Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di DNS Firewall per filtrare il traffico DNS in uscita
Con Resolver DNS Firewall, puoi filtrare e regolare il traffico DNS in uscita per il tuo cloud privato virtuale (VPC). A tale scopo, è possibile creare raccolte riutilizzabili di regole di filtro nei gruppi di regole di DNS Firewall, associare i gruppi di regole al VPC e quindi monitorare l'attività nei record e nei parametri di DNS Firewall. In base all'attività, è possibile regolare di conseguenza il comportamento di DNS Firewall.
DNS Firewall fornisce protezione per le richieste DNS in uscita provenienti da... VPCs Queste richieste vengono inoltrate tramite VPC Resolver per la risoluzione dei nomi di dominio. Un uso principale delle protezioni DNS Firewall è quello di aiutare a prevenire l'esfiltrazione DNS dei dati. L'esfiltrazione DNS può verificarsi quando un malintenzionato compromette un'istanza dell'applicazione nel VPC e quindi utilizza la ricerca DNS per inviare dati dal VPC a un dominio che controlla. Con DNS Firewall, è possibile monitorare e controllare i domini su cui le applicazioni possono eseguire query. Puoi negare l'accesso ai domini che sai essere non validi e consentire il passaggio di tutte le altre query. In alternativa, è possibile rifiutare l'accesso a tutti i domini ad eccezione di quelli che consideri esplicitamente attendibili.
È possibile utilizzare DNS Firewall anche per bloccare le richieste di risoluzione alle risorse in zone ospitate private (condivise o locali), inclusi i nomi degli endpoint VPC. Può anche bloccare le richieste di nomi di istanza Amazon EC2 pubblici o privati.
DNS Firewall è una funzionalità di Route 53 VPC Resolver e non richiede alcuna configurazione VPC Resolver aggiuntiva per essere utilizzata.
**AWS Firewall Manager supporta DNS Firewall**
Puoi utilizzare Firewall Manager per configurare e gestire centralmente le associazioni dei gruppi di regole del firewall DNS per VPCs tutti i tuoi account in AWS Organizations. Firewall Manager aggiunge automaticamente le associazioni VPCs che rientrano nell'ambito della politica del firewall DNS di Firewall Manager. Per ulteriori informazioni, consulta [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la *AWS WAF AWS Firewall Manager, e la Guida per AWS Shield Advanced gli sviluppatori*.
**Come funziona DNS Firewall con AWS Network Firewall**
Firewall DNS e Network Firewall offrono entrambi filtri dei nomi di dominio, ma per diversi tipi di traffico. Con DNS Firewall e Network Firewall insieme, è possibile configurare il filtro basato su dominio per il traffico a livello di applicazione su due percorsi di rete diversi.
+ DNS Firewall fornisce il filtro per le query DNS in uscita che passano attraverso il Route 53 VPC Resolver dalle applicazioni all'interno del tuo. VPCs È inoltre possibile configurare DNS Firewall per inviare risposte personalizzate per le query a nomi di dominio bloccati.
+ Network Firewall fornisce il filtro per il traffico a livello di rete e di applicazione, ma non offre visibilità sulle query effettuate da Route 53 VPC Resolver.
Per ulteriori informazioni su Network Firewall, consulta la [Guida per gli sviluppatori di Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
# Come funziona Resolver DNS Firewall
Resolver DNS Firewall ti consente di controllare l'accesso ai siti e bloccare le minacce a livello DNS per le query DNS che escono dal tuo VPC tramite il VPC Resolver Route 53. Con DNS Firewall, definisci le regole di filtraggio dei nomi di dominio nei gruppi di regole che associ al tuo. VPCs È possibile specificare elenchi di nomi di dominio da consentire o bloccare oppure regole Resolver DNS Firewall Advanced che offrono protezione dal tunneling DNS e dalle minacce basate su Domain Generation Algorithm (DGA). Puoi personalizzare le risposte per le query DNS che blocchi. Per le regole che contengono un elenco di domini, puoi anche perfezionare la regola per consentire la trasmissione di determinati tipi di query, come MX-Records.
DNS Firewall filtra solo il nome di dominio. Non risolve tale nome in un indirizzo IP da bloccare. Inoltre, DNS Firewall filtra il traffico DNS, ma non filtra altri protocolli a livello di applicazione, come HTTPS, SSH, TLS, FTP e così via.
