Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura e gestisci le regole del firewall DNS
## Creazione e visualizzazione delle regole del firewall
Le regole del firewall definiscono il modo in cui Route 53 Global Resolver gestisce le query DNS in base a elenchi di domini, elenchi di domini gestiti, categorie di contenuti o protezione avanzata dalle minacce. Ogni regola specifica una priorità, i domini di destinazione e un'azione da intraprendere.
**Procedure consigliate per la priorità delle regole:**
+ Utilizza la priorità 100-999 per le regole di autorizzazione ad alta priorità (domini affidabili)
+ Usa la priorità 1000-4999 per le regole di blocco (minacce note)
+ Usa la priorità 5000-9999 per le regole di avviso (monitoraggio e analisi)
+ Lascia degli spazi tra le priorità per consentire l'inserimento di regole future
**Per creare una regola DNS Firewall**
1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.
1. Scegli la scheda Regole del **firewall**.
1. Scegli **Crea regola firewall**.
1. Nella sezione **Dettagli della regola**:
1. Per **Nome regola**, inserisci un nome descrittivo per la regola (fino a 128 caratteri).
1. (Facoltativo) Per **Descrizione della regola**, inserisci una descrizione per la regola (fino a 255 caratteri).
1. Nella sezione **Configurazione delle regole**, scegli il **tipo di configurazione della regola**:
+ **Elenchi di domini gestiti dal cliente**: utilizza un elenco di domini creato e gestito dall'utente
+ **AWS elenchi di domini gestiti**: utilizza elenchi di domini forniti da Amazon che puoi utilizzare
+ **Protezioni DNS Firewall Advanced**: scegli tra una gamma di protezioni gestite e specifica una soglia di confidenza
1. In **Rule action**, scegli l'azione da intraprendere quando la regola corrisponde:
+ **Consenti**: la query DNS è stata risolta
+ **Avviso**: consente la query DNS ma crea un avviso
+ **Blocca**: la query DNS è bloccata
1. Scegli **Crea regola firewall**.
Utilizzate la seguente procedura per visualizzare le regole loro assegnate. È inoltre possibile aggiornare la regola e le impostazioni delle regole.
**Per visualizzare e aggiornare una regola**
1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.
1. Scegli la scheda Regole **DNS Firewall.**
1. Scegli la regola che desideri visualizzare o modificare e scegli **Modifica**.
1. Nella pagina **Regola**, puoi visualizzare e modificare le impostazioni.
Per informazioni sui valori per le regole, consulta [Impostazioni delle regole in DNS Firewall](#gr-rule-settings-dns-firewall).
**Come eliminare una regola**
1. Nella console Route 53 Global Resolver, accedi alla visualizzazione DNS.
1. Scegli la scheda Regole **DNS Firewall.**
1. Scegli la regola che desideri eliminare, quindi scegli **Elimina** e conferma l'eliminazione.
## Impostazioni delle regole in DNS Firewall
Quando crei o modifichi una regola del firewall DNS nella visualizzazione DNS, specifichi i seguenti valori:
Name
Un identificatore univoco per la regola nella vista DNS.
(Facoltativo) Descrizione
Una breve descrizione che fornisce ulteriori informazioni sulla regola.
Elenco di domini
L'elenco dei domini controllati dalla regola. Puoi creare e gestire il tuo elenco di domini oppure puoi iscriverti a un elenco di domini che AWS gestisca per te.
Una regola può contenere un elenco di domini o una protezione DNS Firewall Advanced, ma non entrambe.
Tipo di query (solo elenchi di domini)
L'elenco dei tipi di query DNS esaminati dalla regola. Di seguito sono riportati i valori validi:
+ R: Restituisce un IPv4 indirizzo.
+ AAAA: restituisce un indirizzo Ipv6.
+ CAA: limita CAs chi può creare SSL/TLS certificazioni per il dominio.
+ CNAME: restituisce un altro nome di dominio.
