Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan DNS Firewall untuk menyaring lalu lintas DNS keluar
<a name="resolver-dns-firewall"></a>

Dengan Resolver DNS Firewall, Anda dapat memfilter dan mengatur lalu lintas DNS keluar untuk virtual private cloud (VPC) Anda. Untuk melakukannya, Anda membuat kumpulan aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall, mengasosiasikan grup aturan ke VPC Anda, lalu memantau aktivitas di log dan metrik DNS Firewall. Berdasarkan aktivitas, Anda dapat menyesuaikan perilaku DNS Firewall. 

DNS Firewall memberikan perlindungan untuk permintaan DNS keluar dari Anda. VPCs Permintaan ini dirutekan melalui VPC Resolver untuk resolusi nama domain. Penggunaan utama perlindungan DNS Firewall adalah untuk membantu mencegah eksfiltrasi DNS data Anda. Eksfiltrasi DNS dapat terjadi saat orang jahat menyusup ke instans aplikasi di VPC Anda dan kemudian menggunakan pencarian DNS untuk mengirim data keluar dari VPC ke domain yang mereka kontrol. Dengan DNS Firewall, Anda dapat memantau dan mengontrol domain yang dapat dimintai oleh aplikasi Anda. Anda dapat menolak akses ke domain yang Anda tahu buruk dan mengizinkan semua kueri lainnya untuk melewatinya. Sebagai alternatif, Anda dapat menolak akses ke semua domain kecuali domain yang Anda percayai secara eksplisit. 

Anda juga dapat menggunakan DNS Firewall untuk memblokir permintaan resolusi ke sumber daya di zona yang di-hosting pribadi (bersama atau lokal) termasuk nama VPC endpoint. Hal ini juga dapat memblokir permintaan untuk nama instans Amazon EC2 publik atau swasta.

DNS Firewall adalah fitur dari Route 53 VPC Resolver dan tidak memerlukan pengaturan VPC Resolver tambahan untuk digunakan. 

**AWS Firewall Manager mendukung DNS Firewall**  
Anda dapat menggunakan Firewall Manager untuk mengonfigurasi dan mengelola asosiasi grup aturan DNS Firewall secara terpusat untuk VPCs seluruh akun Anda. AWS Organizations Firewall Manager secara otomatis menambahkan asosiasi untuk VPCs itu masuk ke dalam cakupan kebijakan Firewall Manager DNS Firewall Anda. Untuk informasi selengkapnya, lihat [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)di *AWS WAF AWS Firewall Manager, dan Panduan AWS Shield Advanced Pengembang*.

**Bagaimana DNS Firewall bekerja dengan AWS Network Firewall**  
DNS Firewall dan Network Firewall keduanya menawarkan penyaringan nama domain, tetapi untuk berbagai jenis lalu lintas. Dengan DNS Firewall dan Network Firewall bersama-sama, Anda dapat mengonfigurasi pemfilteran berbasis domain untuk lalu lintas lapisan aplikasi melalui dua jalur jaringan yang berbeda. 
+ DNS Firewall menyediakan pemfilteran untuk kueri DNS keluar yang melewati Route 53 VPC Resolver dari aplikasi di dalam Anda. VPCs Anda juga dapat mengonfigurasi DNS Firewall untuk mengirim respons kustom untuk permintaan ke nama domain yang diblokir. 
+ Network Firewall menyediakan pemfilteran untuk lalu lintas lapisan jaringan dan aplikasi, tetapi tidak memiliki visibilitas ke dalam kueri yang dibuat oleh Route 53 VPC Resolver. 

Untuk informasi selengkapnya tentang Network Firewall, lihat [Panduan Developer Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

# Cara kerja Resolver DNS Firewall
<a name="resolver-dns-firewall-overview"></a>

Resolver DNS Firewall memungkinkan Anda mengontrol akses ke situs dan memblokir ancaman tingkat DNS untuk kueri DNS yang keluar dari VPC Anda melalui Route 53 VPC Resolver. Dengan DNS Firewall, Anda menentukan aturan pemfilteran nama domain dalam grup aturan yang Anda kaitkan dengan Anda. VPCs Anda dapat menentukan daftar nama domain untuk mengizinkan atau memblokir, atau Resolver DNS Firewall Aturan lanjutan yang menawarkan perlindungan dari tunneling DNS dan ancaman berbasis Domain Generation Algorithm (DGA). Anda dapat menyesuaikan respons untuk kueri DNS yang Anda blokir. Untuk aturan yang berisi daftar domain, Anda juga dapat menyempurnakan aturan untuk mengizinkan jenis kueri tertentu, seperti MX-Records, melalui. 

DNS Firewall hanya memfilter pada nama domain. Tidak menyelesaikan nama itu ke alamat IP yang akan diblokir. Selain itu, DNS Firewall menyaring lalu lintas DNS, tetapi tidak menyaring protokol lapisan aplikasi lainnya, seperti HTTPS, SSH, TLS, FTP, dan sebagainya.

## Resolver DNS Firewall komponen dan pengaturan
<a name="resolver-dns-firewall-components"></a>

Anda mengelola DNS Firewall dengan komponen pusat dan pengaturan berikut.

**Kelompok aturan DNS Firewall**  
Mendefinisikan bernama, koleksi dapat digunakan kembali aturan DNS Firewall untuk menyaring permintaan DNS. Anda mengisi grup aturan dengan aturan pemfilteran, lalu mengaitkan grup aturan dengan satu atau lebih. VPCs Ketika Anda mengaitkan grup aturan dengan VPC, Anda mengaktifkan penyaringan DNS Firewall untuk VPC. Kemudian, ketika VPC Resolver menerima kueri DNS untuk VPC yang memiliki grup aturan yang terkait dengannya, VPC Resolver meneruskan kueri ke DNS Firewall untuk difilter.   
Jika Anda mengasosiasikan beberapa grup aturan dengan satu VPC, Anda menunjukkan urutan pemrosesannya melalui setelan prioritas di setiap asosiasi. DNS Firewall memproses grup aturan untuk VPC dari pengaturan prioritas numerik terendah ke atas.   
Untuk informasi selengkapnya, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md). 

**Aturan DNS Firewall**  
Menentukan aturan pemfilteran untuk kueri DNS dalam grup aturan DNS Firewall. Setiap aturan menentukan satu daftar domain, atau perlindungan DNS Firewall dan tindakan yang harus diambil pada kueri DNS yang domainnya cocok dengan spesifikasi domain dalam aturan. Anda dapat mengizinkan (aturan dengan daftar domain saja), memblokir, atau memperingatkan adanya kueri yang cocok. Dalam aturan dengan daftar domain, Anda juga dapat menentukan jenis kueri untuk domain dalam daftar, misalnya, Anda dapat memblokir atau mengizinkan jenis kueri MX untuk satu atau beberapa domain tertentu. Anda juga dapat menentukan respons kustom untuk kueri yang diblokir.   
Untuk aturan DNS Firewall, Anda hanya dapat memblokir atau memperingatkan pada kueri yang cocok.  
Setiap aturan dalam grup aturan memiliki setelan prioritas yang unik dalam grup aturan. DNS Firewall memproses aturan dalam grup aturan dari pengaturan prioritas numerik terendah ke atas.   
Aturan DNS Firewall hanya ada dalam konteks grup aturan tempat aturan tersebut ditetapkan. Anda tidak dapat menggunakan kembali aturan atau mereferensikannya terlepas dari grup aturannya.   
Untuk informasi selengkapnya, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md). 

**Daftar domain**  
Mendefinisikan kumpulan spesifikasi domain bernama yang dapat digunakan kembali untuk digunakan dalam pemfilteran DNS. Setiap aturan dalam grup aturan memerlukan satu daftar domain. Anda dapat memilih untuk menentukan domain yang ingin Anda izinkan aksesnya, domain yang ingin Anda tolak aksesnya, atau kombinasi keduanya. Anda dapat membuat daftar domain Anda sendiri dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda.  
Untuk informasi selengkapnya, lihat [Daftar domain DNS Firewall Resolver](resolver-dns-firewall-domain-lists.md). 

**Pengaturan pengalihan domain (Hanya daftar Domain)**  
Pengaturan pengalihan domain memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memeriksa semua domain dalam rantai pengalihan DNS (default), seperti CNAME, DNAME, dll., Atau hanya domain pertama dan mempercayai sisanya. Jika Anda memilih untuk memeriksa seluruh rantai pengalihan DNS, Anda harus menambahkan domain berikutnya ke daftar domain yang disetel ke ALLOW dalam aturan. Jika Anda memilih untuk memeriksa seluruh rantai pengalihan DNS, Anda harus menambahkan domain berikutnya ke daftar domain dan mengatur tindakan yang ingin Anda ambil aturan, baik ALLOW, BLOCK, atau ALERT.  
Perilaku kepercayaan dari pengaturan pengalihan domain hanya berlaku dalam satu transaksi kueri DNS. Jika klien DNS di host Anda secara terpisah menanyakan domain yang muncul dalam rantai pengalihan DNS (misalnya, menanyakan target pengalihan secara langsung), DNS Firewall mengevaluasinya sebagai kueri independen tanpa konteks kepercayaan dari kueri asli. Untuk mengizinkan kueri tersebut, tambahkan domain target pengalihan ke daftar domain Anda.
Untuk informasi selengkapnya, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Jenis kueri (hanya daftar Domain)**  
Pengaturan tipe kueri memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memfilter jenis kueri DNS tertentu. Jika Anda tidak memilih jenis kueri, aturan diterapkan ke semua jenis kueri DNS. Misalnya, Anda mungkin ingin memblokir semua jenis kueri untuk domain tertentu, tetapi mengizinkan catatan MX.  
Untuk informasi selengkapnya, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**DNS Firewall Perlindungan tingkat lanjut**  
Mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Setiap aturan dalam grup aturan memerlukan satu pengaturan perlindungan DNS Firewall Advanced. Anda dapat memilih perlindungan dari:  
+ Algoritma Pembuatan Domain () DGAs

  DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.
+ Terowongan DNS

  Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.
+ Kamus DGA

  Kamus DGAs digunakan oleh penyerang untuk menghasilkan domain menggunakan kata-kata kamus untuk menghindari deteksi dalam komunikasi malware. command-and-control
Dalam aturan DNS Firewall Advanced, Anda dapat memilih untuk memblokir, atau memberi peringatan pada kueri yang cocok dengan ancaman. Algoritma perlindungan ancaman dikelola dan diperbarui oleh AWS.  
Untuk informasi selengkapnya, lihat [Resolver DNS Firewall Lanjutan](firewall-advanced.md). 