## Componenti e impostazioni di Resolver DNS Firewall
Gestire DNS Firewall con i seguenti componenti e impostazioni centrali.
**Gruppo di regole DNS Firewall**
Definisce una raccolta denominata e riutilizzabile di regole di DNS Firewall per filtrare le query DNS. Si compila il gruppo di regole con le regole di filtraggio, quindi si associa il gruppo di regole a una o più regole. VPCs Quando associ un gruppo di regole a un VPC, si abilita il filtro DNS Firewall per il VPC. Quindi, quando VPC Resolver riceve una query DNS per un VPC a cui è associato un gruppo di regole, VPC Resolver passa la query a DNS Firewall per il filtraggio.
Se associ più gruppi di regole a un singolo VPC, è necessario indicare il relativo ordine di elaborazione tramite l'impostazione di priorità in ogni associazione. DNS Firewall elabora i gruppi di regole per un VPC dall'impostazione della priorità numerica più bassa a salire.
Per ulteriori informazioni, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
**Regola DNS Firewall**
Definisce una regola di filtro per le query DNS in un gruppo di regole di DNS Firewall Ogni regola specifica un elenco di domini, o una protezione DNS Firewall e un’operazione da eseguire sulle query DNS i cui domini corrispondono alle specifiche del dominio nella regola. Puoi consentire (regole solo con elenchi di domini), bloccare o avvisare le query corrispondenti. Nelle regole con elenchi di domini è inoltre possibile specificare i tipi di query per i domini dell’elenco, ad esempio è possibile bloccare o consentire un tipo di query MX per uno o più domini specifici. Puoi inoltre definire risposte personalizzate per le query bloccate.
Per quanto riguarda le regole DNS Firewall, è possibile bloccare o inviare avvisi solo in caso di query corrispondenti.
Ogni regola di un gruppo di regole ha un'impostazione di priorità univoca all'interno del gruppo di regole. DNS Firewall elabora le regole in un gruppo di regole a partire dalla priorità più bassa a salire.
Le regole di DNS Firewall esistono solo nel contesto del gruppo di regole in cui sono definite. Non è possibile riutilizzare una regola o fare riferimento a essa indipendentemente dal relativo gruppo di regole.
Per ulteriori informazioni, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
**Elenco di domini**
Definisce una raccolta denominata e riutilizzabile di specifiche di dominio da utilizzare nel filtro DNS. Ogni regola in un gruppo di regole richiede un singolo elenco di domini. È possibile scegliere di specificare i domini a cui si desidera consentire l'accesso, i domini a cui si desidera negare l'accesso o una combinazione di entrambi. Puoi creare elenchi di domini personalizzati e utilizzare elenchi di domini che AWS gestiscono per te.
Per ulteriori informazioni, consulta [Elenchi di domini Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md).
**Impostazione di reindirizzamento del dominio (solo elenchi di domini)**
L'impostazione di reindirizzamento del dominio consente di configurare una regola del firewall DNS per ispezionare tutti i domini della catena di reindirizzamento DNS (impostazione predefinita), come CNAME, DNAME e così via, oppure solo il primo dominio e considerare attendibile il resto. Se scegli di controllare l'intera catena di reindirizzamento DNS, devi aggiungere i domini successivi a un elenco di domini impostato su ALLOW nella regola. Se scegli di ispezionare l'intera catena di reindirizzamento DNS, devi aggiungere i domini successivi a un elenco di domini e impostare l'azione che desideri venga intrapresa dalla regola, ovvero ALLOW, BLOCK o ALERT.
Per ulteriori informazioni, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
**Tipo di query (solo elenchi di domini)**
L'impostazione del tipo di query consente di configurare una regola DNS Firewall per filtrare un particolare tipo di query DNS. Se non si seleziona un tipo di query, la regola viene applicata a tutti i tipi di query DNS. Ad esempio, potresti voler bloccare tutti i tipi di query per un determinato dominio, ma consentire i record MX.
Per ulteriori informazioni, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
**Protezione DNS Firewall Advanced**
Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Ogni regola in un gruppo di regole richiede una singola impostazione di protezione DNS Firewall Advanced. È possibile scegliere la protezione tra:
+ Algoritmi di generazione di domini () DGAs
DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.
+ tunneling DNS
Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.
