Comment fonctionne le DNS pare-feu Route 53 Resolver - Amazon Route 53
DNSComposants et paramètres du pare-feuComment le DNS pare-feu Route 53 Resolver filtre les requêtes DNSÉtapes de haut niveau pour l'utilisation DNS du pare-feuUtilisation de groupes de règles de DNS pare-feu dans plusieurs régions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne le DNS pare-feu Route 53 Resolver

Le DNS pare-feu Route 53 Resolver vous permet de contrôler l'accès aux sites et de bloquer les DNS menaces en cas de DNS requêtes provenant de vous VPC via le résolveur Route 53. Avec DNS Firewall, vous définissez les règles de filtrage des noms de domaine dans les groupes de règles que vous associez à votreVPCs. Vous pouvez définir des listes de noms de domaine à autoriser ou à bloquer, et vous pouvez personnaliser les réponses aux DNS requêtes que vous bloquez. Vous pouvez également affiner les listes de domaines pour autoriser certains types de requêtes, tels que les enregistrements MX, à passer.

DNSLe pare-feu filtre uniquement sur le nom de domaine. Il ne résout pas ce nom en une adresse IP à bloquer. En outre, le DNS pare-feu filtre le DNS trafic, mais il ne filtre pas les autres protocoles de la couche application HTTPSSSH, tels que TLSFTP,,,,, etc.

Composants et paramètres du DNS pare-feu Route 53 Resolver

Vous gérez le DNS pare-feu à l'aide des composants et paramètres centraux suivants.

DNSGroupe de règles de pare-feu

Définit un ensemble nommé et réutilisable de règles de DNS pare-feu pour le filtrage DNS des requêtes. Vous renseignez le groupe de règles avec les règles de filtrage, puis vous associez le groupe de règles à une ou plusieurs VPCs d'entre elles. Lorsque vous associez un groupe de règles à unVPC, vous activez le filtrage du DNS pare-feu pour leVPC. Ensuite, lorsque Resolver reçoit une DNS requête pour un VPC groupe de règles associé, Resolver transmet la requête au DNS Firewall pour filtrage.

Si vous associez plusieurs groupes de règles à un seulVPC, vous indiquez leur ordre de traitement par le biais du paramètre de priorité de chaque association. DNSLe pare-feu traite les groupes de règles selon le paramètre VPC de priorité numérique le plus bas et le plus élevé.

Pour de plus amples informations, veuillez consulter DNSGroupes de règles et règles de pare-feu.

DNSRègle de pare-feu

Définit une règle de filtrage pour les DNS requêtes d'un groupe de règles de DNS pare-feu. Chaque règle spécifie une liste de domaines et une action à effectuer sur les DNS requêtes dont les domaines correspondent aux spécifications de domaine de la liste. Vous pouvez autoriser, bloquer ou alerter sur les requêtes correspondantes, ou sur les types de requêtes pour les domaines de la liste. Par exemple, vous pouvez bloquer ou autoriser un type de requête MX pour un ou plusieurs domaines spécifiques. Vous pouvez également définir des réponses personnalisées pour les requêtes bloquées.

Chaque règle d'un groupe de règles possède un paramètre de priorité qui est unique au sein du groupe de règles. DNSLe pare-feu traite les règles d'un groupe de règles à partir du paramètre de priorité numérique le plus bas.

DNSLes règles de pare-feu n'existent que dans le contexte du groupe de règles dans lequel elles sont définies. Vous ne pouvez pas réutiliser une règle ou la référencer indépendamment de son groupe de règles.

Pour de plus amples informations, veuillez consulter DNSGroupes de règles et règles de pare-feu.

Domain list (Liste des domaines)

Définit un ensemble nommé et réutilisable de spécifications de domaine à utiliser pour le DNS filtrage. Chaque règle d'un groupe de règles nécessite une liste de domaines unique. Vous pouvez choisir d'indiquer les domaines auxquels vous souhaitez autoriser l'accès, les domaines auxquels vous souhaitez refuser l'accès ou une combinaison des deux. Vous pouvez créer vos propres listes de domaines et utiliser des listes de domaines AWS gérées pour vous.

Pour de plus amples informations, veuillez consulter Listes de domaines Route 53 Resolver DNS Firewall.