**Ambang kepercayaan (hanya perlindungan DNS Firewall Advanced)**  
Ambang batas kepercayaan untuk perlindungan ancaman DNS. Nilai ini harus diisi saat membuat aturan DNS Firewall Advanced. Nilai tingkat kepercayaan berarti:  
+ Tinggi – Hanya mendeteksi ancaman yang telah dikonfirmasi dengan tingkat false positive yang rendah.
+ Sedang – Menyediakan keseimbangan antara deteksi ancaman dan false positive.
+ Rendah – Memberikan tingkat deteksi tertinggi untuk ancaman, tetapi juga meningkatkan false positive.
Untuk informasi selengkapnya, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Asosiasi antara grup aturan DNS Firewall dan VPC**  
Mendefinisikan perlindungan untuk VPC menggunakan grup aturan DNS Firewall dan mengaktifkan konfigurasi VPC Resolver DNS Firewall untuk VPC.   
Jika Anda mengasosiasikan beberapa grup aturan dengan satu VPC, Anda menunjukkan urutan pemrosesannya melalui setelan prioritas dalam asosiasi. DNS Firewall memproses grup aturan untuk VPC dari pengaturan prioritas numerik terendah ke atas.   
Untuk informasi selengkapnya, lihat [Mengaktifkan perlindungan Resolver DNS Firewall untuk VPC Anda](resolver-dns-firewall-vpc-protections.md). 

**Konfigurasi DNS Firewall untuk VPC**  
Menentukan bagaimana VPC Resolver harus menangani perlindungan DNS Firewall di tingkat VPC. Konfigurasi ini berlaku setiap kali Anda memiliki setidaknya satu grup aturan DNS Firewall yang terkait dengan VPC.   
Konfigurasi ini menentukan bagaimana Route 53 VPC Resolver menangani kueri ketika DNS Firewall gagal memfilternya. Secara default, jika VPC Resolver tidak menerima respons dari DNS Firewall untuk kueri, itu gagal ditutup dan memblokir kueri.  
Untuk informasi selengkapnya, lihat [Konfigurasi VPC DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

**Memantau tindakan DNS Firewall**  
Anda dapat menggunakan Amazon CloudWatch untuk memantau jumlah kueri DNS yang difilter oleh grup aturan DNS Firewall. CloudWatch mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata.   
Untuk informasi selengkapnya, lihat [Memantau grup aturan DNS Firewall Resolver dengan Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).  
Anda dapat menggunakan Amazon EventBridge, layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan.  
Untuk informasi selengkapnya, lihat [Mengelola peristiwa Resolver DNS Firewall menggunakan Amazon EventBridge](dns-firewall-eventbridge-integration.md).

## Bagaimana Resolver DNS Firewall menyaring kueri DNS
<a name="resolver-dns-firewall-behavior"></a>

Ketika grup aturan DNS Firewall dikaitkan dengan Resolver VPC Route 53 VPC VPC Anda, lalu lintas berikut difilter oleh firewall:
+ Kueri DNS yang berasal dari VPC itu dan melewati VPC DNS.
+ Permintaan DNS yang melewati titik akhir Resolver dari sumber daya lokal ke VPC yang sama yang memiliki DNS Firewall yang terkait dengan resolver.

Saat DNS Firewall menerima kueri DNS, DNS memfilter kueri menggunakan grup aturan, aturan, dan pengaturan lain yang telah Anda konfigurasikan dan mengirimkan hasilnya kembali ke VPC Resolver: 
+ DNS Firewall mengevaluasi permintaan DNS menggunakan grup aturan yang terkait dengan VPC sampai menemukan kecocokan atau kehabisan semua kelompok aturan. DNS Firewall mengevaluasi kelompok aturan dalam urutan prioritas yang Anda tetapkan dalam asosiasi, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md) dan [Mengaktifkan perlindungan Resolver DNS Firewall untuk VPC Anda](resolver-dns-firewall-vpc-protections.md).
+ Dalam setiap grup aturan, DNS Firewall mengevaluasi kueri DNS terhadap daftar domain masing-masing aturan atau perlindungan DNS Firewall Advanced hingga menemukan kecocokan atau kehabisan semua aturan. DNS Firewall mengevaluasi aturan dalam urutan prioritas, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Ketika DNS Firewall menemukan kecocokan dengan daftar domain aturan, atau anomali yang diidentifikasi oleh proteksi aturan DNS Firewall Advanced, itu mengakhiri evaluasi kueri dan merespons Resolver VPC dengan hasilnya. Jika tindakannya`alert`, DNS Firewall juga mengirimkan peringatan ke log Resolver VPC yang dikonfigurasi. Lihat informasi selengkapnya di [Aturan tindakan di DNS Firewall](resolver-dns-firewall-rule-actions.md), [Daftar domain DNS Firewall Resolver](resolver-dns-firewall-domain-lists.md), dan [Resolver DNS Firewall Lanjutan](firewall-advanced.md).
+ Jika DNS Firewall mengevaluasi semua grup aturan tanpa menemukan kecocokan, DNS Firewall merespons kueri seperti biasa. 

VPC Resolver merutekan kueri sesuai dengan respons dari DNS Firewall. Jika DNS Firewall gagal merespons, VPC Resolver menerapkan mode gagal DNS Firewall yang dikonfigurasi VPC. Untuk informasi selengkapnya, lihat [Konfigurasi VPC DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

## Langkah-langkah tingkat tinggi untuk menggunakan Resolver DNS Firewall
<a name="resolver-dns-firewall-high-level-steps"></a>

Untuk menerapkan pemfilteran Resolver DNS Firewall di VPC Amazon Virtual Private Cloud, Anda melakukan langkah-langkah tingkat tinggi berikut. 
+ **Tentukan pendekatan pemfilteran, daftar domain, atau perlindungan DNS Firewall** — Tentukan cara memfilter kueri, mengidentifikasi spesifikasi domain yang Anda perlukan, dan tentukan logika yang akan Anda gunakan untuk mengevaluasi kueri. Misalnya, Anda mungkin ingin mengizinkan semua kueri kecuali kueri yang ada dalam daftar domain buruk yang diketahui. Atau Anda mungkin ingin melakukan yang sebaliknya dan memblokir semua kecuali daftar domain yang disetujui, dalam apa yang dikenal sebagai pendekatan walled garden. Anda dapat membuat dan mengelola daftar sendiri spesifikasi domain yang disetujui atau diblokir dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda. Untuk perlindungan DNS Firewall, Anda dapat memfilter kueri dengan memblokir semuanya, atau Anda dapat memberi tahu lalu lintas kueri yang mencurigakan ke domain yang mungkin berisi anomali yang terkait dengan ancaman (DGA, tunneling DNS, Dictionary DGA) untuk menguji pengaturan DNS Firewall Anda. Untuk informasi selengkapnya, lihat [Daftar domain DNS Firewall Resolver](resolver-dns-firewall-domain-lists.md) dan [Resolver DNS Firewall Lanjutan](firewall-advanced.md).
+ **Membuat grup aturan firewall** – Di DNS Firewall, buat grup aturan untuk memfilter kueri DNS untuk VPC Anda. Anda harus membuat grup aturan di setiap Wilayah tempat Anda ingin menggunakannya. Anda mungkin juga ingin memisahkan perilaku pemfilteran Anda menjadi lebih dari satu grup aturan untuk digunakan kembali dalam beberapa skenario pemfilteran untuk perbedaan Anda. VPCs Untuk informasi tentang grup aturan, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md). 
+ **Menambahkan dan mengonfigurasi aturan Anda** – Tambahkan aturan ke grup aturan Anda untuk setiap daftar domain dan perilaku pemfilteran yang Anda inginkan agar diberikan oleh grup aturan. Tetapkan setelan prioritas untuk aturan Anda sehingga aturan tersebut diproses dalam urutan yang benar dalam grup aturan, dengan memberikan prioritas terendah pada aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi tentang aturan, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md). 
+ **Kaitkan grup aturan ke VPC Anda** – Untuk mulai menggunakan grup aturan DNS Firewall Anda, kaitkan dengan VPC Anda. Jika Anda menggunakan lebih dari satu grup aturan untuk VPC Anda, tetapkan prioritas setiap asosiasi sehingga grup aturan diproses dalam urutan yang benar, dengan memberikan prioritas terendah ke grup aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi selengkapnya, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Opsional) Ubah konfigurasi firewall untuk VPC** — Jika Anda ingin Route 53 VPC Resolver memblokir kueri saat DNS Firewall gagal mengirim respons kembali untuk mereka, di VPC Resolver, ubah konfigurasi DNS Firewall VPC. Untuk informasi selengkapnya, lihat [Konfigurasi VPC DNS Firewall](resolver-dns-firewall-vpc-configuration.md).

## Menggunakan grup aturan Resolver DNS Firewall di beberapa Wilayah
<a name="resolver-dns-firewall-multiple-regions"></a>

Resolver DNS Firewall adalah layanan Regional, sehingga objek yang Anda buat di satu AWS Wilayah hanya tersedia di Wilayah tersebut. Untuk menggunakan grup aturan yang sama di lebih dari satu Wilayah, Anda harus membuatnya di setiap Wilayah.

 AWS Akun yang membuat grup aturan dapat membagikannya dengan AWS akun lain. Untuk informasi selengkapnya, lihat [Berbagi grup aturan DNS Firewall Resolver antar akun AWS](resolver-dns-firewall-rule-group-sharing.md).