+ Dizionario DGA
DGAs I dizionari vengono utilizzati dagli aggressori per generare domini utilizzando parole del dizionario per eludere il rilevamento nelle comunicazioni di malware. command-and-control
In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia. Gli algoritmi di protezione dalle minacce sono gestiti e aggiornati da. AWS
Per ulteriori informazioni, consulta [Resolver DNS Firewall Advanced](firewall-advanced.md).
**Soglia di confidenza (solo protezione DNS Firewall Advanced)**
La soglia di confidenza per la protezione dalle minacce DNS. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:
+ Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.
+ Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.
+ Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.
Per ulteriori informazioni, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
**Associazione tra un gruppo di regole DNS Firewall e un VPC**
Definisce una protezione per un VPC utilizzando un gruppo di regole DNS Firewall e abilita la configurazione del firewall DNS VPC Resolver per il VPC.
Se associ più gruppi di regole a un singolo VPC, è necessario indicare il relativo ordine di elaborazione tramite l'impostazione di priorità in ogni associazione. DNS Firewall elabora i gruppi di regole per un VPC dall'impostazione della priorità numerica più bassa a salire.
Per ulteriori informazioni, consulta [Attivazione delle protezioni Resolver DNS Firewall per il tuo VPC](resolver-dns-firewall-vpc-protections.md).
**Configurazione DNS Firewall per un VPC**
Specifica in che modo VPC Resolver deve gestire le protezioni DNS Firewall a livello di VPC. Questa configurazione è attiva ogni volta che al VPC è associato almeno un gruppo di regole DNS Firewall.
Questa configurazione specifica in che modo Route 53 VPC Resolver gestisce le query quando DNS Firewall non riesce a filtrarle. Per impostazione predefinita, se VPC Resolver non riceve una risposta da DNS Firewall per una query, fallisce la chiusura e blocca la query.
Per ulteriori informazioni, consulta [Configurazione del VPC di DNS Firewall](resolver-dns-firewall-vpc-configuration.md).
**Monitoraggio delle azioni del firewall DNS**
Puoi utilizzare Amazon CloudWatch per monitorare il numero di query DNS filtrate dai gruppi di regole del firewall DNS. CloudWatch raccoglie ed elabora dati grezzi in metriche leggibili e quasi in tempo reale.
Per ulteriori informazioni, consulta [Monitoraggio dei gruppi di regole Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).
Puoi usare Amazon EventBridge, un servizio serverless che utilizza gli eventi per connettere tra loro i componenti delle applicazioni, per creare applicazioni scalabili basate sugli eventi.
Per ulteriori informazioni, consulta [Gestione degli eventi Resolver DNS Firewall utilizzando Amazon EventBridge](dns-firewall-eventbridge-integration.md).
## In che modo Resolver DNS Firewall filtra le query DNS
Quando un gruppo di regole DNS Firewall è associato al Route 53 VPC Resolver del tuo VPC, il seguente traffico viene filtrato dal firewall:
+ Query DNS che provengono da quel VPC e passano attraverso il DNS VPC.
+ Query DNS che passano attraverso gli endpoint di Resolver dalle risorse on-premise allo stesso VPC che ha il DNS Firewall associato al relativo resolver.
Quando DNS Firewall riceve una query DNS, filtra la query utilizzando i gruppi di regole, le regole e altre impostazioni che hai configurato e invia i risultati a VPC Resolver:
+ DNS Firewall valuta la query DNS utilizzando i gruppi di regole associati al VPC fino a quando non trova una corrispondenza o esaurisce tutti i gruppi di regole. DNS Firewall valuta i gruppi di regole in ordine della priorità impostata nell'associazione, a partire dall'impostazione numerica più bassa. Per ulteriori informazioni, consultare [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md) e [Attivazione delle protezioni Resolver DNS Firewall per il tuo VPC](resolver-dns-firewall-vpc-protections.md).
+ All'interno di ogni gruppo di regole, DNS Firewall valuta la query DNS rispetto all'elenco di domini di ogni regola o alle protezioni DNS Firewall Advanced finché non trova una corrispondenza o esaurisce tutte le regole. DNS Firewall valuta le regole in ordine di priorità, a partire dall'impostazione numerica più bassa. Per ulteriori informazioni, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Quando DNS Firewall trova una corrispondenza con l'elenco di domini di una regola o anomalie identificate dalle protezioni delle regole DNS Firewall Advanced, interrompe la valutazione della query e risponde a VPC Resolver con il risultato. Se l'azione è questa`alert`, DNS Firewall invia anche un avviso ai log VPC Resolver configurati. Per ulteriori informazioni, consultare [Operazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-actions.md), [Elenchi di domini Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md) e [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ Se DNS Firewall valuta tutti i gruppi di regole senza trovare una corrispondenza, risponde alla query come al solito.
