolver-dns-firewall-rule-group-sharing.md).

# Disponibilidad regional para Resolver DNS Firewall
<a name="resolver-dns-firewall-availability"></a>

El firewall DNS está disponible en las siguientes ubicaciones: Regiones de AWS
+ África (Ciudad del Cabo) 
+ Asia-Pacífico (Hong Kong)
+ Asia-Pacífico (Hyderabad)
+ Asia-Pacífico (Yakarta) 
+ Asia-Pacífico (Malasia)
+ Asia-Pacífico (Melbourne)
+ Asia-Pacífico (Mumbai)
+ Región Asia-Pacífico (Osaka)
+ Asia-Pacífico (Seúl)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Asia-Pacífico (Tailandia)
+ Asia-Pacífico (Tokio)
+ Región de Canadá (centro)
+ Oeste de Canadá (Calgary)
+ Europe (Frankfurt) Region
+ Región de Europa (Irlanda)
+ Región de Europa (Londres)
+ Europa (Milán) 
+ Región Europa (París)
+ Europa (España)
+ Europa (Estocolmo)
+ Europa (Zúrich)
+ Israel (Tel Aviv)
+ México (centro)
+ Middle East (Bahrain)
+ Medio Oriente (EAU)
+ América del Sur (São Paulo)
+ Este de EE. UU. (Norte de Virginia)
+ Este de EE. UU. (Ohio)
+ Oeste de EE. UU. (Norte de California)
+ Oeste de EE. UU. (Oregón)
+ China (Pekín) 
+ China (Ningxia) 
+ AWS GovCloud (US)

# Cómo empezar con Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

La consola de DNS Firewall incluye un asistente que le guía por los siguientes pasos para comenzar a utilizar DNS Firewall:
+ Cree grupos de reglas para cada conjunto de reglas que desee utilizar.
+ Para cada regla, rellene la lista de dominios que desee inspeccionar. Puede crear sus propias listas de dominios y utilizar listas de dominios AWS gestionados. 
+ Asocie sus grupos de reglas al VPCs lugar en el que desee usarlos.

## Ejemplo de jardín amurallado de Resolver DNS Firewall
<a name="dns-firewall-walled-garden-example"></a>

En este tutorial, creará un grupo de reglas que bloqueará todos los dominios menos un grupo exclusivo en el que confíe. A esto se le llama plataforma cerrada o enfoque de jardín vallado.

**Configuración de un grupo de reglas de DNS Firewall mediante el asistente de la consola**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en Consola de administración de AWS y abra el 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. En la página **Rule groups** (Grupos de reglas), elija **Add rule group** (Agregar grupo de reglas).

1. Para el nombre del grupo de reglas, ingrese **WalledGardenExample**. 

   En la sección **Etiquetas**, puede, de forma opcional, ingresar un par de clave/valor para una etiqueta. Las etiquetas le ayudan a organizar y administrar sus recursos de AWS . Para obtener más información, consulte [Etiquetado de recursos de Amazon Route 53](tagging-resources.md). 

1. Seleccione **Añadir grupo de reglas**.

1. En la página de **WalledGardenExample**detalles, seleccione la **pestaña Reglas** y, a continuación, **Agregar regla**.

1. En el panel **Detalles de la regla**, ingrese el nombre de la regla ** BlockAll**.

1. En el panel **Domain list** (Lista de dominios), seleccione **Add my own domain list** (Agregar mi propia lista de dominios). 

1. En **Choose or create a new domain list** (Elegir o crear una nueva lista de dominios), seleccione **Create new domain list** (Crear una nueva lista de dominios).

1. Introduzca un nombre de lista de dominios y**AllDomains**, a continuación, en el cuadro de texto **Introduzca un dominio por línea**, introduzca un asterisco:**\$1**. 

1. Para **Configuración de redireccionamiento de dominio**, acepte la configuración predeterminada y deje en blanco **Tipo de consulta (opcional)**.

1. Para la **Acción**, seleccione **BLOCK** y, a continuación, deje la respuesta que se va a enviar en la configuración predeterminada de **NODATA**. 

1. Seleccione **Agregar regla**. **BlockAll**La regla se muestra en la pestaña **Reglas** de la **WalledGardenExample**página.

1. En la **WalledGardenExample**página, elija **Agregar regla** para agregar una segunda regla a su grupo de reglas. 

1. En el panel **Detalles de la regla**, ingrese el nombre de la regla ** AllowSelectDomains**.

1. En el panel **Domain list** (Lista de dominios), seleccione **Add my own domain list** (Agregar mi propia lista de dominios). 

1. En **Choose or create a new domain list** (Elegir o crear una nueva lista de dominios), seleccione **Create new domain list** (Crear una nueva lista de dominios).

1. Ingrese un nombre de lista de dominios **ExampleDomains**.

1. En el cuadro de texto **Ingresar un dominio por línea**, en la primera línea, ingrese **example.com** y, en la segunda línea, **example.org**. 
**nota**  
Si desea que la regla se aplique también a subdominios, tendrá que agregar esos dominios a la lista. Por ejemplo, para agregar todos los subdominios de example.com, agregue **\$1.example.com** a la lista.

1. Para **Configuración de redireccionamiento de dominio**, acepte la configuración predeterminada y deje en blanco **Tipo de consulta (opcional)**.

1. Para la **Acción**, seleccione **ALLOW**. 

1. Elija **Add rule** (Agregar regla). Ambas reglas se muestran en la pestaña **Reglas** de la **WalledGardenExample**página.

1. En la pestaña **Reglas** de la **WalledGardenExample**página, puede ajustar el orden de evaluación de las reglas de su grupo de reglas seleccionando el número que aparece en la **columna Prioridad** y escribiendo un número nuevo. DNS Firewall evalúa las reglas comenzando por la configuración de prioridad más baja, por lo que la regla con la prioridad más baja es la primera en ser evaluada. Para este ejemplo, queremos que DNS Firewall identifique y permita en primer lugar consultas de DNS para la lista de selección de dominios y, a continuación, que bloquee las consultas restantes. 

   Ajuste la prioridad de la regla para que **AllowSelectDomains**tenga una prioridad más baja.

Ahora tiene un grupo de reglas que solo permite consultas de dominio específicas. Para empezar a utilizarla, debe asociarla al VPCs lugar en el que desee utilizar el comportamiento de filtrado. Para obtener más información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

## Ejemplo de lista de bloqueos de Resolver DNS Firewall
<a name="dns-firewall-block-list-example"></a>

En este tutorial, creará un grupo de reglas que bloquea los dominios que sabe que son malintencionados. También agregará un tipo de consulta de DNS que esté permitido para los dominios de la lista de bloqueados. El grupo de reglas permite todas las demás solicitudes de DNS salientes a través del solucionador de VPC.

