Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gruppi di regole e regole in DNS Firewall
Questa sezione descrive le impostazioni che è possibile configurare per i gruppi di regole e le regole del firewall DNS, per definire il comportamento del firewall DNS per l'utente. VPCs Viene inoltre descritto come gestire le impostazioni per le regole e i gruppi di regole.
Quando i gruppi di regole sono configurati nel modo desiderato, è possibile utilizzarli direttamente e condividerli e gestirli tra gli account e nell'intera organizzazione in AWS Organizations.
+ È possibile associare un gruppo di regole a più VPCs regole per garantire un comportamento coerente in tutta l'organizzazione. Per informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ È possibile condividere gruppi di regole tra più account per una gestione coerente delle query DNS all'interno dell'organizzazione. Per informazioni, consulta [Condivisione dei gruppi di regole Resolver DNS Firewall tra account AWS](resolver-dns-firewall-rule-group-sharing.md).
+ È possibile utilizzare i gruppi di regole in tutta l'organizzazione AWS Organizations gestendoli nelle AWS Firewall Manager politiche. Per informazioni su Firewall Manager, consulta [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la Guida per *AWS WAF gli AWS Shield Advanced sviluppatori e AWS Firewall Manager la Guida per gli sviluppatori*.
# Impostazioni del gruppo di regole in DNS Firewall
Quando crei o modifichi un gruppo di regole di DNS Firewall, devi specificare i seguenti valori:
**Name**
Un nome univoco che ti consenta di trovare facilmente un gruppo di regole nel pannello di controllo.
**(Facoltativo) Descrizione**
Una breve descrizione che fornisce più contesto per il gruppo di regole.
**Region**
La AWS regione scelta al momento della creazione del gruppo di regole. Un gruppo di regole creato in una regione è disponibile solo in quella regione. Per utilizzare lo stesso gruppo di regole in più di una regione, è necessario creare il gruppo in ciascuna regione.
**Regole**
Il comportamento di filtraggio delle regole è contenuto nelle relative regole. Per ulteriori informazioni, consulta la sezione seguente.
**Tag**
Specificate una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
Questi sono i tag che Gestione dei costi e fatturazione AWS consentono di organizzare la AWS bolletta. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l'allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l'utente di AWS Billing *.
# Impostazioni delle regole in DNS Firewall
Quando crei o modifichi una regola in un gruppo di regole di DNS Firewall, devi specificare i seguenti valori:
**Name**
Un identificatore univoco per la regola nel gruppo di regole.
**(Facoltativo) Descrizione**
Una breve descrizione che fornisce ulteriori informazioni sulla regola.
**Elenco dei domini**
L'elenco dei domini controllati dalla regola. È possibile creare elenchi di dominio personalizzati o sottoscrivere un elenco di domini gestiti automaticamente da AWS . Per ulteriori informazioni, consulta [Elenchi di domini Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md).
Una regola può contenere un elenco di domini o una protezione DNS Firewall Advanced, ma non entrambe.
**Impostazione di reindirizzamento del dominio (solo elenchi di domini)**
Puoi scegliere che la regola DNS Firewall ispezioni solo il primo dominio o tutti (impostazione predefinita) i domini della catena di reindirizzamento DNS, come CNAME, DNAME, ecc. Se scegli di ispezionare tutti i domini, devi aggiungere i domini successivi nella catena di reindirizzamento DNS all'elenco dei domini e impostare l'azione che desideri venga intrapresa dalla regola, ovvero ALLOW, BLOCK o ALERT. Per ulteriori informazioni, consulta [Componenti e impostazioni di Resolver DNS Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).
**Tipo di query (solo elenchi di domini)**
L'elenco dei tipi di query DNS esaminati dalla regola. Di seguito sono riportati i valori validi:
+ R: Restituisce un IPv4 indirizzo.
+ AAAA: restituisce un indirizzo Ipv6.
+ CAA: limita CAs chi può creare SSL/TLS certificazioni per il dominio.
+ CNAME: restituisce un altro nome di dominio.
+ DS: record che identifica la chiave di firma DNSSEC di una zona delegata.
+ MX: specifica i server di posta.
+ NAPTR: Regular-expression-based riscrittura dei nomi di dominio.
