Cara kerja Route 53 Resolver Firewall DNS - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Route 53 Resolver Firewall DNS

Route 53 Resolver DNS Firewall memungkinkan Anda mengontrol akses ke situs dan memblokir ancaman DNS tingkat untuk DNS kueri yang keluar dari Anda VPC melalui Route 53 Resolver. Dengan DNS Firewall, Anda menentukan aturan pemfilteran nama domain dalam grup aturan yang Anda kaitkan dengan AndaVPCs. Anda dapat menentukan daftar nama domain untuk mengizinkan atau memblokir, dan Anda dapat menyesuaikan respons untuk DNS kueri yang Anda blokir. Anda juga dapat menyempurnakan daftar domain untuk memungkinkan jenis kueri tertentu, seperti MX-Records, melalui.

DNSFirewall hanya menyaring nama domain. Tidak menyelesaikan nama itu ke alamat IP yang akan diblokir. Selain itu, DNS Firewall menyaring DNS lalu lintas, tetapi tidak menyaring protokol lapisan aplikasi lainnya, sepertiHTTPS,,SSH, TLSFTP, dan sebagainya.

Route 53 Resolver DNS Firewall komponen dan pengaturan

Anda mengelola DNS Firewall dengan komponen dan pengaturan pusat berikut.

DNSGrup aturan firewall

Mendefinisikan kumpulan aturan DNS Firewall bernama dan dapat digunakan kembali untuk memfilter DNS kueri. Anda mengisi grup aturan dengan aturan pemfilteran, lalu mengaitkan grup aturan dengan satu atau lebih. VPCs Saat Anda mengaitkan grup aturan dengan aVPC, Anda mengaktifkan pemfilteran DNS Firewall untuk. VPC Kemudian, ketika Resolver menerima DNS kueri untuk yang memiliki grup aturan VPC yang terkait dengannya, Resolver meneruskan kueri ke Firewall untuk DNS difilter.

Jika Anda mengaitkan beberapa grup aturan dengan satuVPC, Anda menunjukkan urutan pemrosesannya melalui pengaturan prioritas di setiap asosiasi. DNSFirewall memproses grup aturan VPC untuk pengaturan prioritas numerik terendah di atas.

Untuk informasi selengkapnya, lihat DNSGrup aturan dan aturan firewall.

DNSAturan firewall

Mendefinisikan aturan pemfilteran untuk DNS kueri dalam grup aturan DNS Firewall. Setiap aturan menentukan satu daftar domain dan tindakan untuk mengambil DNS kueri yang domainnya cocok dengan spesifikasi domain dalam daftar. Anda dapat mengizinkan, memblokir, atau memperingatkan tentang kueri yang cocok, atau jenis kueri untuk domain dalam daftar, misalnya, Anda dapat memblokir atau mengizinkan jenis kueri MX untuk domain atau domain tertentu. Anda juga dapat menentukan respon kustom untuk kueri yang diblokir.

Setiap aturan dalam grup aturan memiliki setelan prioritas yang unik dalam grup aturan. DNSFirewall memproses aturan dalam grup aturan dari pengaturan prioritas numerik terendah di atas.

DNSAturan firewall hanya ada dalam konteks grup aturan di mana mereka didefinisikan. Anda tidak dapat menggunakan kembali aturan atau mereferensikannya terlepas dari grup aturannya.

Untuk informasi selengkapnya, lihat DNSGrup aturan dan aturan firewall.

Daftar domain

Mendefinisikan koleksi spesifikasi domain bernama yang dapat digunakan kembali untuk digunakan dalam DNS pemfilteran. Setiap aturan dalam grup aturan memerlukan satu daftar domain. Anda dapat memilih untuk menentukan domain yang ingin Anda izinkan aksesnya, domain yang ingin Anda tolak aksesnya, atau kombinasi keduanya. Anda dapat membuat daftar domain Anda sendiri dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda.

Untuk informasi selengkapnya, lihat Route 53 Resolver DNS Firewall daftar domain.