**Configuración de una lista de bloqueo de DNS Firewall mediante el asistente de la consola**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. En la página **Rule groups** (Grupos de reglas), elija **Add rule group** (Agregar grupo de reglas).

1. Para el nombre del grupo de reglas, ingrese **BlockListExample**. 

   En la sección **Etiquetas**, puede, de forma opcional, ingresar un par de clave/valor para una etiqueta. Las etiquetas le ayudan a organizar y administrar sus recursos de AWS . Para obtener más información, consulte [Etiquetado de recursos de Amazon Route 53](tagging-resources.md). 

1. En la página de **BlockListExample**detalles, seleccione la pestaña **Reglas** y, a continuación, **Agregar regla**.

1. En el panel **Detalles de la regla**, ingrese el nombre de la regla ** BlockList**.

1. En el panel **Domain list** (Lista de dominios), seleccione **Add my own domain list** (Agregar mi propia lista de dominios). 

1. En **Choose or create a new domain list** (Elegir o crear una nueva lista de dominios), seleccione **Create new domain list** (Crear una nueva lista de dominios).

1. Ingrese un nombre de lista de dominios **MaliciousDomains** y luego, en el cuadro de texto, ingrese los dominios que desea bloquear. Por ejemplo, ** example.org**. Ingrese un dominio por línea. 
**nota**  
Si desea que la regla se aplique también a los subdominios, tendrá que agregar esos dominios a la lista. Por ejemplo, para agregar todos los subdominios de example.org, agregue **\$1.example.org** a la lista.

1. Para **Configuración de redireccionamiento de dominio**, acepte la configuración predeterminada y deje en blanco **Tipo de consulta (opcional)**.

1. Para la acción, seleccione **BLOCK** (BLOCK) y, a continuación, deje la respuesta que se va a enviar en la configuración predeterminada de **NODATA** (NODATA). 

1. Elija **Add rule** (Agregar regla). La regla se muestra en la pestaña **Reglas** de la **BlockListExample**página

1. en la pestaña **Reglas** de la **BlockedListExample**página, puede ajustar el orden de evaluación de las reglas de su grupo de reglas seleccionando el número que aparece en la **columna Prioridad** y escribiendo un número nuevo. DNS Firewall evalúa las reglas comenzando por la configuración de prioridad más baja, por lo que la regla con la prioridad más baja es la primera en ser evaluada. 

   Seleccione y ajuste la prioridad de las reglas para que **BlockList**se evalúe antes o después de cualquier otra regla que pueda tener. La mayoría de las veces, los dominios malintencionados conocidos deben bloquearse en primer lugar. Es decir, las reglas asociadas con ellos deben tener el número de prioridad más bajo.

1. Para agregar una regla que permita los registros MX para los BlockList dominios, en la página de **BlockedListExample**detalles de la pestaña **Reglas**, selecciona **Agregar regla**.

1. En el panel **Detalles de la regla**, ingrese el nombre de la regla ** BlockList-allowMX**.

1. En el panel **Domain list** (Lista de dominios), seleccione **Add my own domain list** (Agregar mi propia lista de dominios). 

1. En **Elegir o crear una nueva lista de dominios**, seleccione ** MaliciousDomains**.

1. Para **Configuración de redireccionamiento de dominio**, acepte la configuración predeterminada.

1. En la lista **Tipo de consulta de DNS**, seleccione **MX: especifica los servidores de correo**.

1. Para la acción, seleccione**ALLOW** (ALLOW). 

1. Elija **Add rule** (Agregar regla). 

1. En la pestaña **Reglas** de la **BlockedListExample**página, puede ajustar el orden de evaluación de las reglas de su grupo de reglas seleccionando el número que aparece en la **columna Prioridad** y escribiendo un número nuevo. DNS Firewall evalúa las reglas comenzando por la configuración de prioridad más baja, por lo que la regla con la prioridad más baja es la primera en ser evaluada. 

   Seleccione y ajuste la prioridad de las reglas para que **BlockList-AllowMx** se evalúe antes o después de cualquier otra regla que pueda tener. Como quiere permitir las consultas MX, asegúrese de que la regla **BlockList-AllowMx** tenga una prioridad inferior a. **BlockList**

Ahora tiene un grupo de reglas que bloquea consultas de dominios malintencionados específicos; sin embargo, permite un tipo de consulta de DNS específico. Para empezar a usarla, asóciala al VPCs lugar donde quieres usar el comportamiento de filtrado. Para obtener más información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

# Reglas y grupos de reglas de DNS Firewall
<a name="resolver-dns-firewall-rule-groups"></a>

En esta sección se describen los ajustes que puede configurar para los grupos de reglas y reglas del Firewall de DNS, a fin de definir el comportamiento del Firewall de DNS para usted VPCs. También se describe cómo administrar la configuración de las reglas y los grupos de reglas. 

Cuando los grupos de reglas estén configurados según sus preferencias, los puede usar directamente, así como compartirlos y administrarlos, entre cuentas y en toda la organización en AWS Organizations.
+ Puede asociar un grupo de reglas a varios VPCs para proporcionar un comportamiento coherente en toda la organización. Para obtener información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Puede compartir grupos de reglas entre cuentas para obtener una administración coherente de consultas de DNS en toda la organización. Para obtener información, consulte [Compartir los grupos de reglas de Resolver DNS Firewall entre cuentas AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Puede usar grupos de reglas en toda su organización AWS Organizations administrándolos en AWS Firewall Manager políticas. Para obtener información acerca de Firewall Manager, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la *AWS WAF AWS Firewall Manager, y la Guía para AWS Shield Advanced desarrolladores*.

# Configuración del grupo de reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Al crear o editar un grupo de reglas de DNS Firewall, debe especificar los siguientes valores:

**Name**  
Un nombre único fácil de recordar que permita encontrar fácilmente un grupo de reglas en el panel.

**(Opcional) Descripción**  
Una breve descripción que proporcione más contexto para el grupo de reglas. 

**Region**  
La AWS región que elija al crear el grupo de reglas. Un grupo de reglas creado en una región solo estará disponible en esa región. Para utilizar el mismo grupo de reglas en más de una región, debe crearlo en cada región.

**Reglas**  
El comportamiento de filtrado del grupo de reglas está incluido en sus reglas. Para obtener información, consulte la siguiente sección.

**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).  
Estas son las etiquetas Administración de facturación y costos de AWS que permiten organizar su AWS factura. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.