+ NS: server di nomi autorevoli.
+ PTR: associa un indirizzo IP a un nome di dominio.
+ SOA: inizio del record di autorità per la zona.
+ SPF: elenca i server autorizzati a inviare e-mail da un dominio.
+ SRV: valori specifici dell'applicazione che identificano i server.
+ TXT: verifica i mittenti di posta elettronica e i valori specifici dell'applicazione.
+ Un tipo di query definito utilizzando l'ID del tipo DNS, ad esempio 28 per AAAA. I valori devono essere definiti come TYPE* NUMBER*, dove ad esempio *NUMBER* può essere 1-65334. TYPE28 Per ulteriori informazioni, vedere [Elenco dei tipi di record DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
È possibile creare un tipo di query per regola.
**Nota**
Se si imposta una regola BLOCK del firewall con l'azione NXDOMAIN sul tipo di query uguale a AAAA, questa azione non verrà applicata agli IPv6 indirizzi sintetici generati quando è abilitata. DNS64
**Protezione DNS Firewall Advanced**
Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Puoi scegliere la protezione tra:
+ Algoritmi di generazione di domini () DGAs
DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.
+ tunneling DNS
Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.
+ Dizionario DGA
DGAs I dizionari vengono utilizzati dagli aggressori per generare domini utilizzando parole del dizionario per eludere il rilevamento nelle comunicazioni di malware. command-and-control
In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia.
Per ulteriori informazioni, consulta [Resolver DNS Firewall Advanced](firewall-advanced.md).
Una regola può contenere una protezione DNS Firewall Advanced o un elenco di domini, ma non entrambi.
**Soglia di confidenza (solo DNS Firewall Advanced)**
La soglia di confidenza per DNS Firewall Advanced. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:
+ Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.
+ Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.
+ Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.
Per ulteriori informazioni, consulta [Impostazioni delle regole in DNS Firewall](#resolver-dns-firewall-rule-settings).
**Azione**
Come si desidera che DNS Firewall gestisca una query DNS il cui nome di dominio corrisponde alle specifiche nell'elenco dei domini della regola. Per ulteriori informazioni, consulta [Operazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-actions.md).
**Priorità**
Impostazione univoca di numeri interi positivi per la regola all'interno del gruppo di regole che determina l'ordine di elaborazione. DNS Firewall ispeziona le query DNS in base alle regole in un gruppo di regole a cominciare dall'impostazione di priorità più bassa a salire. È possibile modificare la priorità di una regola in qualsiasi momento, ad esempio per modificare l'ordine di elaborazione o creare spazio per altre regole.
# Operazioni delle regole in DNS Firewall
Quando DNS Firewall trova una corrispondenza tra una query DNS e una specifica di dominio in una regola, applica l'operazione specificata nella regola alla query.
Sarà necessario specificare una delle seguenti opzioni in ogni regola creata:
+ **Allow**— Interrompi l'ispezione della richiesta e consenti che venga eseguita. Non disponibile per DNS Firewall Advanced.
+ **Alert**— Interrompi l'ispezione della query, consenti che venga eseguita e registra un avviso per la query nei log di Route 53 VPC Resolver.
+ **Block**— Interrompi l'ispezione della query, impedisci che raggiunga la destinazione prevista e registra l'azione di blocco per la query nei log del Resolver VPC di Route 53.
Rispondi con la risposta di blocco configurata, da quanto segue:
+ **NODATA**— Rispondi indicando che la query ha avuto esito positivo, ma non è disponibile alcuna risposta.
+ **NXDOMAIN**— Rispondi indicando che il nome di dominio della richiesta non esiste.
+ **OVERRIDE**— Fornisci un override personalizzato nella risposta. Questa opzione richiede le seguenti impostazioni aggiuntive:
+ **Record value**— Il record DNS personalizzato da inviare in risposta alla richiesta.
+ **Record type**— Il tipo di record DNS. Ciò determina il formato del valore del record. Deve essere `CNAME`.
+ **Time to live in seconds**— Il periodo di tempo consigliato al resolver DNS o al browser Web per memorizzare nella cache il record di override e utilizzarlo in risposta a questa richiesta, se viene ricevuto nuovamente. Per impostazione predefinita, questo è zero e il record non è memorizzato nella cache.