Pengaturan pengalihan domain

Pengaturan pengalihan domain memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memeriksa semua domain dalam rantai DNS pengalihan (default), seperti,, dll. CNAMEDNAME, Atau hanya domain pertama dan mempercayai sisanya. Jika Anda memilih untuk memeriksa seluruh rantai DNS pengalihan, Anda harus menambahkan domain berikutnya ke daftar domain yang diatur ALLOW dalam aturan. Jika Anda memilih untuk memeriksa seluruh rantai DNS pengalihan, Anda harus menambahkan domain berikutnya ke daftar domain dan mengatur ke tindakan yang Anda ingin aturan untuk mengambil, baikALLOW, BLOCK atau. ALERT

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

Jenis kueri

Pengaturan tipe kueri memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memfilter jenis DNS kueri tertentu. Jika Anda tidak memilih jenis kueri, aturan diterapkan ke semua jenis DNS kueri. Misalnya, Anda mungkin ingin memblokir semua jenis kueri untuk domain tertentu, tetapi mengizinkan catatan MX.

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

Asosiasi antara grup aturan DNS Firewall dan VPC

Mendefinisikan perlindungan untuk VPC menggunakan grup aturan DNS Firewall dan mengaktifkan konfigurasi DNS Firewall Resolver untuk. VPC

Jika Anda mengaitkan beberapa grup aturan dengan satuVPC, Anda menunjukkan urutan pemrosesannya melalui pengaturan prioritas dalam asosiasi. DNSFirewall memproses grup aturan VPC untuk pengaturan prioritas numerik terendah di atas.

Untuk informasi selengkapnya, lihat Mengaktifkan perlindungan Route 53 Resolver DNS Firewall untuk Anda VPC.

Konfigurasi Resolver DNS Firewall untuk a VPC

Menentukan bagaimana Resolver harus menangani perlindungan DNS Firewall di tingkat. VPC Konfigurasi ini berlaku setiap kali Anda memiliki setidaknya satu grup aturan DNS Firewall yang terkait denganVPC.

Konfigurasi ini menentukan bagaimana Route 53 Resolver menangani kueri saat DNS Firewall gagal memfilternya. Secara default, jika Resolver tidak menerima respons dari DNS Firewall untuk kueri, itu gagal ditutup dan memblokir kueri.

Untuk informasi selengkapnya, lihat DNSVPCKonfigurasi firewall.

Memantau tindakan DNS Firewall

Anda dapat menggunakan Amazon CloudWatch untuk memantau jumlah DNS kueri yang difilter oleh grup aturan DNS Firewall. CloudWatch mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata.

Untuk informasi selengkapnya, lihat Memantau grup aturan Route 53 Resolver DNS Firewall dengan Amazon CloudWatch.

Anda dapat menggunakan Amazon EventBridge, layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan.

Untuk informasi selengkapnya, lihat Mengelola acara Route 53 Resolver DNS Firewall menggunakan Amazon EventBridge.

Bagaimana Route 53 Resolver DNS Firewall memfilter kueri DNS

Ketika grup aturan DNS Firewall dikaitkan dengan Route 53 Resolver AndaVPC, lalu lintas berikut difilter oleh firewall:

  • DNSpertanyaan yang berasal dari itu VPC dan melewatinya. VOC DNS

  • DNSkueri yang melewati titik akhir Resolver dari sumber daya lokal ke yang sama yang memiliki DNS Firewall yang terkait dengan VPC resolvernya.

Saat DNS Firewall menerima DNS kueri, Firewall memfilter kueri menggunakan grup aturan, aturan, dan pengaturan lain yang telah Anda konfigurasikan dan mengirimkan hasilnya kembali ke Resolver:

  • DNSFirewall mengevaluasi DNS kueri menggunakan grup aturan yang terkait dengan VPC hingga menemukan kecocokan atau kehabisan semua grup aturan. DNSFirewall mengevaluasi grup aturan dalam urutan prioritas yang Anda tetapkan dalam asosiasi, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, silakan lihat DNSGrup aturan dan aturan firewall dan Mengaktifkan perlindungan Route 53 Resolver DNS Firewall untuk Anda VPC.

  • Dalam setiap grup aturan, DNS Firewall mengevaluasi DNS kueri terhadap daftar domain masing-masing aturan hingga menemukan kecocokan atau kehabisan semua aturan. DNSFirewall mengevaluasi aturan dalam urutan prioritas, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, lihat DNSGrup aturan dan aturan firewall.