+ DS: record che identifica la chiave di firma DNSSEC di una zona delegata.
+ MX: specifica i server di posta.
+ NAPTR: Regular-expression-based riscrittura dei nomi di dominio.
+ NS: server di nomi autorevoli.
+ PTR: associa un indirizzo IP a un nome di dominio.
+ SOA: inizio del record di autorità per la zona.
+ SPF: elenca i server autorizzati a inviare e-mail da un dominio.
+ SRV: valori specifici dell'applicazione che identificano i server.
+ TXT: verifica i mittenti di posta elettronica e i valori specifici dell'applicazione.
Un tipo di query definito utilizzando l'ID del tipo DNS, ad esempio 28 per AAAA. I valori devono essere definiti come TYPE`NUMBER`, dove ad esempio `NUMBER` può essere 1-65334. TYPE28 Per ulteriori informazioni, vedere [Elenco dei tipi di record DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
È possibile creare un tipo di query per regola.
Protezione DNS Firewall Advanced
Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Puoi scegliere la protezione tra:
+ Algoritmi di generazione di domini () DGAs
DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.
+ tunneling DNS
Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.
In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia.
Per ulteriori informazioni, consulta le protezioni DNS Firewall Advanced.
Una regola può contenere una protezione DNS Firewall Advanced o un elenco di domini, ma non entrambi.
Soglia di confidenza (solo DNS Firewall Advanced)
La soglia di confidenza per DNS Firewall Advanced. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:
+ Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.
+ Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.
+ Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.
Per ulteriori informazioni, consulta Impostazioni delle regole in DNS Firewall.
Azione
Come si desidera che DNS Firewall gestisca una query DNS il cui nome di dominio corrisponde alle specifiche nell'elenco dei domini della regola. Per ulteriori informazioni, consulta [Operazioni delle regole in DNS Firewall](#gr-rule-actions-dns-firewall).
Priorità
Impostazione unica di numeri interi positivi per la regola all'interno di DNS View che determina l'ordine di elaborazione. DNS Firewall esamina le query DNS in base alle regole in una visualizzazione DNS, iniziando con l'impostazione della priorità numerica più bassa e aumentando. È possibile modificare la priorità di una regola in qualsiasi momento, ad esempio per modificare l'ordine di elaborazione o creare spazio per altre regole.
## Operazioni delle regole in DNS Firewall
Quando DNS Firewall trova una corrispondenza tra una query DNS e una specifica di dominio in una regola, applica l'operazione specificata nella regola alla query.
Sarà necessario specificare una delle seguenti opzioni in ogni regola creata:
+ **Consenti**: interrompe l’ispezione della query e consente di andare avanti. Non disponibile per DNS Firewall Advanced.
+ **Avviso**: interrompe l’ispezione della query, ne consente l’esecuzione e registra un avviso per la query nei log di Route 53 Resolver.
+ **Blocco**: interrompe l’ispezione della query, ne impedisce l’accesso alla destinazione desiderata bloccandola e registra l’azione di blocco per la query nei log di Route 53 Resolver.
Rispondi con la risposta di blocco configurata, da quanto segue:
+ **NODATA**: rispondi indicando che la query ha avuto esito positivo, ma non è disponibile alcuna risposta corrispondente.
+ **NXDOMAIN: risponde indicando che il nome di dominio** della query non esiste.
+ **OVERRIDE**: fornisce un override personalizzato nella risposta. Questa opzione richiede le seguenti impostazioni aggiuntive:
+ **Valore record**: il record DNS personalizzato da restituire in risposta alla query.
+ **Tipo di record**: il tipo di record DNS. Ciò determina il formato del valore del record. Deve essere `CNAME`.
+ **Tempo di vita in secondi**: il periodo di tempo consigliato al resolver DNS o al browser Web per memorizzare nella cache il record di override e utilizzarlo in risposta a questa richiesta, se viene ricevuto nuovamente. Per impostazione predefinita, questo è zero e il record non è memorizzato nella cache.