# Configuración de las reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Al crear o editar una regla de un grupo de reglas de DNS Firewall, debe especificar los siguientes valores:

**Name**  
Un identificador único de la regla del grupo de reglas.

**(Opcional) Descripción**  
Una breve descripción que proporciona más información acerca de la regla. 

**Lista de dominios**  
La lista de dominios que inspecciona la regla. Puede crear y administrar sus propias listas de dominios, o bien puede suscribirse a una lista de dominios que AWS administra automáticamente. Para obtener más información, consulte [Listas de dominios del firewall de DNS de Resolver](resolver-dns-firewall-domain-lists.md).   
Una regla puede contener una lista de dominios o una protección de DNS Firewall Advanced, pero no ambas.

**Configuración de redireccionamiento de dominios (solo listas de dominios)**  
Puede elegir que la regla de DNS Firewall inspeccione únicamente el primer dominio o todos (de forma predeterminada) los dominios de la cadena de redireccionamiento de DNS, como CNAME, DNAME, etc. Si decide inspeccionar todos los dominios, debe añadir los dominios subsiguientes de la cadena de redireccionamiento de DNS a la lista de dominios y establecer la acción que desee que lleve a cabo la regla: ALLOW, BLOCK o ALERT. Para obtener más información, consulte [Componentes y ajustes del firewall DNS de Resolver](resolver-dns-firewall-overview.md#resolver-dns-firewall-components). 

**Tipo de consulta (solo listas de dominios)**  
La lista de tipos de consultas de DNS que inspecciona la regla. Los siguientes valores son válidos:  
+  R: Devuelve una IPv4 dirección.
+ AAAA: devuelve una dirección Ipv6.
+ CAA: Limita la CAs posibilidad de crear SSL/TLS certificaciones para el dominio.
+ CNAME: devuelve otro nombre de dominio.
+ DS: registro que identifica la clave de firma del DNSSEC de una zona delegada.
+ MX: especifica los servidores de correo.
+ NAPTR: Regular-expression-based reescritura de nombres de dominio.
+ NS: servidores de nombres autorizados.
+ PTR: asigna una dirección IP a un nombre de dominio.
+ SOA: registro de inicio de autoridad de la zona.
+ SPF: muestra los servidores autorizados a enviar correos electrónicos desde un dominio.
+ SRV: valores específicos de la aplicación que identifican a los servidores.
+ TXT: verifica los remitentes de correo electrónico y los valores específicos de la aplicación.
+ Un tipo de consulta que se define mediante el ID de tipo de DNS, por ejemplo, 28 para AAAA. Los valores deben definirse como TYPE* NUMBER*, donde *NUMBER* pueden estar comprendidos entre 1 y 65334, por ejemplo. TYPE28 Para obtener más información, consulte la sección [Lista de tipos de registros de DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Puede crear un tipo de consulta por regla.
**nota**  
Si configuras una regla de bloqueo de firewall con la acción NXDOMAIN en el tipo de consulta igual a AAAA, esta acción no se aplicará a IPv6 las direcciones sintéticas generadas cuando esté habilitada. DNS64 

**Protección de DNS Firewall Advanced**  
Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede elegir que se proteja de lo siguiente:  
+ Algoritmos de generación de dominios () DGAs

  DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Túneles de DNS

  Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
+ Diccionario (DGA)

  Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malwarecommand-and-control .
En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas.   
Para obtener más información, vea Para obtener más información, consulte [Resolver DNS Firewall Advanced](firewall-advanced.md).   
Una regla puede contener una protección de DNS Firewall Advanced o una lista de dominios, pero no ambas.

**Umbral de confianza (solo con DNS Firewall Advanced)**  
El umbral de confianza para DNS Firewall Advanced. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:  
+ Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.
+ Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.
+ Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.
Para obtener más información, consulte [Configuración de las reglas en DNS Firewall](#resolver-dns-firewall-rule-settings). 

**Action**  
Cómo desea que DNS Firewall gestione una consulta de DNS cuyo nombre de dominio coincida con las especificaciones de la lista de dominios de la regla. Para obtener más información, consulte [Acciones de regla en DNS Firewall](resolver-dns-firewall-rule-actions.md). 

**Priority (Prioridad)**  
Configuración única de entero positivo para la regla del grupo de reglas que determina el orden de procesamiento. DNS Firewall inspecciona las consultas de DNS en las reglas de un grupo de reglas, comenzando por la configuración de prioridad numérica más baja y aumentando esta prioridad. Puede cambiar la prioridad de una regla en cualquier momento; por ejemplo, para cambiar el orden de procesamiento o dejar espacio para otras reglas. 

# Acciones de regla en DNS Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Cuando DNS Firewall encuentra una coincidencia entre una consulta de DNS y una especificación de dominio en una regla, aplica a la consulta la acción especificada en la regla. 

Se le pide que especifique una de las opciones siguientes en cada regla que cree: 
+ **Allow**— Deja de inspeccionar la consulta y deja que se complete. No está disponible para DNS Firewall Advanced.
+ **Alert**— Deje de inspeccionar la consulta, deje que se realice y registre una alerta para la consulta en los registros de VPC Resolver de Route 53. 
+ **Block**— Interrumpa la inspección de la consulta, impida que vaya al destino previsto y registre la acción de bloqueo de la consulta en los registros de VPC Resolver de Route 53. 

  Responda con la respuesta de bloqueo configurada, a partir de lo siguiente: 
  + **NODATA**— Responda indicando que la consulta se ha realizado correctamente, pero no hay ninguna respuesta disponible para ella.
  + **NXDOMAIN**— Responda indicando que el nombre de dominio de la consulta no existe.
  + **OVERRIDE**— Proporcione una anulación personalizada en la respuesta. Esta opción requiere los siguientes ajustes adicionales: 
    + **Record value**— El registro DNS personalizado que se devolverá en respuesta a la consulta. 
    + **Record type**— El tipo de registro DNS. Esto determina el formato del valor del registro. Debe ser `CNAME`.
    + **Time to live in seconds**— El tiempo recomendado para que la resolución de DNS o el navegador web almacenen en caché el registro de anulación y lo utilicen en respuesta a esta consulta, si se vuelve a recibir. De forma predeterminada, es cero y el registro no se almacena en caché.

Para obtener más información acerca de la configuración de registros de consulta y el contenido, consulte [Registro de consultas de Resolver](resolver-query-logs.md) y [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md). 

**Use Alert para probar las reglas de bloqueo**  
Cuando cree por primera vez una regla de bloqueo, puede probarla configurándola con la acción establecida en Alert. A continuación, puede examinar el número de consultas sobre las que avisa la regla para ver cuántas se bloquearían si establece la acción en Block. 

# Administración de reglas y grupos de reglas en DNS Firewall
<a name="resolver-dns-firewall-rule-group-managing"></a>

Para administrar reglas y grupos de reglas en la consola, siga las instrucciones de esta sección.