# Ketersediaan wilayah untuk Resolver DNS Firewall
<a name="resolver-dns-firewall-availability"></a>

DNS Firewall tersedia sebagai berikut: Wilayah AWS
+ Africa (Cape Town) 
+ Asia Pasifik (Hong Kong)
+ Asia Pasifik (Hyderabad)
+ Asia Pasifik (Jakarta) 
+ Asia Pasifik (Malaysia)
+ Asia Pacific (Melbourne)
+ Asia Pasifik (Mumbai)
+ Wilayah Asia Pasifik (Osaka)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Singapura)
+ Asia Pasifik (Sydney)
+ Asia Pasifik (Thailand)
+ Asia Pasifik (Tokyo)
+ Wilayah Kanada (Pusat)
+ Kanada Barat (Calgary)
+ Wilayah Eropa (Frankfurt)
+ Wilayah Eropa (Irlandia)
+ Wilayah Eropa (London)
+ Europe (Milan) 
+ Wilayah Eropa (Paris)
+ Eropa (Spanyol)
+ Eropa (Stockholm)
+ Eropa (Zürich)
+ Israel (Tel Aviv)
+ Meksiko (Tengah)
+ Timur Tengah (Bahrain)
+ Timur Tengah (UEA)
+ Amerika Selatan (Sao Paulo)
+ AS Timur (Virginia Utara)
+ AS Timur (Ohio)
+ AS Barat (California Utara)
+ AS Barat (Oregon)
+ China (Beijing) 
+ China (Ningxia) 
+ AWS GovCloud (US)

# Memulai dengan Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

Konsol DNS Firewall menyertakan wizard yang memandu Anda melalui langkah-langkah berikut untuk memulai DNS Firewall:
+ Buat grup aturan untuk setiap rangkaian aturan yang ingin Anda gunakan.
+ Untuk setiap aturan, isi daftar domain yang ingin Anda periksa. Anda dapat membuat daftar domain Anda sendiri dan Anda dapat menggunakan daftar domain AWS terkelola. 
+ Kaitkan grup aturan Anda dengan VPCs tempat Anda ingin menggunakannya.

## Contoh taman berdinding DNS Firewall Resolver
<a name="dns-firewall-walled-garden-example"></a>

Dalam tutorial ini, Anda akan membuat grup aturan yang memblokir semua kecuali grup domain tertentu yang Anda percayai. Ini disebut platform tertutup, atau pendekatan walled garden.

**Untuk mengonfigurasi grup aturan DNS Firewall menggunakan wizard konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Di halaman **Rule groups** (Grup aturan), pilih **Add rule group** (Tambahkan grup aturan).

1. Untuk nama grup aturan, masukkan **WalledGardenExample**. 

   Di bagian **Tag**, Anda dapat secara opsional memasukkan pasangan kunci-nilai untuk tag. Tanda membantu Anda mengatur dan mengelola sumber daya AWS . Untuk informasi selengkapnya, lihat [Memberi tanda pada sumber daya Amazon Route 53](tagging-resources.md). 

1. Pilih **Tambahkan grup aturan**.

1. Pada halaman **WalledGardenExample**detail, pilih **tab Aturan**, lalu **Tambahkan aturan**.

1. Di panel **Rule Detail** (Detail aturan), masukkan nama aturan ** BlockAll**.

1. Di panel **Domain list** (Daftar domain), pilih **Add my own domain list** (Tambah daftar domain saya sendiri). 

1. Di bagian **Choose or create a new domain list** (Pilih atau buat daftar domain baru), pilih **Create new domain list** (Buat daftar domain baru).

1. Masukkan nama daftar domain**AllDomains**, lalu di kotak teks **Masukkan satu domain per baris**, masukkan tanda bintang:**\$1**. 

1. Untuk **pengaturan pengalihan Domain** menerima default, dan biarkan **jenis Query - opsional** kosong.

1. Untuk **Tindakan**, pilih **BLOCK** dan kemudian biarkan respons untuk dikirim pada pengaturan default **NODATA**. 

1. Pilih **Tambahkan aturan**. Aturan Anda **BlockAll**ditampilkan di tab **Aturan** di **WalledGardenExample**halaman.

1. Pada **WalledGardenExample**halaman, pilih **Tambahkan aturan** untuk menambahkan aturan kedua ke grup aturan Anda. 

1. Di panel **Rincian aturan**, masukkan nama ** AllowSelectDomains** aturan.

1. Di panel **Daftar domain**, pilih **Tambah daftar domain saya sendiri**. 

1. Di bagian **Choose or create a new domain list** (Pilih atau buat daftar domain baru), pilih **Create new domain list** (Buat daftar domain baru).

1. Masukkan nama daftar domain **ExampleDomains**.

1. Di kotak teks **Masukkan satu domain per baris**, pada baris pertama, masukkan **example.com** dan pada baris kedua, masukkan**example.org**. 
**catatan**  
Jika Anda ingin aturan berlaku juga untuk subdomain, Anda juga perlu menambahkan domain tersebut ke daftar. Misalnya, untuk menambahkan semua subdomain example.com, tambahkan **\$1.example.com** ke daftar.

1. Untuk **pengaturan pengalihan Domain** menerima default, dan biarkan **jenis Query - opsional** kosong.

1. Untuk **Action**, pilih **ALLOW**. 

1. Pilih **Add rule** (Tambahkan aturan). Aturan Anda berdua ditampilkan di tab **Aturan** di **WalledGardenExample**halaman.

1. Di tab **Aturan** pada **WalledGardenExample**halaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di **kolom Prioritas** dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan mulai dari pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi. Untuk contoh ini, kami ingin DNS Firewall terlebih dahulu mengidentifikasi dan mengizinkan kueri DNS untuk daftar domain yang dipilih, lalu memblokir kueri yang tersisa. 

   Sesuaikan prioritas aturan sehingga **AllowSelectDomains**memiliki prioritas yang lebih rendah.

Anda sekarang memiliki grup aturan yang hanya mengizinkan kueri domain tertentu. Untuk mulai menggunakannya, Anda mengaitkannya dengan di VPCs mana Anda ingin menggunakan perilaku pemfilteran. Untuk informasi selengkapnya, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

## Contoh daftar blok Resolver DNS Firewall
<a name="dns-firewall-block-list-example"></a>

Dalam tutorial ini, Anda akan membuat grup aturan yang memblokir domain yang Anda tahu berbahaya. Anda juga akan menambahkan jenis kueri DNS yang diizinkan untuk domain dalam daftar yang diblokir. Grup aturan mengizinkan semua permintaan DNS keluar lainnya melalui Resolver VPC.

**Untuk mengonfigurasi daftar blok DNS Firewall dengan menggunakan wizard konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Di halaman **Rule groups** (Grup aturan), pilih **Add rule group** (Tambahkan grup aturan).

1. Untuk nama grup aturan, masukkan **BlockListExample**. 

   Di bagian **Tag**, Anda dapat secara opsional memasukkan pasangan kunci-nilai untuk tag. Tanda membantu Anda mengatur dan mengelola sumber daya AWS . Untuk informasi selengkapnya, lihat [Memberi tanda pada sumber daya Amazon Route 53](tagging-resources.md). 

1. Pada halaman **BlockListExample**detail, pilih tab **Aturan**, lalu **Tambahkan aturan**.

1. Di panel **Rule Detail** (Detail aturan), masukkan nama aturan ** BlockList**.

1. Di panel **Daftar domain**, pilih **Tambah daftar domain saya sendiri**. 

1. Di bagian **Choose or create a new domain list** (Pilih atau buat daftar domain baru), pilih **Create new domain list** (Buat daftar domain baru).

1. Masukkan nama daftar domain **MaliciousDomains**, lalu di kotak teks, masukkan domain yang ingin Anda blokir. Misalnya, ** example.org**. Masukkan satu domain per baris. 
**catatan**  
Jika Anda ingin aturan berlaku juga untuk subdomain, Anda juga harus menambahkan domain tersebut ke daftar. Misalnya, untuk menambahkan semua subdomain example.org, tambahkan **\$1.example.org** ke daftar.

1. Untuk **pengaturan pengalihan Domain** menerima default, dan biarkan **jenis Query - opsional** kosong.

1. Untuk tindakan, pilih **BLOCK** dan biarkan respons untuk dikirim pada pengaturan default **NODATA**. 

1. Pilih **Add rule** (Tambahkan aturan). Aturan Anda ditampilkan di tab **Aturan** di **BlockListExample**halaman

1. di tab **Aturan** pada **BlockedListExample**halaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di **kolom Prioritas** dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan mulai dari pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi. 

   Pilih dan sesuaikan prioritas aturan sehingga **BlockList**dievaluasi baik sebelum atau sesudah aturan lain yang mungkin Anda miliki. Sebagian besar waktu, domain berbahaya yang diketahui harus diblokir terlebih dahulu. Artinya, aturan yang terkait dengannya harus memiliki nomor prioritas terendah.

1. Untuk menambahkan aturan yang memungkinkan data MX untuk BlockList domain, pada halaman **BlockedListExample**detail di tab **Aturan**, pilih **Tambahkan** aturan.

1. Di panel **Rule Detail** (Detail aturan), masukkan nama aturan ** BlockList-allowMX**.

1. Di panel **Domain list** (Daftar domain), pilih **Add my own domain list** (Tambah daftar domain saya sendiri). 

1. Di bawah **Pilih atau buat daftar domain baru**, pilih** MaliciousDomains**.

1. Untuk **pengaturan pengalihan Domain**, terima default.

1. Dalam daftar **jenis kueri DNS**, pilih **MX: Menentukan server email**.

1. Untuk tindakan, pilih **ALLOW** (IZINKAN). 

1. Pilih **Add rule** (Tambahkan aturan). 

1. di tab **Aturan** pada **BlockedListExample**halaman, Anda dapat menyesuaikan urutan evaluasi aturan di grup aturan Anda dengan memilih nomor yang tercantum di **kolom Prioritas** dan mengetikkan nomor baru. DNS Firewall mengevaluasi aturan mulai dari pengaturan prioritas terendah, sehingga aturan dengan prioritas terendah adalah yang pertama dievaluasi. 