Paramètre de redirection de domaine

Le paramètre de redirection de domaine vous permet de configurer une règle de DNS pare-feu pour inspecter tous les domaines de la chaîne de DNS redirection (par défaut)CNAME, tels queDNAME, etc., ou simplement le premier domaine et faire confiance au reste. Si vous choisissez d'inspecter l'ensemble de la chaîne de DNS redirection, vous devez ajouter les domaines suivants à une liste de domaines définie ALLOW dans la règle. Si vous choisissez d'inspecter l'ensemble de la chaîne de DNS redirection, vous devez ajouter les domaines suivants à une liste de domaines et définir l'action que vous souhaitez que la règle exécuteALLOW, soitBLOCK, soitALERT.

Pour de plus amples informations, veuillez consulter Paramètres des règles dans DNS Firewall.

Type de requête

Le paramètre du type de requête vous permet de configurer une règle de DNS pare-feu pour filtrer un type de DNS requête particulier. Si vous ne sélectionnez aucun type de requête, la règle s'applique à tous les types de DNS requêtes. Par exemple, vous souhaiterez peut-être bloquer tous les types de requêtes pour un domaine particulier, mais autoriser les enregistrements MX.

Pour de plus amples informations, veuillez consulter Paramètres des règles dans DNS Firewall.

Association entre un groupe de règles de DNS pare-feu et un VPC

Définit une protection pour un groupe de règles VPC utilisant un DNS pare-feu et active la configuration du DNS pare-feu Resolver pour leVPC.

Si vous associez plusieurs groupes de règles à un seulVPC, vous indiquez leur ordre de traitement par le biais du paramètre de priorité défini dans les associations. DNSLe pare-feu traite les groupes de règles selon le paramètre VPC de priorité numérique le plus bas et le plus élevé.

Pour de plus amples informations, veuillez consulter Activer les protections du DNS pare-feu Route 53 Resolver pour votre VPC.

Configuration du DNS pare-feu Resolver pour un VPC

Spécifie la manière dont Resolver doit gérer les protections par DNS pare-feu au VPC niveau. Cette configuration est effective chaque fois qu'au moins un groupe de règles de DNS pare-feu est associé auVPC.

Cette configuration indique comment Route 53 Resolver gère les requêtes lorsque le DNS pare-feu ne parvient pas à les filtrer. Par défaut, si Resolver ne reçoit pas de réponse du DNS Firewall pour une requête, il échoue à se fermer et bloque la requête.

Pour de plus amples informations, veuillez consulter DNSVPCConfiguration du pare-feu.

Surveillance des actions DNS du pare-feu

Vous pouvez utiliser Amazon CloudWatch pour surveiller le nombre de DNS requêtes filtrées par les groupes de règles du DNS pare-feu. CloudWatch collecte et traite les données brutes pour en faire des indicateurs lisibles en temps quasi réel.

Pour de plus amples informations, veuillez consulter Surveillance des groupes de règles du DNS pare-feu Route 53 Resolver avec Amazon CloudWatch.

Vous pouvez utiliser Amazon EventBridge, un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, afin de créer des applications évolutives pilotées par des événements.

Pour de plus amples informations, veuillez consulter Gestion des événements du DNS pare-feu Route 53 Resolver à l'aide de Amazon EventBridge.

Comment le DNS pare-feu Route 53 Resolver filtre les requêtes DNS

Lorsqu'un groupe de règles de DNS pare-feu est associé à votre VPC résolveur Route 53, le trafic suivant est filtré par le pare-feu :

  • DNSrequêtes provenant de celui-ciVPC.

  • DNSrequêtes qui transitent par les points de terminaison du résolveur depuis des ressources locales vers VPC celui auquel un DNS pare-feu est associé à son résolveur.

Lorsque DNS Firewall reçoit une DNS requête, il la filtre en utilisant les groupes de règles, les règles et les autres paramètres que vous avez configurés et renvoie les résultats à Resolver :

  • DNSFirewall évalue la DNS requête à l'aide des groupes de règles associés au VPC jusqu'à ce qu'il trouve une correspondance ou qu'il épuise tous les groupes de règles. DNSFirewall évalue les groupes de règles par ordre de priorité que vous avez défini dans l'association, en commençant par le paramètre numérique le plus bas. Pour plus d’informations, consultez DNSGroupes de règles et règles de pare-feu et Activer les protections du DNS pare-feu Route 53 Resolver pour votre VPC.

  • Au sein de chaque groupe de règles, DNS Firewall évalue la DNS requête par rapport à la liste de domaines de chaque règle jusqu'à ce qu'il trouve une correspondance ou qu'il épuise toutes les règles. DNSLe pare-feu évalue les règles par ordre de priorité, en commençant par le paramètre numérique le plus bas. Pour de plus amples informations, veuillez consulter DNSGroupes de règles et règles de pare-feu.

