Guida introduttiva a Route 53 Resolver Firewall DNS - Amazon Route 53
Esempio di giardino recintato Route 53 Resolver DNS FirewallEsempio di elenco di blocchi di Route 53 Resolver DNS Firewall

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva a Route 53 Resolver Firewall DNS

La console DNS Firewall include una procedura guidata che guida l'utente attraverso i seguenti passaggi per iniziare a usare Firewall: DNS

  • Crea gruppi di regole per ogni set di regole che desideri utilizzare.

  • Per ogni regola, compila l'elenco di domini che desideri ispezionare. È possibile creare elenchi di domini personalizzati e utilizzare elenchi di domini AWS gestiti.

  • Associa i tuoi gruppi di regole al VPCs luogo in cui desideri utilizzarli.

Esempio di giardino recintato Route 53 Resolver DNS Firewall

In questo tutorial verrà creato un gruppo di regole che blocca tutti i domini tranne un gruppo selezionato di domini considerati attendibili. Questo approccio è tipico di una piattaforma chiusa, o walled garden.

Per configurare un gruppo di regole DNS del firewall utilizzando la procedura guidata della console

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

    Scegli DNSFirewall nel pannello di navigazione per aprire la pagina dei gruppi di regole del DNS firewall sulla VPC console Amazon. Continua alla fase 3.

    - O -

    Accedi a AWS Management Console e apri il

    la VPC console Amazon sotto https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in DNSFirewall, scegli Gruppi di regole.

  3. Nella barra di navigazione, scegli la regione per il gruppo di regole.

  4. Nella pagina Gruppi di regole, scegli Aggiungi gruppo di regole.

  5. Per il nome per il gruppo specifica WalledGardenExample.

    Nella sezione Tag, puoi facoltativamente inserire una coppia chiave-valore per un tag. I tag facilitano l'organizzazione e la gestione delle risorse AWS . Per ulteriori informazioni, consulta Assegnazione di tag alle risorse di Amazon Route 53.

  6. Scegli Aggiungi gruppo di regole.

  7. Nella pagina dei WalledGardenExampledettagli, scegli la scheda Regole, quindi Aggiungi regola.

  8. Nel riquadro Dettagli regola, specifica il nome della regola BlockAll.

  9. Nel riquadro Elenco dei domini, seleziona Aggiungi il mio elenco di domini.

  10. In Scegli o crea un nuovo elenco di domini seleziona Crea un nuovo elenco di domini.

  11. Inserisci un nome di elenco di dominiAllDomains, quindi nella casella di testo Inserisci un dominio per riga, inserisci un asterisco:*.

  12. Per l'impostazione del reindirizzamento del dominio, accetta l'impostazione predefinita e lascia vuoto il campo Tipo di interrogazione, facoltativo.

  13. Per l'Azione, selezionate BLOCKe lasciate la risposta da inviare con l'impostazione predefinita di NODATA.

  14. Scegli Aggiungi regola. La regola BlockAllviene visualizzata nella scheda Regole della WalledGardenExamplepagina.

  15. Nella WalledGardenExamplepagina, scegli Aggiungi regola per aggiungere una seconda regola al tuo gruppo di regole.

  16. Nel riquadro dei dettagli della regola, inserisci il nome della regolaAllowSelectDomains.

  17. Nel riquadro Elenco dei domini, seleziona Aggiungi il mio elenco di domini.

  18. In Scegli o crea un nuovo elenco di domini seleziona Crea un nuovo elenco di domini.

  19. Specifica un nome per l'elenco di domini ExampleDomains.

  20. Nella casella di testo Inserisci un dominio per riga, nella prima riga, inserisci example.com e nella seconda riga, inserisciexample.org.

    Nota

    Se desideri che la regola venga applicata anche ai sottodomini, dovrai aggiungere quei domini all'elenco. Ad esempio, per aggiungere tutti i sottodomini di esempio.com, aggiungi *.example.com all'elenco.

  21. Per l'impostazione di reindirizzamento del dominio, accettate l'impostazione predefinita e lasciate vuoto il campo Tipo di interrogazione (facoltativo).

  22. Per l'azione, selezionate ALLOW.

  23. Scegli Aggiungi regola. Le regole sono entrambe visualizzate nella scheda Regole della WalledGardenExamplepagina.

  24. Nella scheda Regole della WalledGardenExamplepagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella colonna Priorità e digitando un nuovo numero. DNS Il firewall valuta le regole a partire dall'impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata. Per questo esempio, vogliamo che DNS Firewall identifichi e consenta innanzitutto DNS le query per l'elenco selezionato di domini, quindi blocchi tutte le query rimanenti.

    Regola la priorità della regola in modo che AllowSelectDomainsabbia una priorità più bassa.