Cuando realiza cambios en las entidades de DNS Firewall, como reglas y listas de dominios, DNS Firewall propaga los cambios en todos los lugares donde se almacenan y utilizan las entidades. Los cambios se aplican en cuestión de segundos, pero puede haber un breve período de incoherencia en el que los cambios hayan llegado en algunos lugares y en otros no. Por ejemplo, si agrega un dominio a una lista de dominios a la que hace referencia una regla de bloqueo, es posible que el nuevo dominio se bloquee brevemente en un área de la VPC pero se permita en otra. Esta incoherencia temporal puede producirse al configurar por primera vez el grupo de reglas y asociaciones de VPC, y al cambiar la configuración existente. Generalmente, las incoherencias de este tipo duran solo unos segundos.

# Creación de reglas y de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-adding"></a>

Para crear un grupo de reglas y añadirle reglas, siga los pasos de este procedimiento.

**Creación de un grupo de reglas y sus reglas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Elija **Add rule group** (Agregar grupo de reglas) y, a continuación, siga las instrucciones del asistente para especificar la configuración de la regla y del grupo de reglas.

   Para obtener información acerca de los valores de los grupos de reglas, consulte [Configuración del grupo de reglas en DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Para obtener información acerca de los valores para las reglas, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Visualización y actualización de reglas y de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-editing"></a>

Utilice el siguiente procedimiento para ver los grupos de reglas y las reglas que se les han asignado. También puede actualizar el grupo de reglas y la configuración de reglas.

**Visualización y actualización de un grupo de reglas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Seleccione el grupo de reglas que desea ver o editar y, a continuación, elija **View details** (Ver detalles). 

1. En la página del grupo de reglas puede ver y editar la configuración.

   Para obtener información acerca de los valores de los grupos de reglas, consulte [Configuración del grupo de reglas en DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Para obtener información acerca de los valores para las reglas, consulte [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Eliminación de un grupo de reglas
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Para eliminar un grupo de reglas, realice el procedimiento siguiente.

**importante**  
Si elimina un grupo de reglas asociado a una VPC, DNS Firewall quita la asociación y detiene las protecciones que el grupo de reglas estaba proporcionando a la VPC. 

**Eliminación de entidades de DNS Firewall**  
Cuando elimina una entidad que puede usar en DNS Firewall, como una lista de dominios que podría estar en uso en un grupo de reglas, o un grupo de reglas que podría estar asociado a una VPC, DNS Firewall verifica si la entidad se está utilizando actualmente. Si descubre que está en uso, DNS Firewall le avisa. DNS Firewall casi siempre sabe determinar si alguna entidad está en uso. No obstante, es posible que en algunos casos no consiga hacerlo. Si tiene que asegurarse de que no hay nada que esté utilizando actualmente la entidad, verifique las configuraciones de DNS Firewall antes de eliminarla. Si la entidad es una lista de dominios a la que se hace referencia, verifique que ningún grupo de reglas la esté utilizando. Si la entidad es un grupo de reglas, compruebe que no esté asociada a ninguno VPCs.

**Para eliminar un grupo de reglas:**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 3.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Seleccione el grupo de reglas que desee eliminar y, a continuación, seleccione **Eliminar** y confirme la eliminación.

# Listas de dominios del firewall de DNS de Resolver
<a name="resolver-dns-firewall-domain-lists"></a>

Una *lista de dominios* es un conjunto reutilizable de especificaciones de dominio que se utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con las listas de dominios que se utilizan en las reglas. Si encuentra una coincidencia, gestiona la consulta de DNS según la acción de la regla coincidente. Para obtener más información acerca de las reglas y los grupos de reglas, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md). 

Las listas de dominios le permiten separar las especificaciones de dominio explícitas de las acciones que desea realizar sobre ellas. Puede utilizar una sola lista de dominios en varias reglas; cualquier actualización que realice en la lista de dominios afectará automáticamente a todas las reglas que la utilicen. 

Las listas de dominios se dividen en dos categorías principales: 
+ Listas de dominios gestionadas, que se AWS crean y mantienen por ti.
+ Sus propias listas de dominios, que crea y mantiene por su cuenta.

En esta sección se describen los tipos de listas de dominios administrados que están disponibles y se proporciona orientación para crear y administrar sus propias listas de dominios, si así lo decide. 

# Listas de dominios administrados
<a name="resolver-dns-firewall-managed-domain-lists"></a>

Las listas de dominios gestionados contienen nombres de dominio asociados a actividades maliciosas u otras amenazas potenciales. AWS mantiene estas listas para permitir que los clientes de Route 53 VPC Resolver comprueben las consultas de DNS salientes de forma gratuita cuando utilizan el firewall de DNS. 

Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Las listas de dominios gestionadas pueden ahorrarle tiempo a la hora de implementar y utilizar el firewall de DNS. AWS actualiza automáticamente las listas cuando aparecen nuevas vulnerabilidades y amenazas. AWS suele recibir notificaciones de nuevas vulnerabilidades antes de que se divulguen públicamente, por lo que DNS Firewall puede implementar medidas de mitigación por usted con frecuencia antes de que se dé a conocer ampliamente una nueva amenaza. 

Las listas de dominios administradas están diseñadas para ayudarlo a protegerse de las amenazas web más comunes y agregan otra capa de seguridad para las aplicaciones. Las listas de dominios AWS gestionados obtienen sus datos tanto de AWS fuentes internas como de fuentes internas [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future), y se actualizan continuamente. Sin embargo, las listas de dominios AWS gestionados no pretenden sustituir a otros controles de seguridad Amazon GuardDuty, como los que se determinan en función de los AWS recursos que seleccione.

Como práctica recomendada, pruebe una lista de dominios administrados en un entorno que no sea de producción antes de usarlo en producción, con la acción de la regla establecida en `Alert`. Evalúe la regla mediante CloudWatch métricas de Amazon combinadas con solicitudes muestreadas de Resolver DNS Firewall o registros de DNS Firewall. Cuando la regla haga lo que quería, cambie la configuración de la acción según sea necesario. 

**Listas de dominios AWS gestionados disponibles**  
En esta sección se describen las listas de dominios administrados por que están disponibles actualmente. Cuando se encuentra en una región en la que se admiten estas listas, las ve en la consola cuando administra listas de dominios y cuando especifica la lista de dominios para una regla. En los registros, la lista de dominios se registra en el elemento `firewall_domain_list_id field`.