   Pilih dan sesuaikan prioritas aturan sehingga **BlockList-AllowMX** dievaluasi baik sebelum atau sesudah aturan lain yang mungkin Anda miliki. Karena Anda ingin mengizinkan kueri MX, pastikan bahwa aturan **BlockList-AllowMX** memiliki prioritas yang lebih rendah daripada. **BlockList**

Anda sekarang memiliki grup aturan yang memblokir kueri domain berbahaya tertentu, tetapi memungkinkan jenis kueri DNS tertentu. Untuk mulai menggunakannya, Anda mengaitkannya dengan di VPCs mana Anda ingin menggunakan perilaku pemfilteran. Untuk informasi selengkapnya, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

# Grup aturan dan aturan DNS Firewall
<a name="resolver-dns-firewall-rule-groups"></a>

Bagian ini menjelaskan pengaturan yang dapat Anda konfigurasikan untuk grup dan aturan aturan DNS Firewall Anda, untuk menentukan perilaku DNS Firewall untuk Anda. VPCs Ini juga menjelaskan cara mengelola pengaturan untuk grup dan aturan aturan Anda. 

Saat Anda memiliki grup aturan yang dikonfigurasi seperti yang Anda inginkan, Anda menggunakannya secara langsung dan Anda dapat berbagi serta mengelolanya antar akun dan di seluruh organisasi Anda di AWS Organizations.
+ Anda dapat mengaitkan grup aturan dengan beberapa VPCs, untuk memberikan perilaku yang konsisten di seluruh organisasi Anda. Untuk informasi, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Anda dapat berbagi grup aturan di antara akun, untuk manajemen kueri DNS yang konsisten di seluruh organisasi Anda. Untuk informasi, lihat [Berbagi grup aturan DNS Firewall Resolver antar akun AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Anda dapat menggunakan grup aturan di seluruh organisasi Anda AWS Organizations dengan mengelolanya dalam AWS Firewall Manager kebijakan. Untuk informasi tentang Firewall Manager, lihat [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)di *AWS WAF, AWS Firewall Manager, dan Panduan AWS Shield Advanced Pengembang*.

# Pengaturan grup aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-group-settings"></a>

Saat Anda membuat atau mengedit grup aturan DNS Firewall, Anda menentukan nilai berikut:

**Nama**  
Nama unik yang memudahkan Anda menemukan grup aturan di dasbor.

**Deskripsi (Opsional)**  
Deskripsi singkat yang memberikan lebih banyak konteks untuk grup aturan. 

**Region**  
 AWS Wilayah yang Anda pilih saat Anda membuat grup aturan. Grup aturan yang Anda buat di satu Wilayah hanya tersedia di Wilayah itu. Untuk menggunakan grup aturan yang sama di lebih dari satu Wilayah, Anda harus membuatnya di setiap Wilayah.

**Aturan**  
Perilaku pemfilteran grup aturan terkandung dalam aturannya. Untuk informasi, lihat bagian berikut.

**Tag**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.  
Ini adalah tag yang AWS Manajemen Penagihan dan Biaya menyediakan untuk mengatur AWS tagihan Anda. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Gunakan Tanda Alokasi Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.

# Pengaturan aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-settings"></a>

Saat Anda membuat atau mengedit aturan di grup aturan DNS Firewall, Anda menentukan nilai berikut:

**Nama**  
Pengidentifikasi unik untuk aturan dalam grup aturan.

**Deskripsi (Opsional)**  
Deskripsi singkat yang memberikan informasi lebih lanjut tentang aturan. 

**Daftar domain**  
Daftar domain yang diperiksa oleh aturan. Anda dapat membuat dan mengelola daftar domain Anda sendiri atau Anda dapat berlangganan daftar domain yang dikelola AWS untuk Anda. Untuk informasi selengkapnya, lihat [Daftar domain DNS Firewall Resolver](resolver-dns-firewall-domain-lists.md).   
Aturan dapat berisi eter daftar domain atau perlindungan DNS Firewall Advanced, tetapi tidak keduanya.

**Pengaturan pengalihan domain (hanya daftar domain)**  
Anda dapat memilih aturan DNS Firewall untuk memeriksa hanya domain pertama atau semua (default) domain dalam rantai pengalihan DNS, seperti CNAME, DNAME, dll. Jika Anda memilih untuk memeriksa semua domain, Anda harus menambahkan domain berikutnya dalam rantai pengalihan DNS ke daftar domain dan mengatur ke tindakan yang Anda ingin aturan untuk mengambil, baik ALLOW, BLOCK, atau ALERT. Untuk informasi selengkapnya, lihat [Resolver DNS Firewall komponen dan pengaturan](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).   
Perilaku kepercayaan dari pengaturan pengalihan domain hanya berlaku dalam satu transaksi kueri DNS. Jika klien DNS di host Anda secara terpisah menanyakan domain yang muncul dalam rantai pengalihan DNS (misalnya, menanyakan target pengalihan secara langsung), DNS Firewall mengevaluasinya sebagai kueri independen tanpa konteks kepercayaan dari kueri asli. Untuk mengizinkan kueri tersebut, tambahkan domain target pengalihan ke daftar domain Anda.

**Jenis kueri (hanya daftar domain)**  
Daftar jenis kueri DNS yang diperiksa aturan. Berikut ini adalah nilai yang valid:  
+  A: Mengembalikan IPv4 alamat.
+ AAAA: Mengembalikan alamat Ipv6.
+ CAA: Membatasi CAs yang dapat membuat SSL/TLS sertifikasi untuk domain.
+ CNAME: Mengembalikan nama domain lain.
+ DS: Rekam yang mengidentifikasi kunci penandatanganan DNSSEC dari zona yang didelegasikan.
+ MX: Menentukan server email.
+ NAPTR: Regular-expression-based menulis ulang nama domain.
+ NS: Server nama otoritatif.
+ PTR: Memetakan alamat IP ke nama domain.
+ SOA: Mulai dari catatan otoritas untuk zona tersebut.
+ SPF: Daftar server yang berwenang untuk mengirim email dari domain.
+ SRV: Nilai spesifik aplikasi yang mengidentifikasi server.
+ TXT: Memverifikasi pengirim email dan nilai khusus aplikasi.
+ Jenis kueri yang Anda tentukan dengan menggunakan ID tipe DNS, misalnya 28 untuk AAAA. Nilai harus didefinisikan sebagai TYPE* NUMBER*, di mana *NUMBER* bisa 1-65334, misalnya,. TYPE28 Untuk informasi selengkapnya, lihat [Daftar jenis rekaman DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Anda dapat membuat satu jenis kueri per aturan.
**catatan**  
Jika Anda mengatur aturan BLOCK firewall dengan tindakan NXDOMAIN pada jenis kueri sama dengan AAAA, tindakan ini tidak akan diterapkan ke IPv6 alamat sintetis yang dihasilkan saat diaktifkan. DNS64 

**DNS Firewall Perlindungan tingkat lanjut**  
Mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Anda dapat memilih perlindungan dari:  
+ Algoritma Pembuatan Domain () DGAs

  DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.
+ Terowongan DNS

  Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.
+ Kamus DGA

  Kamus DGAs digunakan oleh penyerang untuk menghasilkan domain menggunakan kata-kata kamus untuk menghindari deteksi dalam komunikasi malware. command-and-control 
Dalam aturan DNS Firewall Advanced, Anda dapat memilih untuk memblokir, atau memberi peringatan pada kueri yang cocok dengan ancaman.   
Untuk informasi lebih lanjut, lihat Untuk informasi lebih lanjut, lihat [Resolver DNS Firewall Lanjutan](firewall-advanced.md).   
Aturan dapat berisi eter perlindungan DNS Firewall Advanced atau daftar domain, tetapi tidak keduanya.

**Ambang kepercayaan (DNS Firewall Advanced saja)**  
Ambang batas kepercayaan untuk DNS Firewall Advanced. Nilai ini harus diisi saat membuat aturan DNS Firewall Advanced. Nilai tingkat kepercayaan berarti:  
+ Tinggi – Hanya mendeteksi ancaman yang telah dikonfirmasi dengan tingkat false positive yang rendah.
+ Sedang – Menyediakan keseimbangan antara deteksi ancaman dan false positive.
+ Rendah – Memberikan tingkat deteksi tertinggi untuk ancaman, tetapi juga meningkatkan false positive.
Untuk informasi selengkapnya, lihat [Pengaturan aturan di DNS Firewall](#resolver-dns-firewall-rule-settings). 

**Tindakan**  
Bagaimana Anda ingin DNS Firewall menangani kueri DNS yang nama domainnya cocok dengan spesifikasi dalam daftar domain aturan. Untuk informasi selengkapnya, lihat [Aturan tindakan di DNS Firewall](resolver-dns-firewall-rule-actions.md). 

**Prioritas**  
Setelan bilangan bulat positif unik untuk aturan dalam grup aturan yang menentukan urutan pemrosesan. DNS Firewall memeriksa kueri DNS terhadap aturan dalam grup aturan dimulai dengan pengaturan prioritas numerik terendah dan naik. Anda dapat mengubah prioritas aturan kapan saja, misalnya mengubah urutan pemrosesan atau memberi ruang untuk aturan lain. 

# Aturan tindakan di DNS Firewall
<a name="resolver-dns-firewall-rule-actions"></a>

Saat DNS Firewall menemukan kecocokan antara kueri DNS dan spesifikasi domain dalam aturan, hal ini menerapkan tindakan yang ditentukan dalam aturan ke kueri. 