  • Ketika DNS Firewall menemukan kecocokan dengan daftar domain aturan, Firewall mengakhiri evaluasi kueri dan merespons Resolver dengan hasilnya. Jika tindakannyaalert, DNS Firewall juga mengirimkan peringatan ke log Resolver yang dikonfigurasi. Untuk informasi selengkapnya, silakan lihat Tindakan aturan di DNS Firewall dan Route 53 Resolver DNS Firewall daftar domain.

  • Jika DNS Firewall mengevaluasi semua grup aturan tanpa menemukan kecocokan, Firewall merespons kueri seperti biasa.

Resolver merutekan kueri sesuai dengan respons dari DNS Firewall. Jika DNS Firewall gagal merespons, Resolver menerapkan mode gagal DNS Firewall VPC yang dikonfigurasi. Untuk informasi selengkapnya, lihat DNSVPCKonfigurasi firewall.

Langkah-langkah tingkat tinggi untuk menggunakan Route 53 Resolver Firewall DNS

Untuk menerapkan pemfilteran Route 53 Resolver DNS Firewall di Amazon Virtual Private CloudVPC, Anda melakukan langkah-langkah tingkat tinggi berikut.

  • Tentukan pendekatan pemfilteran dan daftar domain Anda – Putuskan bagaimana Anda ingin memfilter kueri, mengidentifikasi spesifikasi domain yang Anda perlukan, dan menentukan logika yang akan Anda gunakan untuk mengevaluasi kueri. Misalnya, Anda mungkin ingin mengizinkan semua kueri kecuali kueri yang ada dalam daftar domain buruk yang diketahui. Atau Anda mungkin ingin melakukan yang sebaliknya dan memblokir semua kecuali daftar domain yang disetujui, dalam apa yang dikenal sebagai pendekatan walled garden. Anda dapat membuat dan mengelola daftar sendiri spesifikasi domain yang disetujui atau diblokir dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda.Untuk informasi tentang daftar domain, lihat. Route 53 Resolver DNS Firewall daftar domain

  • Buat grup aturan firewall — Di DNS Firewall, buat grup aturan untuk memfilter DNS kueri untuk AndaVPC. Anda harus membuat grup aturan di setiap Wilayah tempat Anda ingin menggunakannya. Anda mungkin juga ingin memisahkan perilaku pemfilteran Anda menjadi lebih dari satu grup aturan untuk digunakan kembali dalam beberapa skenario pemfilteran untuk perbedaan Anda. VPCs Untuk informasi tentang grup aturan, lihat DNSGrup aturan dan aturan firewall.

  • Menambahkan dan mengonfigurasi aturan Anda – Tambahkan aturan ke grup aturan Anda untuk setiap daftar domain dan perilaku pemfilteran yang Anda inginkan agar diberikan oleh grup aturan. Tetapkan setelan prioritas untuk aturan Anda sehingga aturan tersebut diproses dalam urutan yang benar dalam grup aturan, dengan memberikan prioritas terendah pada aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi tentang aturan, lihat DNSGrup aturan dan aturan firewall.

  • Kaitkan grup aturan ke grup Anda VPC — Untuk mulai menggunakan grup aturan DNS Firewall Anda, kaitkan dengan grup aturan AndaVPC. Jika Anda menggunakan lebih dari satu grup aturan untuk AndaVPC, tetapkan prioritas setiap asosiasi sehingga grup aturan diproses dalam urutan yang benar, berikan prioritas terendah ke grup aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi selengkapnya, lihat Mengelola asosiasi antara VPC grup aturan Route 53 Resolver DNS Firewall Anda.

  • (Opsional) Ubah konfigurasi firewall untuk VPC — Jika Anda ingin Route 53 Resolver memblokir kueri saat DNS Firewall gagal mengirim respons kembali untuk mereka, di Resolver, ubah konfigurasi Firewall. VPC DNS Untuk informasi selengkapnya, lihat DNSVPCKonfigurasi firewall.

Menggunakan grup aturan Route 53 Resolver DNS Firewall di beberapa Wilayah

Route 53 Resolver DNS Firewall adalah layanan Regional, sehingga objek yang Anda buat di satu AWS Wilayah hanya tersedia di Wilayah tersebut. Untuk menggunakan grup aturan yang sama di lebih dari satu Wilayah, Anda harus membuatnya di setiap Wilayah.

AWS Akun yang membuat grup aturan dapat membagikannya dengan AWS akun lain. Untuk informasi selengkapnya, lihat Berbagi grup aturan Route 53 Resolver DNS Firewall antar akun AWS.