A questo punto hai un gruppo di regole che consente solo query di dominio specifiche. Per iniziare a utilizzarlo, lo associ al VPCs punto in cui desideri utilizzare il comportamento di filtraggio. Per ulteriori informazioni, consulta Gestione delle associazioni tra l'utente VPC e il gruppo di regole Route 53 Resolver DNS Firewall.

Esempio di elenco di blocchi di Route 53 Resolver DNS Firewall

In questo tutorial viene creato un gruppo di regole che blocca i domini che sai essere dannosi. Aggiungerai anche un tipo di DNS query consentito per i domini nell'elenco bloccato. Il gruppo di regole consente tutte le altre DNS richieste in uscita tramite Route 53 Resolver.

Per configurare un elenco di blocchi DNS del firewall utilizzando la procedura guidata della console

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

    Scegli DNSFirewall nel pannello di navigazione per aprire la pagina dei gruppi di regole del DNS firewall sulla VPC console Amazon. Continua alla fase 3.

    - O -

    Accedi a AWS Management Console e apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in DNSFirewall, scegli Gruppi di regole.

  3. Nella barra di navigazione, scegli la regione per il gruppo di regole.

  4. Nella pagina Gruppi di regole, scegli Aggiungi gruppo di regole.

  5. Per il nome per il gruppo specifica BlockListExample.

    Nella sezione Tag, puoi facoltativamente inserire una coppia chiave-valore per un tag. I tag facilitano l'organizzazione e la gestione delle risorse AWS . Per ulteriori informazioni, consulta Assegnazione di tag alle risorse di Amazon Route 53.

  6. Nella pagina dei BlockListExampledettagli, scegli la scheda Regole, quindi Aggiungi regola.

  7. Nel riquadro Dettagli regola, specifica il nome della regola BlockList.

  8. Nel riquadro Elenco dei domini, seleziona Aggiungi il mio elenco di domini.

  9. In Scegli o crea un nuovo elenco di domini seleziona Crea un nuovo elenco di domini.

  10. Specifica il nome dell'elenco di domini MaliciousDomains, quindi casella di testo specifica i domini che desideri bloccare. Ad esempio example.org. Specifica un dominio per riga.

    Nota

    Se desideri che la regola venga applicata anche ai sottodomini, dovrai aggiungere all'elenco anche quei domini. Ad esempio, per aggiungere tutti i sottodomini di esempio.org, aggiungi *.example.org all'elenco.

  11. Per l'impostazione del reindirizzamento del dominio, accetta l'impostazione predefinita e lascia vuoto il campo Tipo di interrogazione (facoltativo).

  12. Per l'azione, selezionate BLOCKe lasciate la risposta da inviare con l'impostazione predefinita di NODATA.

  13. Scegli Aggiungi regola. La regola viene visualizzata nella scheda Regole della BlockListExamplepagina

  14. nella scheda Regole della BlockedListExamplepagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella colonna Priorità e digitando un nuovo numero. DNS Il firewall valuta le regole a partire dall'impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata.

    Seleziona e regola la priorità della regola in modo che BlockListvenga valutata prima o dopo qualsiasi altra regola che potresti avere. La maggior parte delle volte, i domini dannosi noti dovrebbero essere bloccati per primi. In altre parole, le regole ad essi associate dovrebbero avere la priorità più bassa.

  15. Per aggiungere una regola che consenta i record MX per i BlockList domini, nella pagina dei BlockedListExampledettagli della scheda Regole, scegli Aggiungi regola.

  16. Nel riquadro Dettagli regola, specifica il nome della regola BlockList-allowMX.

  17. Nel riquadro Elenco dei domini, seleziona Aggiungi il mio elenco di domini.

  18. In Scegli o crea un nuovo elenco di domini, selezionaMaliciousDomains.

  19. Per l'impostazione di reindirizzamento del dominio, accetta l'impostazione predefinita.

  20. Nell'elenco dei tipi di DNS query, selezionare MX: specifica i server di posta.

  21. Per l'azione, seleziona ALLOW.

  22. Scegli Aggiungi regola.

  23. nella scheda Regole della BlockedListExamplepagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella colonna Priorità e digitando un nuovo numero. DNS Il firewall valuta le regole a partire dall'impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata.

    Seleziona e regola la priorità della regola in modo che BlockList-allowMX venga valutato prima o dopo qualsiasi altra regola che potresti avere. Poiché desideri consentire le interrogazioni MX, assicurati che la regola BlockList-AllowMX abbia una priorità inferiore a. BlockList

Ora disponi di un gruppo di regole che blocca specifiche query di dominio dannose, ma consente un tipo di query specifico. DNS Per iniziare a utilizzarlo, lo associ al VPCs punto in cui desideri utilizzare il comportamento di filtro. Per ulteriori informazioni, consulta Gestione delle associazioni tra l'utente VPC e il gruppo di regole Route 53 Resolver DNS Firewall.