Anda harus menentukan salah satu opsi berikut di setiap aturan yang Anda buat: 
+ **Allow**— Berhenti memeriksa kueri dan membiarkannya masuk. Tidak tersedia untuk DNS Firewall Advanced.
+ **Alert**— Berhenti memeriksa kueri, izinkan untuk melewati, dan catat peringatan untuk kueri di log Resolver VPC Route 53. 
+ **Block**— Hentikan pemeriksaan kueri, blokir agar tidak pergi ke tujuan yang dimaksudkan, dan catat tindakan blok untuk kueri di log Resolver VPC Route 53. 

  Balas dengan respons blok yang dikonfigurasi, dari berikut ini: 
  + **NODATA**— Menanggapi yang menunjukkan bahwa kueri berhasil, tetapi tidak ada respons yang tersedia untuk itu.
  + **NXDOMAIN**— Menanggapi yang menunjukkan bahwa nama domain kueri tidak ada.
  + **OVERRIDE**— Berikan penggantian khusus dalam respons. Opsi ini memerlukan pengaturan tambahan sebagai berikut: 
    + **Record value**— Catatan DNS khusus untuk dikirim kembali sebagai respons terhadap kueri. 
    + **Record type**— Jenis catatan DNS. Ini akan menentukan format nilai catatan. Ini harus `CNAME`.
    + **Time to live in seconds**— Jumlah waktu yang disarankan untuk resolver DNS atau browser web untuk menyimpan catatan override dan menggunakannya sebagai respons terhadap kueri ini, jika diterima lagi. Secara default, ini adalah nol, dan catatan tidak di-cache.

Untuk informasi selengkapnya tentang konfigurasi log kueri dan konten, lihat [Pencatatan kueri penyelesai](resolver-query-logs.md) dan [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md). 

**Gunakan Alert untuk menguji aturan pemblokiran**  
Saat pertama kali membuat aturan pemblokiran, Anda dapat mengujinya dengan mengonfigurasinya dengan tindakan yang disetel ke Alert. Anda kemudian dapat melihat jumlah kueri yang diperingatkan aturan untuk melihat berapa banyak yang akan diblokir jika Anda menyetel tindakan ke Block. 

# Mengelola grup aturan dan aturan di DNS Firewall
<a name="resolver-dns-firewall-rule-group-managing"></a>

Untuk mengelola grup aturan dan aturan di konsol, ikuti panduan di bagian ini.

Saat Anda membuat perubahan pada entitas DNS Firewall, seperti aturan dan daftar domain, DNS Firewall menyebarkan perubahan di mana pun entitas tersebut disimpan dan digunakan. Perubahan Anda diterapkan dalam hitungan detik, tetapi mungkin ada periode inkonsistensi singkat saat perubahan telah tiba di beberapa tempat dan tidak di tempat lain. Jadi, misalnya, jika Anda menambahkan domain ke daftar domain yang direferensikan oleh aturan pemblokiran, domain baru mungkin diblokir sebentar di satu area VPC Anda sementara masih diizinkan di area lain. Inkonsistensi sementara ini dapat terjadi saat Anda pertama kali mengonfigurasi asosiasi grup aturan dan VPC, serta saat Anda mengubah setelan yang ada. Umumnya, inkonsistensi jenis ini hanya bertahan beberapa detik.

# Membuat grup aturan dan aturan
<a name="resolver-dns-firewall-rule-group-adding"></a>

Untuk membuat grup aturan dan menambahkan aturan ke dalamnya, ikuti langkah-langkah dalam prosedur ini.

**Untuk membuat grup aturan dan aturannya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih **Add rule group** (Tambahkan grup aturan), lalu ikuti panduan wizard untuk menentukan grup aturan dan pengaturan aturan Anda.

   Untuk informasi tentang nilai untuk grup aturan, lihat [Pengaturan grup aturan di DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Untuk informasi tentang nilai aturan, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Melihat dan memperbarui grup aturan dan aturan
<a name="resolver-dns-firewall-rule-group-editing"></a>

Gunakan prosedur berikut untuk melihat grup aturan dan aturan yang ditetapkan untuk mereka. Anda juga dapat memperbarui grup aturan dan pengaturan aturan.

**Untuk melihat dan memperbarui grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih grup aturan yang ingin Anda lihat atau edit, lalu pilih **Lihat detail**. 

1. Di halaman grup aturan, Anda dapat melihat dan mengedit pengaturan.

   Untuk informasi tentang nilai untuk grup aturan, lihat [Pengaturan grup aturan di DNS Firewall](resolver-dns-firewall-rule-group-settings.md).

   Untuk informasi tentang nilai aturan, lihat [Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md).

# Menghapus grup aturann
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Untuk menghapus grup aturan, lakukan prosedur berikut.

**penting**  
Jika Anda menghapus grup aturan yang terkait dengan VPC, DNS Firewall akan menghapus asosiasi dan menghentikan perlindungan yang diberikan grup aturan ke VPC. 

**Menghapus entitas DNS Firewall**  
Saat Anda menghapus entitas yang dapat Anda gunakan di DNS Firewall, seperti daftar domain yang mungkin digunakan dalam grup aturan, atau grup aturan yang mungkin terkait dengan VPC, DNS Firewall akan memeriksa untuk melihat apakah entitas saat ini sedang digunakan. Jika entitas sedang digunakan, DNS Firewall akan memperingatkan Anda. DNS Firewall hampir selalu dapat menentukan apakah entitas sedang digunakan. Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di konfigurasi DNS Firewall Anda sebelum menghapusnya. Jika entitas adalah daftar domain yang direferensikan, periksa apakah tidak ada grup aturan yang menggunakannya. Jika entitas adalah grup aturan, periksa apakah entitas tersebut tidak terkait dengan apa pun VPCs.

**Untuk menghapus grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 3.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih grup aturan yang ingin Anda hapus, lalu pilih **Hapus**, dan konfirmasikan penghapusan.

# Daftar domain DNS Firewall Resolver
<a name="resolver-dns-firewall-domain-lists"></a>

*Daftar domain* adalah seperangkat spesifikasi domain yang dapat digunakan kembali yang Anda gunakan dalam aturan DNS Firewall, di dalam grup aturan. Ketika Anda mengasosiasikan grup aturan dengan VPC, DNS Firewall membandingkan kueri DNS Anda terhadap daftar domain yang digunakan dalam aturan. Jika menemukan kecocokan, DNS Firewall akan menangani kueri DNS sesuai dengan tindakan aturan pencocokan ini. Untuk informasi selengkapnya tentang grup aturan dan aturan, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md). 

Daftar domain memungkinkan Anda untuk memisahkan spesifikasi domain eksplisit dari tindakan yang ingin Anda lakukan. Anda dapat menggunakan satu daftar domain dalam beberapa aturan dan pembaruan apa pun yang Anda lakukan pada daftar domain secara otomatis memengaruhi semua aturan yang menggunakannya. 

Daftar domain dibagi dalam dua kategori utama: 
+ Daftar domain terkelola, yang AWS membuat dan memelihara untuk Anda.
+ Daftar domain Anda sendiri, yang Anda buat dan kelola.

Bagian ini menjelaskan jenis daftar domain terkelola yang tersedia untuk Anda dan memberikan panduan untuk membuat dan mengelola daftar domain Anda sendiri, jika Anda memilih untuk melakukannya. 

# Daftar Domain Terkelola
<a name="resolver-dns-firewall-managed-domain-lists"></a>

Daftar Domain Terkelola berisi nama domain yang terkait dengan aktivitas berbahaya atau potensi ancaman lainnya. AWS memelihara daftar ini untuk memungkinkan pelanggan Route 53 VPC Resolver untuk memeriksa kueri DNS keluar terhadap mereka secara gratis saat menggunakan DNS Firewall. 

Terus memantau kondisi terbaru terkait lanskap ancaman yang terus berubah dapat memakan waktu dan biaya yang besar. Daftar Domain Terkelola dapat menghemat waktu Anda saat menerapkan dan menggunakan DNS Firewall. AWS secara otomatis memperbarui daftar ketika kerentanan dan ancaman baru muncul. AWS sering diberitahu tentang kerentanan baru sebelum pengungkapan publik, sehingga DNS Firewall dapat menyebarkan mitigasi untuk Anda sering sebelum ancaman baru telah dikenal luas. 

Daftar domain terkelola dirancang untuk membantu melindungi Anda dari ancaman web umum dan menambahkan lapisan keamanan lain untuk aplikasi Anda. Daftar Domain AWS Terkelola sumber data mereka dari kedua AWS sumber internal maupun [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future), dan terus diperbarui. Namun, Daftar Domain AWS Terkelola tidak dimaksudkan sebagai pengganti kontrol keamanan lainnya, seperti Amazon GuardDuty, yang ditentukan oleh AWS sumber daya yang Anda pilih.

Sebagai praktik terbaik, sebelum menggunakan Daftar Domain Terkelola dalam produksi, ujilah di lingkungan non-produksi, dengan tindakan aturan disetel ke`Alert`. Evaluasi aturan menggunakan CloudWatch metrik Amazon yang dikombinasikan dengan permintaan sampel Resolver DNS Firewall atau log DNS Firewall. Saat Anda puas bahwa aturan melakukan apa yang Anda inginkan, ubah setelan tindakan sesuai kebutuhan. 

**Daftar Domain AWS Terkelola yang Tersedia**  
Bagian ini menjelaskan Daftar Domain Terkelola yang saat ini tersedia. Saat berada di Wilayah tempat daftar ini didukung, Anda melihatnya di konsol saat mengelola daftar domain dan saat menentukan daftar domain untuk aturan. Dalam log, daftar domain dicatat dalam `firewall_domain_list_id field`.