  • Lorsque DNS Firewall trouve une correspondance avec la liste de domaines d'une règle, il met fin à l'évaluation de la requête et répond au Resolver avec le résultat. Si c'est le casalert, DNS Firewall envoie également une alerte aux journaux du résolveur configurés. Pour plus d’informations, consultez Actions relatives aux règles dans DNS Firewall et Listes de domaines Route 53 Resolver DNS Firewall.

  • Si DNS Firewall évalue tous les groupes de règles sans trouver de correspondance, il répond normalement à la requête.

Le résolveur achemine la requête en fonction de la réponse du DNS pare-feu. Dans le cas peu probable où le DNS pare-feu ne répondrait pas, Resolver applique le mode d'échec VPC du DNS pare-feu configuré. Pour de plus amples informations, veuillez consulter DNSVPCConfiguration du pare-feu.

Étapes de haut niveau pour utiliser le pare-feu Route 53 Resolver DNS

Pour implémenter le filtrage Route 53 Resolver DNS Firewall dans votre Amazon Virtual Private CloudVPC, vous devez suivre les étapes de haut niveau suivantes.

  • Définissez votre approche de filtrage et vos listes de domaines : décidez de la manière dont vous souhaitez filtrer les requêtes, identifiez les spécifications de domaine dont vous aurez besoin et définissez la logique que vous utiliserez pour évaluer les requêtes. Par exemple, vous voudrez peut-être autoriser toutes les requêtes, excepté celles qui se trouvent dans une liste de domaines malveillants connus. Ou vous voudrez peut-être faire le contraire et bloquer tous les domaines, sauf ceux qui se trouvent dans une liste approuvée, une approche appelée « walled garden » (jardin fermé). Vous pouvez créer et gérer vos propres listes de spécifications de domaines approuvés ou bloqués et vous pouvez utiliser des listes de domaines gérées pour vous. Pour plus d'informations sur les listes de domaines, consultez. AWS Listes de domaines Route 53 Resolver DNS Firewall

  • Créer un groupe de règles de DNS pare-feu — Dans Firewall, créez un groupe de règles pour filtrer les DNS requêtes pour votreVPC. Vous devez créer un groupe de règles dans chaque région où vous souhaitez l'utiliser. Vous souhaiterez peut-être également séparer votre comportement de filtrage en plusieurs groupes de règles afin de pouvoir le réutiliser dans plusieurs scénarios de filtrage adaptés à vos différentsVPCs. Pour de plus amples informations sur les groupes de règles, reportez-vous à la section DNSGroupes de règles et règles de pare-feu.

  • Ajoutez et configurez vos règles : ajoutez une règle à votre groupe de règles pour chaque liste de domaines et comportement de filtrage que vous souhaitez que le groupe de règles fournisse. Définissez les paramètres de priorité de vos règles afin qu'elles soient traitées dans le bon ordre au sein du groupe de règles, en accordant la priorité la plus faible à la règle que vous souhaitez évaluer en premier. Pour de plus amples informations sur les règles, veuillez consulter DNSGroupes de règles et règles de pare-feu.

  • Associer le groupe de règles à votre VPC : pour commencer à utiliser votre groupe de règles de DNS pare-feu, associez-le à votreVPC. Si vous utilisez plusieurs groupes de règles pour votreVPC, définissez la priorité de chaque association afin que les groupes de règles soient traités dans le bon ordre, en accordant la priorité la plus faible au groupe de règles que vous souhaitez évaluer en premier. Pour de plus amples informations, veuillez consulter Gestion des associations entre votre groupe de règles VPC et votre groupe de règles Route 53 Resolver DNS Firewall.

  • (Facultatif) Modifiez la configuration du pare-feu pour VPC — Si vous souhaitez que le résolveur Route 53 bloque les requêtes lorsque le DNS pare-feu ne leur renvoie pas de réponse, dans Resolver, modifiez la configuration VPC du DNS pare-feu. Pour de plus amples informations, veuillez consulter DNSVPCConfiguration du pare-feu.

Utilisation des groupes de règles du DNS pare-feu Route 53 Resolver dans plusieurs régions

Route 53 Resolver DNS Firewall étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez la créer dans chaque région.

Le AWS compte qui a créé un groupe de règles peut le partager avec d'autres AWS comptes. Pour de plus amples informations, veuillez consulter Partage de groupes de règles Route 53 Resolver DNS Firewall entre comptes AWS.