AWS proporciona las siguientes listas de dominios gestionados, en las regiones en las que están disponibles, para todos los usuarios de Resolver DNS Firewall. 
+ `AWSManagedDomainsMalwareDomainList`: dominios asociados al envío, alojamiento o distribución de malware.
+ `AWSManagedDomainsBotnetCommandandControl`: dominios asociados al control de redes de ordenadores infectados con malware de envío de spam. 
+ `AWSManagedDomainsAggregateThreatList`— Dominios asociados a varias categorías de amenazas para el DNS, como el malware, el ransomware, las redes de bots, el spyware y los túneles de DNS, para ayudar a bloquear varios tipos de amenazas. `AWSManagedDomainsAggregateThreatList`incluye todos los dominios de las demás listas de dominios AWS gestionados que se indican aquí.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Dominios asociados a los hallazgos de seguridad de Amazon GuardDuty DNS. Los dominios provienen únicamente de los sistemas GuardDuty de inteligencia de amenazas de la empresa y no contienen dominios procedentes de fuentes externas de terceros. Más específicamente, actualmente esta lista solo bloquea los dominios que se generan internamente y se utilizan para realizar las siguientes detecciones en GuardDuty: Impact:EC2/ AbusedDomainRequest .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact: BitcoinDomainRequest .Reputation. MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

  Para obtener más información, consulta [Búsqueda de tipos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) en la *Guía del GuardDuty usuario de Amazon*.

AWS Las listas de dominios gestionados no se pueden descargar ni consultar. Para proteger la propiedad intelectual, no puedes ver ni editar las especificaciones de los dominios individuales de una lista de dominios AWS gestionados. Esta restricción también permite impedir que usuarios malintencionados diseñen amenazas que eludan específicamente las listas publicadas. 

**Cómo probar las listas de dominios administradas**  
Proporcionamos el siguiente conjunto de dominios para probar las listas de dominios administradas:

**AWSManagedDomainsBotnetCommandandControl**  
+  controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsMalwareDomainList**  
+  controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsAggregateThreatList y AWSManaged DomainsAmazonGuardDutyThreatList**  
+  controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Estos dominios pasarán a ser 1.2.3.4 si no están bloqueados. Si utiliza las listas de dominios administradas en una VPC, si se consulta estos dominios, la respuesta que se obtendrá es que se ha establecido una acción de bloqueo en la regla (por ejemplo, NODATA). 

Para obtener más información sobre las listas de dominios administrados, contacte con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

En la siguiente tabla se muestra la disponibilidad regional de las listas de dominios AWS gestionados.


**Disponibilidad por región de la lista de dominios administradas**  

| Region | ¿Hay disponibilidad de las listas de dominios administrados? | 
| --- | --- | 
|  África (Ciudad del Cabo)   |  Sí  | 
|  Asia-Pacífico (Hong Kong)  | Sí | 
|  Asia-Pacífico (Hyderabad)  | Sí | 
|  Asia-Pacífico (Yakarta)   |  Sí  | 
|  Asia-Pacífico (Malasia)  |  Sí  | 
|  Asia-Pacífico (Melbourne)  | Sí | 
|  Asia-Pacífico (Mumbai)  |  Sí  | 
|  Región Asia-Pacífico (Osaka)  |  Sí  | 
|  Asia-Pacífico (Seúl)  |  Sí  | 
|  Asia-Pacífico (Singapur)  |  Sí  | 
|  Asia-Pacífico (Sídney)  |  Sí  | 
|  Asia-Pacífico (Tailandia)  |  Sí  | 
|  Asia-Pacífico (Tokio)  |  Sí  | 
|  Región de Canadá (centro)  |  Sí  | 
|  Oeste de Canadá (Calgary)  |  Sí  | 
|  Región de Europa (Fráncfort)  |  Sí  | 
|  Región de Europa (Irlanda)  |  Sí  | 
|  Región de Europa (Londres)  |  Sí  | 
|  Europa (Milán)   |  Sí  | 
|  Región Europa (París)  |  Sí  | 
|  Europa (España)  | Sí | 
|  Europa (Estocolmo)  |  Sí  | 
|  Europa (Zúrich)  | Sí | 
|  Israel (Tel Aviv)  | Sí | 
|  Medio Oriente (Baréin)  | Sí | 
|  Medio Oriente (EAU)  | Sí | 
|  América del Sur (São Paulo)  |  Sí  | 
|  EE. UU. Este (Norte de Virginia)  |  Sí  | 
|  EE. UU. Este (Ohio)  |  Sí  | 
|  EE. UU Oeste (Norte de California)  |  Sí  | 
|  Oeste de EE. UU. (Oregón)  |  Sí  | 
|  China (Pekín)   |  Sí  | 
|  China (Ningxia)   |  Sí  | 
|  AWS GovCloud (US)  |  Sí  | 

**Consideraciones adicionales de seguridad**  
AWS Las listas de dominios gestionados están diseñadas para ayudarle a protegerse de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, estas listas agregan otra capa de seguridad a sus aplicaciones. No obstante, las listas de dominios administrados por no están destinadas a reemplazar otros controles de seguridad, que vienen determinados por los recursos de AWS que seleccione. Para garantizar que sus recursos AWS estén debidamente protegidos, consulte la guía del [Modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**Mitigación de escenarios falsos positivos**  
Si encuentra escenarios de falsos positivos en reglas que utilizan listas de dominios administrados por para bloquear consultas, realice los siguientes pasos: 

1. En los registros de VPC Resolver, identifique el grupo de reglas y la lista de dominios administrados que están causando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. La entrada de registro muestra el grupo de reglas, la acción de la regla y la lista administrada. Para obtener información acerca de los registros, consulte [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md).

1. Cree una regla en el grupo de reglas que permita de forma explícita la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas y grupos de reglas en [Creación de reglas y de un grupo de reglas](resolver-dns-firewall-rule-group-adding.md).

1. Dé prioridad a la nueva regla dentro del grupo de reglas para que se ejecute antes de la regla que utiliza la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando haya actualizado el grupo de reglas, la nueva regla permitirá de forma explícita el nombre de dominio que desea permitir antes de que se ejecute la regla de bloqueo. 

# Administración de sus propias listas de dominios
<a name="resolver-dns-firewall-user-managed-domain-lists"></a>

Puede crear sus propias listas de dominios para especificar categorías de dominios que no encuentre en las ofertas de listas de dominios administrados o para gestionarlos por su cuenta, si así lo prefiere. 

Además de los procedimientos descritos en esta sección, en la consola, al crear o actualizar una regla, puede crear una lista de dominios en el contexto de la administración de reglas de Resolver DNS Firewall. 

Cada especificación de dominio en la lista de dominios debe cumplir los siguientes requisitos: 
+ Opcionalmente, puede comenzar por `*` (asterisco).
+ Con la excepción del asterisco inicial opcional y de un punto, como delimitador entre etiquetas, solo debe contener los siguientes caracteres:`A-Z`,, `a-z``0-9`, `-` (guión).
+ Debe tener una longitud de entre 1 y 255 caracteres. 