AWS menyediakan Daftar Domain Terkelola berikut, di Wilayah yang tersedia, untuk semua pengguna Resolver DNS Firewall. 
+ `AWSManagedDomainsMalwareDomainList` – – Domain yang terkait dengan pengiriman malware, meng-host malware, atau mendistribusikan malware.
+ `AWSManagedDomainsBotnetCommandandControl`– Domain yang terkait dengan pengendalian jaringan komputer yang terinfeksi malware spamming. 
+ `AWSManagedDomainsAggregateThreatList`— Domain yang terkait dengan beberapa kategori ancaman DNS termasuk malware, ransomware, botnet, spyware, dan tunneling DNS untuk membantu memblokir berbagai jenis ancaman. `AWSManagedDomainsAggregateThreatList`mencakup semua domain dalam Daftar Domain AWS Terkelola lainnya yang tercantum di sini.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domain yang terkait dengan temuan keamanan GuardDuty DNS Amazon. Domain bersumber dari sistem intelijen ancaman GuardDuty saja, dan tidak mengandung domain yang bersumber dari sumber pihak ketiga eksternal. Lebih khusus lagi, saat ini daftar ini hanya akan memblokir domain yang dibuat secara internal dan digunakan untuk deteksi berikut di: Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ AbusedDomainRequest .Reputation, Impact GuardDuty: .Reputation. BitcoinDomainRequest MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

  Untuk informasi selengkapnya, lihat [Menemukan jenis](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) di *Panduan GuardDuty Pengguna Amazon*.

AWS Daftar Domain Terkelola tidak dapat diunduh atau dijelajahi. Untuk melindungi kekayaan intelektual, Anda tidak dapat melihat atau mengedit spesifikasi domain individual dalam Daftar Domain AWS Terkelola. Pembatasan ini juga membantu mencegah pengguna jahat merancang ancaman yang secara khusus menghindari daftar yang dipublikasikan. 

**Untuk menguji daftar Domain Terkelola**  
Kami menyediakan kumpulan domain berikut untuk menguji Daftar Domain Terkelola:

**AWSManagedDomainsBotnetCommandandControl**  
+  controldomain1.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain2.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain3.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsMalwareDomainList**  
+  controldomain1.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain2.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain3.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsAggregateThreatList dan AWSManaged DomainsAmazonGuardDutyThreatList**  
+  controldomain1.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain2.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com
+  controldomain3.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com

Domain ini akan diselesaikan ke 1.2.3.4 jika tidak diblokir. Jika Anda menggunakan Daftar Domain Terkelola di VPC, kueri untuk domain ini akan menampilkan respons yang disetel ke tindakan pemblokiran dalam aturan (misalnya NODATA). 

Untuk informasi selengkapnya tentang Daftar Domain Terkelola, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Tabel berikut mencantumkan ketersediaan Wilayah untuk Daftar Domain AWS Terkelola.


**Daftar Domain Terkelola Ketersediaan wilayah**  

| Region | Daftar Domain Terkelola tersedia? | 
| --- | --- | 
|  Africa (Cape Town)   |  Ya  | 
|  Asia Pasifik (Hong Kong)  | Ya | 
|  Asia Pasifik (Hyderabad)  | Ya | 
|  Asia Pasifik (Jakarta)   |  Ya  | 
|  Asia Pasifik (Malaysia)  |  Ya  | 
|  Asia Pacific (Melbourne)  | Ya | 
|  Asia Pasifik (Mumbai)  |  Ya  | 
|  Wilayah Asia Pasifik (Osaka)  |  Ya  | 
|  Asia Pasifik (Seoul)  |  Ya  | 
|  Asia Pacific (Singapore)  |  Ya  | 
|  Asia Pasifik (Sydney)  |  Ya  | 
|  Asia Pasifik (Thailand)  |  Ya  | 
|  Asia Pasifik (Tokyo)  |  Ya  | 
|  Wilayah Kanada (Pusat)  |  Ya  | 
|  Kanada Barat (Calgary)  |  Ya  | 
|  Wilayah Eropa (Frankfurt)  |  Ya  | 
|  Wilayah Eropa (Irlandia)  |  Ya  | 
|  Wilayah Eropa (London)  |  Ya  | 
|  Europe (Milan)   |  Ya  | 
|  Wilayah Eropa (Paris)  |  Ya  | 
|  Eropa (Spanyol)  | Ya | 
|  Eropa (Stockholm)  |  Ya  | 
|  Europe (Zurich)  | Ya | 
|  Israel (Tel Aviv)  | Ya | 
|  Timur Tengah (Bahrain)  | Ya | 
|  Timur Tengah (UAE)  | Ya | 
|  Amerika Selatan (Sao Paulo)  |  Ya  | 
|  AS Timur (Virginia Utara)  |  Ya  | 
|  AS Timur (Ohio)  |  Ya  | 
|  AS Barat (California Utara)  |  Ya  | 
|  AS Barat (Oregon)  |  Ya  | 
|  Tiongkok (Beijing)   |  Ya  | 
|  Tiongkok (Ningxia)   |  Ya  | 
|  AWS GovCloud (US)  |  Ya  | 

**Pertimbangan keamanan tambahan**  
AWS Daftar Domain Terkelola dirancang untuk membantu melindungi Anda dari ancaman web umum. Ketika digunakan sesuai dengan dokumentasi, daftar ini menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, Daftar Domain Terkelola tidak dimaksudkan sebagai pengganti kontrol keamanan lainnya, yang ditentukan oleh AWS sumber daya yang Anda pilih. Untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar, lihat panduan di [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**Mengurangi skenario positif palsu**  
Jika Anda menghadapi skenario positif palsu dalam aturan yang menggunakan Daftar Domain Terkelola untuk memblokir kueri, lakukan langkah-langkah berikut: 

1. Dalam log Resolver VPC, identifikasi grup aturan dan daftar domain terkelola yang menyebabkan positif palsu. Anda melakukan ini dengan menemukan log untuk kueri yang diblokir oleh DNS Firewall, tetapi yang ingin Anda izinkan. Catatan log mencantumkan grup aturan, tindakan aturan, dan daftar terkelola. Untuk informasi lebih lanjut tentang log, lihat [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md).

1. Buat aturan baru di grup aturan yang secara eksplisit mengizinkan kueri yang diblokir. Saat Anda membuat aturan, Anda dapat menentukan daftar domain Anda sendiri hanya dengan spesifikasi domain yang ingin Anda izinkan. Ikuti panduan untuk grup aturan dan manajemen aturan di [Membuat grup aturan dan aturan](resolver-dns-firewall-rule-group-adding.md).

1. Prioritaskan aturan baru di dalam grup aturan sehingga berjalan sebelum aturan yang menggunakan daftar terkelola. Untuk melakukan ini, berikan aturan baru pengaturan prioritas numerik yang lebih rendah.

Saat Anda telah memperbarui grup aturan, aturan baru akan secara eksplisit mengizinkan nama domain yang ingin Anda izinkan sebelum aturan pemblokiran berjalan. 

# Mengelola daftar domain Anda sendiri
<a name="resolver-dns-firewall-user-managed-domain-lists"></a>

Anda dapat membuat daftar domain Anda sendiri untuk menentukan kategori domain yang tidak Anda temukan di penawaran daftar domain terkelola atau yang Anda pilih untuk tangani sendiri. 

Selain prosedur yang dijelaskan di bagian ini, di konsol, Anda dapat membuat daftar domain dalam konteks manajemen aturan Resolver DNS Firewall, saat Anda membuat atau memperbarui aturan. 

Setiap spesifikasi domain dalam daftar domain Anda harus memenuhi persyaratan berikut: 
+ Secara opsional dapat diawali dengan `*` (tanda bintang).
+ Dengan pengecualian tanda bintang awal opsional dan titik, sebagai pembatas antara label, itu hanya boleh berisi karakter berikut:`A-Z`,, `a-z``0-9`, `-` (tanda hubung).
+ Panjangnya harus antara 1-255 karakter. 

Saat Anda membuat perubahan pada entitas DNS Firewall, seperti aturan dan daftar domain, DNS Firewall menyebarkan perubahan di mana pun entitas tersebut disimpan dan digunakan. Perubahan Anda diterapkan dalam hitungan detik, tetapi mungkin ada periode inkonsistensi singkat saat perubahan telah tiba di beberapa tempat dan tidak di tempat lain. Jadi, misalnya, jika Anda menambahkan domain ke daftar domain yang direferensikan oleh aturan pemblokiran, domain baru mungkin diblokir sebentar di satu area VPC Anda sementara masih diizinkan di area lain. Inkonsistensi sementara ini dapat terjadi saat Anda pertama kali mengonfigurasi asosiasi grup aturan dan VPC, serta saat Anda mengubah setelan yang ada. Umumnya, inkonsistensi jenis ini hanya bertahan beberapa detik.

**Uji daftar domain Anda sebelum menggunakannya dalam produksi**  
Sebagai praktik terbaik, sebelum menggunakan daftar domain dalam produksi, uji di lingkungan nonproduksi, dengan tindakan aturan diatur ke `Alert`. Evaluasi aturan menggunakan CloudWatch metrik Amazon dan log Resolver VPC. Log memberikan nama daftar domain untuk semua peringatan dan tindakan pemblokiran. Saat Anda puas bahwa daftar domain cocok dengan kueri DNS seperti yang Anda inginkan, ubah setelan tindakan aturan sesuai kebutuhan. Untuk informasi tentang CloudWatch metrik dan log kueri, lihat [Memantau grup aturan DNS Firewall Resolver dengan Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)[Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md), dan[Mengelola konfigurasi pencatatan kueri Resolver](resolver-query-logging-configurations-managing.md). 

**Untuk menambahkan daftar domain**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon. Lanjutkan ke langkah 2.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Daftar **domain**. Di halaman **Domain lists** (Daftar domain), Anda dapat memilih dan mengedit daftar domain yang ada dan Anda dapat menambahkan sendiri.

1. Untuk menambahkan daftar domain, pilih **Add domain list** (Tambah daftar domain). 

1. Berikan nama untuk daftar domain Anda, dan kemudian masukkan spesifikasi domain Anda dalam kotak teks, satu per baris. 