Per ulteriori informazioni sulla configurazione dei log delle query e sul contenuto, consulta [Registrazione delle query di Resolver](resolver-query-logs.md) e [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).
**Utilizzo di Alert per testare le regole di blocco**
Quando si crea per la prima volta una regola di blocco, è possibile verificarla configurandola con l'operazione impostata su Alert. È quindi possibile esaminare il numero di query per cui la regola invia un avviso per vedere quante query sarebbero bloccate se si imposta l'operazione su Block.
# Gestione di gruppi di regole e regole in DNS Firewall
Per gestire i gruppi di regole e le regole nella console, segui le indicazioni in questa sezione.
Quando si apportano modifiche alle entità DNS Firewall, ad esempio regole ed elenchi di domini, DNS Firewall propaga le modifiche ovunque le entità sono memorizzate e utilizzate. Le modifiche vengono applicate in pochi secondi, ma potrebbe esserci un breve periodo di incoerenza tra quando le modifiche sono arrivate in alcuni punti e non ancora in altri. Ad esempio, se si aggiunge un dominio a un elenco di domini a cui fa riferimento una regola di blocco, il nuovo dominio potrebbe essere bloccato brevemente in un'area del VPC mentre è ancora consentito in un'altra. Questa incoerenza temporanea può verificarsi quando si configura per la prima volta il gruppo di regole e le associazioni VPC e quando si modificano le impostazioni esistenti. Di solito, eventuali incoerenze di questo tipo durano solo pochi secondi.
# Creazione di gruppi di regole e regole
Per creare un gruppo di regole e aggiungervi regole, segui i passaggi di questa procedura.
**Come creare un gruppo di regole e le relative regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Scegli **Aggiungi gruppo di regole**, quindi segui le istruzioni della procedura guidata per specificare il gruppo di regole e le impostazioni delle regole.
Per informazioni sui valori per i gruppi di regole, consulta [Impostazioni del gruppo di regole in DNS Firewall](resolver-dns-firewall-rule-group-settings.md).
Per informazioni sui valori per le regole, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
# Visualizzazione e aggiornamento di un gruppo di regole e di regole
Utilizza la seguente procedura per visualizzare i gruppi di regole e le regole loro assegnate. È inoltre possibile aggiornare il gruppo di regole e le impostazioni delle regole.
**Come visualizzare e aggiornare un gruppo di regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Seleziona il gruppo di regole che desideri visualizzare o modificare, quindi scegli **Visualizza dettagli**.
1. Nella pagina del gruppo di regole è possibile visualizzare e modificare le impostazioni.
Per informazioni sui valori per i gruppi di regole, consulta [Impostazioni del gruppo di regole in DNS Firewall](resolver-dns-firewall-rule-group-settings.md).
Per informazioni sui valori per le regole, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
# Eliminazione di un gruppo di regole
Per eliminare un gruppo di regole, completa la seguente procedura.
**Importante**
Se elimini un gruppo di regole associato a un VPC, DNS Firewall rimuove l'associazione e interrompe le protezioni fornite dal gruppo di regole al VPC.
**Eliminazione delle entità DNS Firewall**
Quando si elimina un'entità che è possibile utilizzare in DNS Firewall, ad esempio un elenco di domini che potrebbe essere in uso in un gruppo di regole o un gruppo di regole che potrebbe essere associato a un VPC, DNS Firewall verifica se l'entità è attualmente in uso. Se rileva che è in uso, DNS Firewall avvisa l'utente. DNS Firewall è quasi sempre in grado di determinare se un'entità è in uso. Tuttavia, in rari casi, potrebbe non essere in grado di farlo. Per essere certo che l'entità non sia utilizzata, controlla nelle configurazioni DNS Firewall prima di eliminarla. Se l'entità è un elenco di domini di riferimento, verifica che nessun gruppo di regole la stia utilizzando. Se l'entità è un gruppo di regole, verifica che non sia associata a nessuno VPCs.
**Per eliminare un gruppo di regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Seleziona il gruppo di regole che desideri eliminare, quindi scegli **Elimina** e conferma l'eliminazione.