Cuando realiza cambios en las entidades de DNS Firewall, como reglas y listas de dominios, DNS Firewall propaga los cambios en todos los lugares donde se almacenan y utilizan las entidades. Los cambios se aplican en cuestión de segundos, pero puede haber un breve período de incoherencia en el que los cambios hayan llegado en algunos lugares y en otros no. Por ejemplo, si agrega un dominio a una lista de dominios a la que hace referencia una regla de bloqueo, es posible que el nuevo dominio se bloquee brevemente en un área de la VPC pero se permita en otra. Esta incoherencia temporal puede producirse al configurar por primera vez el grupo de reglas y asociaciones de VPC, y al cambiar la configuración existente. Generalmente, las incoherencias de este tipo duran solo unos segundos.

**Prueba de la lista de dominios antes de su uso en producción**  
Como práctica recomendada, pruebe una lista de dominios en un entorno que no sea de producción antes de usarlo en producción, con la acción de la regla establecida en `Alert`. Evalúe la regla con CloudWatch las métricas de Amazon y los registros de VPC Resolver. Los registros proporcionan el nombre de la lista de dominios de todas las alertas y acciones de bloqueo. Cuando la lista de dominios coincida con las consultas de DNS de acuerdo con sus preferencias, cambie la configuración de la acción de la regla según sea necesario. Para obtener información sobre CloudWatch las métricas y los registros de consultas, consulte [Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)[Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md), y[Administración de configuraciones de registro de consultas de Resolver](resolver-query-logging-configurations-managing.md). 

**Incorporación de una lista de dominios**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC. Continúe en el paso 2.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Listas de dominios**. En la página **Domain lists** (Listas de dominios), puede seleccionar y editar listas de dominios existentes y agregar las suyas propias.

1. Para agregar una lista de dominios, elija **Add domain list** (Agregar lista de dominios). 

1. Proporcione un nombre para la lista de dominios y, a continuación, ingrese las especificaciones de dominio en el cuadro de texto, uno por línea. 

   Si desliza **Switch to bulk upload** (Cambiar a la carga masiva) a **on** (activado), ingrese el URI del bucket de Amazon S3 en el que haya creado una lista de dominios. Esta lista de dominios debe tener un nombre de dominio por línea.
**nota**  
Los nombres de dominio duplicados provocarán un error en la importación masiva.

1. Elija **Add domain list** (Agregar lista de dominios). La página **Domain lists** (Listas de dominios) muestra la nueva lista de dominios. 

Después de crear la lista de dominios, puede hacer referencia a ella por nombre desde las reglas de DNS Firewall. 

**Eliminación de entidades de DNS Firewall**  
Cuando elimina una entidad que puede usar en DNS Firewall, como una lista de dominios que podría estar en uso en un grupo de reglas, o un grupo de reglas que podría estar asociado a una VPC, DNS Firewall verifica si la entidad se está utilizando actualmente. Si descubre que está en uso, DNS Firewall le avisa. DNS Firewall casi siempre sabe determinar si alguna entidad está en uso. No obstante, es posible que en algunos casos no consiga hacerlo. Si tiene que asegurarse de que no hay nada que esté utilizando actualmente la entidad, verifique las configuraciones de DNS Firewall antes de eliminarla. Si la entidad es una lista de dominios a la que se hace referencia, verifique que ningún grupo de reglas la esté utilizando. Si la entidad es un grupo de reglas, compruebe que no esté asociada a ninguno VPCs.

**Eliminación de una lista de dominios**

1. En el panel de navegación, elija **Domain lists** (Listas de dominios).

1. En la barra de navegación, elija la región de la lista de dominios. 

1. Seleccione la lista de dominios que desee eliminar y, a continuación, elija **Eliminar** y confirme la eliminación.

# Resolver DNS Firewall Advanced
<a name="firewall-advanced"></a>

DNS Firewall Advanced detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede especificar un tipo de amenaza en una regla que utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con los dominios que se marcan en las reglas. Si encuentra una coincidencia, gestiona la consulta de DNS según la acción de la regla coincidente.

DNS Firewall Advanced identifica las firmas de amenazas del DNS sospechosas mediante la inspección de una serie de identificadores clave en la carga útil del DNS, como la marca horaria de las solicitudes, la frecuencia de las solicitudes y las respuestas, las cadenas de consulta de DNS y la longitud, el tipo o el tamaño de las consultas de DNS entrantes y salientes. Según el tipo de firma de la amenaza, puede configurar políticas para bloquear la consulta o simplemente registrarla y alertar sobre ella. Si utiliza un conjunto ampliado de identificadores de amenazas, puede protegerse contra las amenazas del DNS procedentes de fuentes de dominio que tal vez aún no estén clasificadas por las fuentes de inteligencia de amenazas mantenidas por la comunidad de seguridad en general.

En la actualidad, DNS Firewall Advanced ofrece protección contra: 
+ Algoritmos de generación de dominios (DGAs)

  DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Túneles de DNS

  Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
+ Diccionario (DGA)

  Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malware command-and-control.

Para obtener información acerca de cómo crear reglas, consulte [Creación de reglas y de un grupo de reglas](resolver-dns-firewall-rule-group-adding.md) y [Configuración de las reglas en DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Mitigación de escenarios falsos positivos**  
Si encuentra escenarios de falsos positivos en reglas que utilizan protecciones de DNS Firewall Advanced para bloquear consultas, realice los siguientes pasos: 

1. En los registros de VPC Resolver, identifique el grupo de reglas y las protecciones avanzadas del firewall de DNS que están causando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. La entrada del registro muestra el grupo de reglas, la acción de la regla y la protección de DNS Firewall Advanced. Para obtener información acerca de los registros, consulte [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md).

1. Cree una regla en el grupo de reglas que permita de forma explícita la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas y grupos de reglas en [Creación de reglas y de un grupo de reglas](resolver-dns-firewall-rule-group-adding.md).

1. Dé prioridad a la nueva regla dentro del grupo de reglas para que se ejecute antes de la regla que utiliza la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando haya actualizado el grupo de reglas, la nueva regla permitirá de forma explícita el nombre de dominio que desea permitir antes de que se ejecute la regla de bloqueo. 

# Configuración de registros para DNS Firewall
<a name="firewall-resolver-query-logs-configuring"></a>

 Puede evaluar las reglas del firewall de DNS mediante las CloudWatch métricas de Amazon y los registros de consultas de Resolver. Los registros proporcionan el nombre de la lista de dominios de todas las alertas y acciones de bloqueo. Para obtener más información sobre Amazon CloudWatch, consulte[Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).