   Jika Anda menggeser **Switch to bulk upload** (Alihkan ke unggahan massal) ke **on** (aktif), masukkan URI bucket Amazon S3 tempat Anda membuat daftar domain. Daftar domain ini harus memiliki satu nama domain per baris.
**catatan**  
Nama domain duplikat akan menyebabkan impor massal gagal.

1. Pilih **Add domain list** (Tambah daftar domain). Halaman **Domain lists** (Daftar domain) mencantumkan daftar domain baru Anda. 

Setelah Anda membuat daftar domain, Anda dapat merujuknya dengan nama dari aturan DNS Firewall Anda. 

**Menghapus entitas DNS Firewall**  
Saat Anda menghapus entitas yang dapat Anda gunakan di DNS Firewall, seperti daftar domain yang mungkin digunakan dalam grup aturan, atau grup aturan yang mungkin terkait dengan VPC, DNS Firewall akan memeriksa untuk melihat apakah entitas saat ini sedang digunakan. Jika entitas sedang digunakan, DNS Firewall akan memperingatkan Anda. DNS Firewall hampir selalu dapat menentukan apakah entitas sedang digunakan. Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di konfigurasi DNS Firewall Anda sebelum menghapusnya. Jika entitas adalah daftar domain yang direferensikan, periksa apakah tidak ada grup aturan yang menggunakannya. Jika entitas adalah grup aturan, periksa apakah entitas tersebut tidak terkait dengan apa pun VPCs.

**Cara menghapus daftar domain**

1. Di panel navigasi, pilih **Domain lists** (Daftar domain).

1. Pada bilah navigasi, pilih Wilayah untuk daftar domain. 

1. Pilih daftar domain yang ingin Anda hapus, lalu pilih **Hapus**, dan konfirmasikan penghapusan.

# Resolver DNS Firewall Lanjutan
<a name="firewall-advanced"></a>

DNS Firewall Advanced mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Anda dapat menentukan jenis ancaman dalam aturan yang Anda gunakan dalam aturan DNS Firewall, di dalam grup aturan. Saat Anda mengaitkan grup aturan dengan VPC, DNS Firewall membandingkan kueri DNS Anda dengan domain yang ditandai dalam aturan. Jika menemukan kecocokan, DNS Firewall akan menangani kueri DNS sesuai dengan tindakan aturan pencocokan ini.

DNS Firewall Advanced bekerja dengan mengidentifikasi tanda tangan ancaman DNS yang mencurigakan dengan memeriksa berbagai pengidentifikasi kunci dalam muatan DNS termasuk stempel waktu permintaan, frekuensi permintaan dan tanggapan, string kueri DNS, dan panjang, jenis atau ukuran kueri DNS keluar dan masuk. Berdasarkan jenis tanda tangan ancaman, Anda dapat mengonfigurasi kebijakan untuk memblokir, atau cukup log dan peringatan pada kueri. Dengan menggunakan serangkaian pengidentifikasi ancaman yang diperluas, Anda dapat melindungi terhadap ancaman DNS dari sumber domain yang mungkin belum diklasifikasikan oleh umpan intelijen ancaman yang dikelola oleh komunitas keamanan yang lebih luas.

Saat ini, DNS Firewall Advanced menawarkan perlindungan dari: 
+ Algoritma Pembuatan Domain () DGAs

  DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.
+ Terowongan DNS

  Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.
+ Kamus DGA

  Kamus DGAs digunakan oleh penyerang untuk menghasilkan domain menggunakan kata-kata kamus untuk menghindari deteksi dalam komunikasi malware. command-and-control

Untuk mempelajari cara membuat aturan, lihat [Membuat grup aturan dan aturan](resolver-dns-firewall-rule-group-adding.md) dan[Pengaturan aturan di DNS Firewall](resolver-dns-firewall-rule-settings.md). 

**Mengurangi skenario positif palsu**  
Jika Anda menghadapi skenario positif palsu dalam aturan yang menggunakan perlindungan DNS Firewall Advanced untuk memblokir kueri, lakukan langkah-langkah berikut: 

1. Di log VPC Resolver, identifikasi grup aturan dan proteksi DNS Firewall Advanced yang menyebabkan false positive. Anda melakukan ini dengan menemukan log untuk kueri yang diblokir oleh DNS Firewall, tetapi yang ingin Anda izinkan. Catatan log mencantumkan grup aturan, tindakan aturan, dan perlindungan DNS Firewall Advanced. Untuk informasi lebih lanjut tentang log, lihat [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md).

1. Buat aturan baru di grup aturan yang secara eksplisit mengizinkan kueri yang diblokir. Saat Anda membuat aturan, Anda dapat menentukan daftar domain Anda sendiri hanya dengan spesifikasi domain yang ingin Anda izinkan. Ikuti panduan untuk grup aturan dan manajemen aturan di [Membuat grup aturan dan aturan](resolver-dns-firewall-rule-group-adding.md).

1. Prioritaskan aturan baru di dalam grup aturan sehingga berjalan sebelum aturan yang menggunakan daftar terkelola. Untuk melakukan ini, berikan aturan baru pengaturan prioritas numerik yang lebih rendah.

Saat Anda telah memperbarui grup aturan, aturan baru akan secara eksplisit mengizinkan nama domain yang ingin Anda izinkan sebelum aturan pemblokiran berjalan. 

# Mengonfigurasi pencatatan untuk DNS Firewall
<a name="firewall-resolver-query-logs-configuring"></a>

 Anda dapat mengevaluasi aturan DNS Firewall Anda dengan menggunakan CloudWatch metrik Amazon dan log kueri Resolver. Log memberikan nama daftar domain untuk semua peringatan dan tindakan pemblokiran. Untuk informasi selengkapnya tentang Amazon CloudWatch, lihat[Memantau grup aturan DNS Firewall Resolver dengan Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).

Bila Anda mengaktifkan DNS Firewall, kaitkan ke VPC, dan Anda telah log diaktifkan, ` firewall_rule_group_id`, `firewall_rule_action`, dan ` firewall_domain_list_id` adalah bidang khusus DNS Firewall yang disediakan dalam log Anda.

**catatan**  
 Log kueri akan menampilkan bidang DNS Firewall tambahan hanya untuk kueri yang diblokir oleh aturan DNS Firewall.

Untuk mulai mencatat kueri DNS yang difilter oleh aturan DNS Firewall yang berasal dari Anda VPCs, Anda melakukan tugas berikut di konsol Amazon Route 53:<a name="firewall-resolver-query-logs-configuring-procedure"></a>

**Untuk mengonfigurasi pencatatan kueri Resolver untuk DNS Firewall**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Memperluas menu konsol Route 53. Di sudut kiri atas konsol, pilih ikon tiga bilah horizontal (![\[Menu icon\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/menu-icon.png)).

1. Dalam menu Resolver, pilih **Pencatatan kueri**.

1. Di pemilih Region, pilih AWS Wilayah tempat Anda ingin membuat konfigurasi pencatatan kueri. 

   Ini harus menjadi Wilayah yang sama tempat Anda membuat VPCs yang terkait dengan DNS Firewall yang ingin Anda catat kueri. Jika Anda memiliki VPCs di beberapa Wilayah, Anda harus membuat setidaknya satu konfigurasi pencatatan kueri untuk setiap Wilayah.

1. Pilih **Konfigurasikan pencatatan kueri**.

1. Tentukan nilai-nilai berikut ini:  
**Nama konfigurasi pencatatan kueri**  
Masukkan nama untuk konfigurasi pencatatan kueri. Nama muncul di konsol dalam daftar konfigurasi pencatatan kueri. Masukkan nama yang akan membantu Anda menemukan konfigurasi ini nanti.  
**Tujuan log kueri**  
Pilih jenis AWS sumber daya yang Anda inginkan VPC Resolver untuk mengirim log kueri. Untuk informasi tentang cara memilih di antara opsi (Grup CloudWatch log log, bucket S3, dan aliran pengiriman Firehose), lihat. [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Setelah Anda memilih jenis sumber daya, Anda dapat membuat sumber daya lain dari jenis itu atau memilih sumber daya yang ada yang dibuat oleh AWS akun saat ini.  
Anda dapat memilih hanya sumber daya yang dibuat di Wilayah AWS yang Anda pilih di langkah 4, Wilayah tempat Anda membuat konfigurasi pencatatan kueri. Jika Anda memilih untuk membuat sumber daya baru, sumber daya tersebut akan dibuat di Wilayah yang sama.  
**VPCs untuk mencatat kueri untuk**  
Konfigurasi pencatatan kueri ini akan mencatat kueri DNS yang berasal dari VPCs yang Anda pilih. **Centang kotak untuk setiap VPC di Wilayah saat ini yang Anda inginkan VPC Resolver untuk mencatat kueri, lalu pilih Pilih.**  
Pengiriman log VPC hanya dapat diaktifkan sekali untuk jenis tujuan tertentu. Log tidak dapat dikirim ke beberapa tujuan dengan jenis yang sama. Misalnya, log VPC tidak dapat dikirimkan ke dua tujuan Amazon S3.

1. Pilih **Configure query logging** (Konfigurasikan pencatatan kueri).

**catatan**  
Seharusnya Anda mulai melihat kueri DNS yang dibuat oleh sumber daya di VPC Anda di log dalam beberapa menit setelah berhasil membuat konfigurasi pencatatan kueri.

# Berbagi grup aturan DNS Firewall Resolver antar akun AWS
<a name="resolver-dns-firewall-rule-group-sharing"></a>

Anda dapat berbagi grup aturan DNS Firewall antar AWS akun. Untuk berbagi grup aturan, Anda menggunakan AWS Resource Access Manager (AWS RAM). Konsol DNS Firewall terintegrasi dengan konsol. AWS RAM Untuk informasi selengkapnya AWS RAM, lihat [Panduan Pengguna Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Perhatikan hal-hal berikut:

**Mengaitkan grup aturan bersama dengan VPCs**  
Jika AWS akun lain telah membagikan grup aturan dengan akun Anda, Anda dapat mengaitkannya dengan cara VPCs yang sama seperti Anda mengaitkan grup aturan yang telah Anda buat. Untuk informasi selengkapnya, lihat [Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

**Menghapus atau membatalkan berbagi grup aturan bersama**  
Jika Anda berbagi grup aturan dengan akun lain dan kemudian menghapus grup aturan atau berhenti membagikannya, DNS Firewall menghapus semua asosiasi yang dibuat akun lain antara grup aturan dan grup aturan tersebut. VPCs 

**Pengaturan maksimum untuk grup aturan dan asosiasi**  
Grup aturan bersama dan asosiasi VPCs mereka termasuk dalam hitungan untuk akun yang digunakan untuk berbagi grup aturan.   
Untuk kuota DNS Firewall saat ini, lihat [Kuota pada Resolver DNS Firewall](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).

