Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Mise en route avec Route 53 Resolver DNS Firewall

PDF
RSS
Mode de mise au point
Mise en route avec Route 53 Resolver DNS Firewall - Amazon Route 53
Exemple de Route 53 Resolver DNS Firewall « walled garden » (jardin fermé)Exemple de liste rouge Route 53 Resolver DNS Firewall

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

La console du pare-feu DNS inclut un assistant qui vous guide tout au long des étapes suivantes pour démarrer avec le pare-feu DNS :

  • Créez des groupes de règles pour chaque ensemble de règles que vous souhaitez utiliser.

  • Pour chaque règle, renseignez la liste de domaines que vous souhaitez inspecter. Vous pouvez créer vos propres listes de domaines et utiliser des listes de domaines AWS gérées.

  • Associez vos groupes de règles à l' VPCs endroit où vous souhaitez les utiliser.

Exemple de Route 53 Resolver DNS Firewall « walled garden » (jardin fermé)

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque tous les domaines, sauf un groupe de domaines approuvés. C'est ce qu'on appelle une plateforme fermée, ou approche « walled garden » (jardin fermé).

Pour configurer un groupe de règles de pare-feu DNS à l'aide de l'assistant de la console

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    Choisissez Pare-feu DNS dans le volet de navigation pour ouvrir la page des groupes de règles de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

    - OU -

    Connectez-vous au AWS Management Console et ouvrez-le

    la console Amazon VPC située sous. https://console.aws.amazon.com/vpc/

  2. Dans le volet de navigation, sous Pare-feu DNS, choisissez Groupes de règles.

  3. Dans la barre de navigation, choisissez la région pour le groupe de règles.

  4. Sur la page Rule groups (Groupes de règles), choisissez Add rule group (Ajouter un groupe de règles).

  5. Saisissez WalledGardenExample comme nom pour le groupe de règles.

    Dans la section Tags, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter Balisage des ressources Amazon Route 53.

  6. Choisissez Ajouter un groupe de règles.

  7. Sur la page de WalledGardenExampledétails, choisissez l'onglet Règles, puis Ajouter une règle.

  8. Dans le panneau Rule details (Détails de la règle), saisissez le nom de la règle BlockAll.

  9. Dans le panneau Domain list (Liste des domaines), sélectionnez Add my own domain list (Ajouter ma propre liste de domaines).

  10. Sous Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines), sélectionnez Create new domain list (Créer une nouvelle liste de domaines).

  11. Entrez un nom de liste de domainesAllDomains, puis dans la zone de texte Entrez un domaine par ligne, entrez un astérisque :*.

  12. Pour le paramètre de redirection de domaine, acceptez la valeur par défaut et laissez le champ Type de requête (facultatif) vide.

  13. Pour l'action, sélectionnez BLOQUER, puis laissez la réponse à envoyer avec le paramètre par défaut NODATA.

  14. Choisissez Ajouter une règle. Votre règle BlockAlls'affiche dans l'onglet Règles de la WalledGardenExamplepage.

  15. Sur la WalledGardenExamplepage, choisissez Ajouter une règle pour ajouter une deuxième règle à votre groupe de règles.

  16. Dans le volet Détails de la règle, entrez le nom de la règleAllowSelectDomains.

  17. Dans le panneau Domain list (Liste des domaines), sélectionnez Add my own domain list (Ajouter ma propre liste de domaines).

  18. Sous Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines), sélectionnez Create new domain list (Créer une nouvelle liste de domaines).

  19. Saisissez un nom de liste de domaines ExampleDomains.

  20. Dans la zone de texte Entrez un domaine par ligne, sur la première ligne, entrez example.com et sur la deuxième ligne, entrezexample.org.

    Note

    Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.com, ajoutez *.example.com à la liste.

  21. Pour le paramètre de redirection de domaine, acceptez la valeur par défaut et laissez le champ Type de requête (facultatif) vide.

  22. Pour l'action, sélectionnez AUTORISER.

  23. Choisissez Ajouter une règle. Vos règles sont toutes deux affichées dans l'onglet Règles de la WalledGardenExamplepage.

  24. Dans l'onglet Règles de la WalledGardenExamplepage, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la colonne Priorité et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première évaluée. Dans cet exemple, nous voulons que le pare-feu DNS identifie et autorise d'abord les requêtes DNS pour la liste de domaines sélectionnée, puis bloque les requêtes restantes.

    Ajustez la priorité de la règle afin qu'AllowSelectDomainselle ait une priorité inférieure.