Cuando habilite DNS Firewall, asócielo a una VPC y tenga habilitado el registro; ` firewall_rule_group_id`, `firewall_rule_action` y ` firewall_domain_list_id` son los campos específicos de DNS Firewall que se proporcionan en los registros.

**nota**  
 Los registros de consultas mostrarán los campos adicionales de DNS Firewall solo para las consultas bloqueadas por las reglas de DNS Firewall.

Para empezar a registrar las consultas de DNS filtradas por las reglas del firewall de DNS que se originan en su VPCs, realice las siguientes tareas en la consola de Amazon Route 53:<a name="firewall-resolver-query-logs-configuring-procedure"></a>

**Configuración del registro de consultas de Resolver para DNS Firewall**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/menu-icon.png)).

1. En el menú Resolver, elija **Registro de consultas**.

1. En el selector de regiones, elija la AWS región en la que desee crear la configuración de registro de consultas. 

   Debe ser la misma región en la que creó la VPCs que está asociada al firewall de DNS para la que desea registrar las consultas. Si está VPCs en varias regiones, debe crear al menos una configuración de registro de consultas para cada región.

1. Elija **Configure query logging** (Configuración del registro de consultas).

1. Especifique los siguientes valores:  
**Nombre de configuración del registro de consultas**  
Ingrese un nombre para la configuración del registro de consultas. El nombre aparece en la consola en la lista de configuraciones del registro de consultas. Ingrese un nombre que le ayude a encontrar esta configuración más tarde.  
**Destino de los registros de consulta**  
Elija el tipo de AWS recurso al que quiere que VPC Resolver envíe los registros de consultas. Para obtener información sobre cómo elegir entre las opciones (grupo de CloudWatch registros, depósito S3 y transmisión de entrega Firehose), consulte. [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Tras elegir el tipo de recurso, puede crear otro recurso de ese tipo o elegir un recurso existente creado por la AWS cuenta corriente.  
Solo puede elegir recursos que se hayan creado en la región de AWS que eligió en el paso 4, la región donde está creando la configuración del registro de consultas. Si decide crear un recurso nuevo, ese recurso se creará en la misma región.  
**VPCs para registrar consultas para**  
Esta configuración de registro de consultas registrará las consultas de DNS que se originen en el VPCs que elija. **Marque la casilla de verificación de cada VPC de la región actual en la que desee que VPC Resolver registre las consultas y, a continuación, seleccione Elegir.**  
La entrega de registros de VPC solo se puede habilitar una vez para un tipo de destino específico. Los registros no se pueden entregar a varios destinos del mismo tipo. Por ejemplo, los registros de VPC no se pueden entregar a dos destinos de Amazon S3.

1. Elija **Configure query logging** (Configuración del registro de consultas).

**nota**  
Debe comenzar a ver consultas de DNS realizadas por los recursos de su VPC en los registros unos minutos después de crear correctamente la configuración del registro de consultas.

# Compartir los grupos de reglas de Resolver DNS Firewall entre cuentas AWS
<a name="resolver-dns-firewall-rule-group-sharing"></a>

Puede compartir grupos de reglas de DNS Firewall entre AWS cuentas. Para compartir grupos de reglas, usa AWS Resource Access Manager (AWS RAM). La consola de DNS Firewall se integra con la AWS RAM consola. Para obtener más información al respecto AWS RAM, consulte la [Guía del usuario de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Tenga en cuenta lo siguiente:

**Asociar grupos de reglas compartidos a VPCs**  
Si otra AWS cuenta ha compartido un grupo de reglas con la suya, puede asociarlo a VPCs la suya del mismo modo que asocia los grupos de reglas que ha creado. Para obtener más información, consulte [Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

**Eliminación o anulación de uso compartido de un grupo de reglas**  
Si compartes un grupo de reglas con otras cuentas y, a continuación, eliminas el grupo de reglas o dejas de compartirlo, el Firewall de DNS elimina todas las asociaciones que las demás cuentas hayan creado entre el grupo de reglas y las suyas VPCs. 

**Configuración máxima para grupos de reglas y asociaciones**  
Los grupos de reglas compartidos y sus asociaciones VPCs se incluyen en los recuentos de las cuentas con las que se comparten los grupos de reglas.   
Para conocer las cuotas actuales de DNS Firewall, consulte [Cuotas en el firewall DNS de Resolver](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).

**Permisos**  
Para compartir un grupo de reglas con otra AWS cuenta, debe tener permiso para usar la [PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)acción.

**Restricciones en la AWS cuenta con la que se comparte un grupo de reglas**  
La cuenta con la que se comparte un grupo de reglas no puede cambiar o eliminar este grupo de reglas. 

**Etiquetado**  
Solo la cuenta que creó un grupo de reglas puede agregar, eliminar o consultar etiquetas de este grupo de reglas.

Para ver el estado actual de uso compartido de un grupo de reglas (incluida la cuenta que compartió el grupo de reglas o la cuenta con la que se comparte un grupo de reglas) y compartir grupos de reglas con otra cuenta, siga el procedimiento que se indica a continuación.

**Para ver el estado de uso compartido y compartir grupos de reglas con otra AWS cuenta**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).

1. En la barra de navegación, elija la región en la que creó el grupo de reglas.

   En la columna **Sharing status** (Estado de uso compartido) se muestra el estado actual de uso compartido de los grupos de reglas que ha creado la cuenta actual o que se comparten con la cuenta actual:
   + **No compartido**: la AWS cuenta actual creó el grupo de reglas y el grupo de reglas no se comparte con ninguna otra cuenta.
   + **Shared by me** (Compartido por mí): la cuenta actual ha creado el grupo de reglas y lo ha compartido con una o varias cuentas.
   + **Shared with me** (Compartido conmigo): otra cuenta ha creado el grupo de reglas y lo ha compartido con la cuenta actual.

1. Elija el nombre del grupo de reglas cuya información de uso compartido desea mostrar o que desea compartir con otra cuenta.

   En la *rule group name* página **Grupo de reglas:**, el valor de **Propietario** muestra el ID de la cuenta que creó el grupo de reglas. Es la cuenta actual a menos que el valor de **Sharing status** (Estado de uso compartido) sea **Shared with me** (Compartido conmigo). En ese caso, el **propietario** es la cuenta que creó el grupo de reglas y lo compartió con la cuenta actual.