**Izin**  
Untuk berbagi grup aturan dengan AWS akun lain, Anda harus memiliki izin untuk menggunakan [PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)tindakan tersebut.

**Pembatasan pada AWS akun tempat grup aturan dibagikan**  
Akun yang dibagikan grup aturan tidak dapat mengubah atau menghapus grup aturan. 

**Penandaan**  
Hanya akun yang membuat grup aturan yang dapat menambahkan, menghapus, atau melihat tanda pada grup aturan.

Untuk melihat status berbagi grup aturan saat ini (termasuk akun yang berbagi grup aturan atau akun yang dibagikan grup aturan), dan untuk berbagi grup aturan dengan akun lain, lakukan prosedur berikut.

**Untuk melihat status berbagi dan berbagi grup aturan dengan AWS akun lain**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Rule groups** (Grup aturan).

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat grup aturan.

   Kolom **Status berbagi** menunjukkan status berbagi grup aturan saat ini yang dibuat oleh akun saat ini atau yang dibagikan dengan akun saat ini:
   + **Tidak dibagikan**: AWS Akun saat ini membuat grup aturan, dan grup aturan tidak dibagikan dengan akun lain.
   + **Dibagikan oleh saya**: Akun saat ini membuat grup aturan dan membagikannya dengan satu atau beberapa akun.
   + **Dibagikan dengan saya**: Akun saat ini membuat grup aturan dan membagikannya dengan akun saat ini.

1. Pilih nama grup aturan dengan informasi berbagi yang ingin Anda tampilkan atau yang ingin Anda bagikan dengan akun lain.

   Pada *rule group name* halaman **grup Aturan:**, nilai di bawah **Pemilik** menampilkan ID akun yang membuat grup aturan. Itu adalah akun saat ini kecuali nilai **Status berbagi** adalah **Dibagikan dengan saya**. Dalam hal ini, **Pemilik** adalah akun yang membuat grup aturan dan membagikannya dengan akun saat ini.

1. Pilih **Share** (Bagikan) untuk melihat informasi tambahan atau untuk berbagi grup aturan dengan akun lain. Halaman di AWS RAM konsol muncul, tergantung pada nilai **status Berbagi**:
   + **Tidak dibagikan**: Halaman **Buat berbagi sumber daya** akan muncul. Untuk informasi tentang cara berbagi grup aturan dengan akun, unit organisasi (OU), atau organisasi lain, ikuti langkah berikut.
   + **Dibagikan oleh saya**: Halaman **Sumber daya bersama** menampilkan grup aturan dan sumber daya lain yang dimiliki oleh akun saat ini dan dibagikan dengan akun lain.
   + **Berbagi dengan saya**: Halaman **Sumber daya bersama** menampilkan grup aturan dan sumber daya lain yang dimiliki oleh akun lain dan dibagikan dengan akun saat ini.

1. Untuk berbagi grup aturan dengan AWS akun, OU, atau organisasi lain, tentukan nilai berikut.
**catatan**  
Anda tidak dapat memperbarui pengaturan berbagi. Untuk mengubah salah satu setelan berikut, Anda harus membagikan ulang grup aturan dengan setelan baru, lalu menghapus setelan berbagi yang lama.  
**Deskripsi**  
Masukkan deskripsi singkat yang membantu Anda mengingat alasan Anda membagikan grup aturan.  
**Sumber daya**  
Pilih kotak centang untuk grup aturan yang ingin Anda bagikan.  
**Pengguna utama**  
Masukkan nomor AWS akun, nama OU, atau nama organisasi.  
**Tag**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **pusat Biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.  
Ini adalah tag yang AWS Manajemen Penagihan dan Biaya menyediakan untuk mengatur AWS tagihan Anda; Anda juga dapat menggunakan tag untuk tujuan lain. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Menggunakan tanda alokasi biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.

# Mengaktifkan perlindungan Resolver DNS Firewall untuk VPC Anda
<a name="resolver-dns-firewall-vpc-protections"></a>

Anda mengaktifkan perlindungan DNS Firewall untuk VPC Anda dengan mengasosiasikan satu atau beberapa grup aturan dengan VPC. Setiap kali VPC dikaitkan dengan grup aturan DNS Firewall, Route 53 VPC Resolver menyediakan perlindungan DNS Firewall berikut: 
+ VPC Resolver merutekan kueri DNS keluar VPC melalui DNS Firewall, dan DNS Firewall memfilter kueri menggunakan grup aturan terkait. 
+ VPC Resolver memberlakukan pengaturan dalam konfigurasi DNS Firewall VPC. 

Untuk memberikan perlindungan DNS Firewall untuk VPC Anda, Anda melakukan hal berikut: 
+ Buat dan kelola asosiasi antara grup aturan DNS Firewall dan VPC Anda. Untuk informasi tentang grup aturan, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Konfigurasikan bagaimana Anda ingin VPC Resolver menangani kueri DNS untuk VPC selama kegagalan, misalnya jika DNS Firewall tidak memberikan respons untuk kueri DNS.

# Mengelola asosiasi antara grup aturan VPC dan Resolver DNS Firewall
<a name="resolver-dns-firewall-vpc-associating-rule-group"></a>

**Untuk melihat asosiasi VPC grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Pilih **DNS Firewall** di panel navigasi untuk membuka halaman **grup Aturan** Firewall DNS di konsol VPC Amazon.

   - ATAU - 

   Masuk ke Konsol Manajemen AWS dan buka 

   konsol VPC Amazon di bawah. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Di panel navigasi, di bawah **DNS Firewall**, pilih Grup **aturan**.

1. Pada bilah navigasi, pilih Wilayah untuk grup aturan. 

1. Pilih grup aturan yang ingin Anda kaitkan.

1. Pilih **View details** (Lihat detail). Halaman grup aturan ditampilkan. 

1. Di bagian bawah, Anda dapat melihat area detail tab yang mencakup aturan dan terkait VPCs. Pilih tab **Terkait VPCs**.

**Mengasosiasikan grup aturan dengan VPC**

1. Temukan asosiasi VPC grup aturan dengan mengikuti petunjuk di [prosedur sebelumnya](resolver-dns-firewall-rule-group-sharing.md) **Untuk melihat asosiasi VPC grup aturan**. 

1. Di VPCs tab **Terkait**, pilih **Associate VPC**.

1. Temukan VPC yang ingin Anda kaitkan dengan grup aturan di menu menurun. Pilih, lalu pilih **Associate** (Kaitkan).

Di halaman grup aturan, VPC Anda tercantum di tab **Terkait VPCs**. Pada awalnya, laporan **Status** asosiasi adalah **Updating** (Memperbarui). Setelah asosiasi selesai, status berubah menjadi **Complete** (Selesai). 

**Untuk menghapus asosiasi antara grup aturan dan VPC**

1. Temukan asosiasi VPC grup aturan dengan mengikuti petunjuk di [prosedur sebelumnya](resolver-dns-firewall-rule-group-sharing.md) **Untuk melihat asosiasi VPC grup aturan**. 

1. **Pilih VPC yang ingin Anda hapus dari daftar, lalu pilih Disassociate.** Verifikasi, dan kemudian konfirmasikan tindakan. 

**Pada halaman grup aturan, VPC Anda tercantum di VPCs tab **Terkait** dengan status Disassociating.** Setelah operasi selesai, DNS Firewall memperbarui daftar untuk menghapus VPC. 

# Konfigurasi VPC DNS Firewall
<a name="resolver-dns-firewall-vpc-configuration"></a>

Konfigurasi DNS Firewall untuk VPC Anda menentukan apakah Route 53 VPC Resolver memungkinkan kueri melalui atau memblokirnya selama kegagalan, misalnya ketika DNS Firewall terganggu, tidak responsif, atau tidak tersedia di zona. VPC Resolver memberlakukan konfigurasi firewall VPC setiap kali Anda memiliki satu atau lebih grup aturan DNS Firewall yang terkait dengan VPC.

Anda dapat mengonfigurasi VPC agar gagal terbuka atau gagal tertutup. 
+ Secara default, mode kegagalan ditutup, yang berarti bahwa VPC Resolver memblokir kueri apa pun yang tidak menerima balasan dari DNS Firewall dan mengirimkan respons DNS. ` SERVFAIL` Pendekatan ini mengutamakan keamanan daripada ketersediaan. 
+ Jika Anda mengaktifkan gagal terbuka, VPC Resolver memungkinkan kueri melalui jika tidak menerima balasan dari DNS Firewall. Pendekatan ini mengutamakan ketersediaan daripada keamanan. 

**Untuk mengubah konfigurasi DNS Firewall untuk VPC (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol VPC Resolver di. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. Di panel navigasi di bawah **Resolvers**, pilih. **VPCs** 

1. Di **VPCs**halaman, cari dan edit VPC. Ubah konfigurasi DNS Firewall menjadi gagal membuka atau gagal menutup sesuai kebutuhan. 

**Untuk mengubah perilaku DNS Firewall untuk VPC (API)**
+ Perbarui konfigurasi firewall VPC Anda dengan memanggil [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)dan mengaktifkan atau menonaktifkan. ` FirewallFailOpen` 

Anda dapat mengambil daftar konfigurasi firewall VPC Anda melalui API dengan menelepon. [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)