Vous disposez désormais d'un groupe de règles qui autorise uniquement les requêtes de domaines spécifiques. Pour commencer à l'utiliser, associez-le à l' VPCs endroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter Gestion des associations entre votre VPC et le groupe de règles Route 53 Resolver DNS Firewall.

Exemple de liste rouge Route 53 Resolver DNS Firewall

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque les domaines que vous considérez comme malveillants. Vous allez également ajouter un type de requête DNS autorisé pour les domaines de la liste bloquée. Le groupe de règles autorise toutes les autres requêtes DNS sortantes via Route 53 Resolver.

Pour configurer une liste rouge de pare-feu DNS à l'aide de l'assistant de la console

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    Choisissez Pare-feu DNS dans le volet de navigation pour ouvrir la page des groupes de règles de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

    - OU -

    Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/vpc/

  2. Dans le volet de navigation, sous Pare-feu DNS, choisissez Groupes de règles.

  3. Dans la barre de navigation, choisissez la région pour le groupe de règles.

  4. Sur la page Rule groups (Groupes de règles), choisissez Add rule group (Ajouter un groupe de règles).

  5. Saisissez BlockListExample comme nom pour le groupe de règles.

    Dans la section Tags, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter Balisage des ressources Amazon Route 53.

  6. Sur la page de BlockListExampledétails, choisissez l'onglet Règles, puis Ajouter une règle.

  7. Dans le panneau Rule details (Détails de la règle), saisissez le nom de la règle BlockList.

  8. Dans le panneau Domain list (Liste des domaines), sélectionnez Add my own domain list (Ajouter ma propre liste de domaines).

  9. Sous Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines), sélectionnez Create new domain list (Créer une nouvelle liste de domaines).

  10. Saisissez un nom de liste de domaines MaliciousDomains, puis dans la zone de texte, saisissez les domaines que vous souhaitez bloquer. Par exemple, example.org. Saisissez un domaine par ligne.

    Note

    Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.org, ajoutez *.example.org à la liste.

  11. Pour le paramètre de redirection de domaine, acceptez la valeur par défaut et laissez le champ Type de requête (facultatif) vide.

  12. Pour l'action, sélectionnez BLOCK, puis laissez la réponse à envoyer au paramètre par défaut de NODATA.

  13. Choisissez Ajouter une règle. Votre règle est affichée dans l'onglet Règles de la BlockListExamplepage.

  14. dans l'onglet Règles de la BlockedListExamplepage, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la colonne Priorité et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première évaluée.

    Sélectionnez et ajustez la priorité de la règle afin qu'elle BlockListsoit évaluée avant ou après toute autre règle que vous pourriez avoir. La plupart du temps, les domaines malveillants connus devraient être bloqués en premier. Autrement dit, les règles qui leur sont associées devraient avoir le numéro de priorité le plus bas.

  15. Pour ajouter une règle autorisant les enregistrements MX pour les BlockList domaines, sur la page de BlockedListExampledétails de l'onglet Règles, sélectionnez Ajouter une règle.

  16. Dans le panneau Rule details (Détails de la règle), saisissez le nom de la règle BlockList-allowMX.

  17. Dans le panneau Domain list (Liste des domaines), sélectionnez Add my own domain list (Ajouter ma propre liste de domaines).

  18. Sous Choisir ou créer une nouvelle liste de domaines, sélectionnezMaliciousDomains.

  19. Pour le paramètre de redirection de domaine, acceptez la valeur par défaut.

  20. Dans la liste des types de requêtes DNS, sélectionnez MX : Spécifie les serveurs de messagerie.

  21. Pour l'action, sélectionnez ALLOW.

  22. Choisissez Ajouter une règle.

  23. dans l'onglet Règles de la BlockedListExamplepage, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la colonne Priorité et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première évaluée.

    Sélectionnez et ajustez la priorité de la règle afin que BlockList-AllowMX soit évalué avant ou après toute autre règle que vous pourriez avoir. Comme vous souhaitez autoriser les requêtes MX, assurez-vous que la règle BlockList-AllowMX a une priorité inférieure à. BlockList

Vous disposez désormais d'un groupe de règles qui bloque les requêtes de domaine malveillantes spécifiques, mais autorise un type de requête DNS spécifique. Pour commencer à l'utiliser, associez-le à l' VPCs endroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter Gestion des associations entre votre VPC et le groupe de règles Route 53 Resolver DNS Firewall.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.