1. Elija **Share** (Compartir) para ver información adicional o para compartir el grupo de reglas con otra cuenta. Aparece una página en la AWS RAM consola, en función del valor del **estado de uso compartido**:
   + **Not shared** (No compartido): aparece la página **Create resource share** (Crear recurso compartido de recursos). Para obtener más información acerca de cómo compartir el grupo de reglas con otra cuenta, unidad organizativa (OU) u organización, vaya al siguiente paso.
   + **Shared by me** (Compartido por mí): la página **Shared resources** (Recursos compartidos) muestra los grupos de reglas y otros recursos que son propiedad de la cuenta actual y que están compartidos con otras cuentas.
   + **Shared with me** (Compartido conmigo): la página **Shared resources** (Recursos compartidos) muestra los grupos de reglas y otros recursos que son propiedad de otras cuentas y que están compartidos con la cuenta actual.

1. Para compartir un grupo de reglas con otra AWS cuenta, unidad organizativa u organización, especifique los siguientes valores.
**nota**  
No se puede actualizar la configuración de uso compartido. Si desea cambiar cualquiera de los siguientes valores, debe volver a compartir un grupo de reglas con la nueva configuración y, a continuación, quitar la configuración de uso compartido anterior.  
**Description (Descripción)**  
Ingrese una breve descripción que le ayude a recordar por qué compartió el grupo de reglas.  
**Recursos**  
Elija la casilla de verificación correspondiente al grupo de reglas que desea compartir.  
**Entidades principales**  
Introduzca el número de AWS cuenta, el nombre de la OU o el nombre de la organización.  
**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar el **centro de coste** para **la clave** y **456** para el **valor**.  
Estas son las etiquetas Administración de facturación y costos de AWS que permiten organizar su AWS factura; también puede utilizarlas para otros fines. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.

# Habilitar las protecciones de Resolver DNS Firewall para su VPC
<a name="resolver-dns-firewall-vpc-protections"></a>

Asocie uno o más grupos de reglas a la VPC a fin de habilitar las protecciones de DNS Firewall para esta VPC. Siempre que se asocie una VPC a un grupo de reglas de firewall de DNS, el Resolver de VPC de Route 53 proporciona las siguientes protecciones de firewall de DNS: 
+ El solucionador de VPC enruta las consultas DNS salientes de la VPC a través del firewall de DNS y el firewall de DNS filtra las consultas mediante los grupos de reglas asociados. 
+ El solucionador de VPC aplica los ajustes de la configuración del firewall DNS de la VPC. 

Para proporcionar protecciones de DNS Firewall a la VPC, se debe hacer lo siguiente: 
+ Cree y administre asociaciones entre los grupos de reglas de DNS Firewall y la VPC. Para obtener información acerca de los grupos de reglas, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Configure la forma en que desea que VPC Resolver gestione las consultas de DNS para la VPC durante un error, por ejemplo, si el firewall de DNS no proporciona una respuesta a una consulta de DNS.

# Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall
<a name="resolver-dns-firewall-vpc-associating-rule-group"></a>

**Visualización de las asociaciones de VPC de un grupo de reglas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Seleccione **DNS Firewall** en el panel de navegación para abrir la página **Grupos de regla** de DNS Firewall en la consola de Amazon VPC.

   - O BIEN - 

   Inicie sesión en la Consola de administración de AWS y abra la 

   la consola Amazon VPC que se encuentra debajo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. En el panel de navegación, en **DNS Firewall**, elija **Grupos de regla**.

1. En la barra de navegación, elija la región del grupo de reglas. 

1. Seleccione el grupo de reglas que desea asociar.

1. Elija **Ver detalles**. Se muestra la página de grupo de reglas. 

1. En la parte inferior, puede ver un área de detalles con pestañas que incluye las reglas y las asociadas. VPCs Seleccione la pestaña **VPCsAsociado**.

**Asociación de un grupo de reglas a una VPC**

1. Busque las asociaciones de VPC del grupo de reglas siguiendo las instrucciones del [procedimiento anterior](resolver-dns-firewall-rule-group-sharing.md) **Visualización de las asociaciones de VPC de un grupo de reglas**. 

1. En la VPCs pestaña **Asociada**, elija **Asociar VPC**.

1. En el menú desplegable, busque la VPC que desea asociar al grupo de reglas. Selecciónelo y, a continuación, elija **Associate** (Asociar).

En la página del grupo de reglas, su VPC aparece en la pestaña **VPCsAsociada**. Al principio, la opción **Status** (Estado) notifica **Updating** (Actualizando). Cuando termina la asociación, el estado cambia a **Complete** (Completa). 

**Eliminación de una asociación entre un grupo de reglas y una VPC**

1. Busque las asociaciones de VPC del grupo de reglas siguiendo las instrucciones del [procedimiento anterior](resolver-dns-firewall-rule-group-sharing.md) **Visualización de las asociaciones de VPC de un grupo de reglas**. 

1. **Seleccione la VPC que desee eliminar de la lista y, a continuación, elija Desasociar.** Compruebe la acción y, a continuación, confírmela. 

**En la página del grupo de reglas, su VPC aparece en la VPCs pestaña **Asociada** con el estado Desasociándose.** Cuando finalice la operación, DNS Firewall actualiza la lista para quitar la VPC. 

# Configuración de la VPC de DNS Firewall
<a name="resolver-dns-firewall-vpc-configuration"></a>

La configuración del firewall de DNS de la VPC determina si el Resolver de VPC de Route 53 permite el paso de las consultas o las bloquea durante los errores, por ejemplo, cuando el firewall de DNS está dañado, no responde o no está disponible en la zona. El solucionador de VPC aplica la configuración del firewall de una VPC siempre que tenga uno o más grupos de reglas de firewall de DNS asociados a la VPC.

Puede configurar una VPC para que permanezca abierta o cerrada al producirse un error. 
+ De forma predeterminada, el modo de error está cerrado, lo que significa que VPC Resolver bloquea las consultas para las que no recibe una respuesta del firewall de DNS y envía una respuesta de ` SERVFAIL` DNS. Este enfoque antepone la seguridad a la disponibilidad. 
+ Si habilitas la apertura por error, VPC Resolver permite el paso de consultas si no recibe una respuesta del firewall de DNS. Este enfoque antepone la disponibilidad a la seguridad. 

**Modificación de la configuración de DNS Firewall para una VPC (consola)**

1. Inicie sesión en la consola de VPC Resolver Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. En el panel de navegación, en **Resolvers, elija**. **VPCs** 

1. En la **VPCs**página, localice y edite la VPC. Cambie la configuración de DNS Firewall para que permanezca abierta o cerrada al producirse un error cuando sea necesario. 

**Modificación del comportamiento de DNS Firewall para una VPC (API)**
+ Actualice la configuración del firewall de su VPC llamando [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)y habilitando o deshabilitando. ` FirewallFailOpen` 

Puedes recuperar una lista de las configuraciones de firewall de tu VPC a través de la API llamando. [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)