VPC Resolver indirizza la query in base alla risposta di DNS Firewall. Nell'improbabile eventualità che il firewall DNS non risponda, VPC Resolver applica la modalità di errore del firewall DNS configurata dal VPC. Per ulteriori informazioni, consulta [Configurazione del VPC di DNS Firewall](resolver-dns-firewall-vpc-configuration.md).
## Passaggi di alto livello per l'utilizzo di Resolver DNS Firewall
Per implementare il filtro Resolver DNS Firewall nel tuo VPC Amazon Virtual Private Cloud, esegui i seguenti passaggi di alto livello.
+ **Definisci il tuo approccio di filtraggio, i tuoi elenchi di domini o le protezioni del firewall DNS**: decidi come filtrare le query, identifica le specifiche di dominio di cui avrai bisogno e definisci la logica da utilizzare per valutare le query. Ad esempio, puoi autorizzare tutte le query ad eccezione di quelle riportate in un elenco di domini non corretti noti. Oppure puoi fare il contrario e bloccare tutti i domini tranne quelli di un elenco di domini approvati, in quello che è noto come un approccio walled garden. Puoi creare e gestire i tuoi elenchi di specifiche di dominio approvate o bloccate e puoi utilizzare elenchi di domini che gestiscono per te. AWS Per quanto riguarda le protezioni DNS Firewall, puoi filtrare le query bloccandole tutte, oppure puoi avvisare in caso di traffico di query sospetto verso domini che potrebbero contenere anomalie associate a minacce (DGA, DNS tunneling, Dictionary DGA) per testare le impostazioni del firewall DNS. Per ulteriori informazioni, consultare [Elenchi di domini Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md) e [Resolver DNS Firewall Advanced](firewall-advanced.md).
+ **Creare un gruppo di regole firewall**: in DNS Firewall crea un gruppo di regole per filtrare le query DNS per il VPC. È necessario creare un gruppo di regole in ogni regione in cui desideri utilizzarlo. Potresti anche voler separare il tuo comportamento di filtraggio in più di un gruppo di regole per riutilizzarlo in più scenari di filtraggio diversi. VPCs Per informazioni sui gruppi di regole, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ **Aggiungere e configurare le regole**: aggiungi una regola al gruppo di regole per ogni elenco di dominio e comportamento di filtro che desideri sia fornito dal gruppo di regole. Definisci le impostazioni di priorità per le regole in modo che vengano elaborate nell'ordine corretto all'interno del gruppo di regole, assegnando la priorità più bassa alla regola che desideri valutare per prima. Per ulteriori informazioni sulle regole, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ **Associare il gruppo di regole al VPC**: per iniziare a utilizzare il gruppo di regole DNS Firewall, associalo al VPC. Se per il VPC utilizzi più gruppi di regole, imposta la priorità di ogni associazione in modo che i gruppi di regole vengano elaborati nell'ordine corretto, assegnando la priorità più bassa al gruppo di regole che desideri valutare per primo. Per ulteriori informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Facoltativo) Modifica la configurazione del firewall per il VPC**: se desideri che Route 53 VPC Resolver blocchi le query quando DNS Firewall non riesce a inviare una risposta, in VPC Resolver, modifica la configurazione del firewall DNS del VPC. Per ulteriori informazioni, consulta [Configurazione del VPC di DNS Firewall](resolver-dns-firewall-vpc-configuration.md).
## Utilizzo dei gruppi di regole Resolver DNS Firewall in più regioni
Resolver DNS Firewall è un servizio regionale, quindi gli oggetti creati in una AWS regione sono disponibili solo in quella regione. Per utilizzare lo stesso gruppo di regole in più di una regione, è necessario creare il gruppo in ciascuna regione.
L' AWS account che ha creato un gruppo di regole può condividerlo con altri account. AWS Per ulteriori informazioni, consulta [Condivisione dei gruppi di regole Resolver DNS Firewall tra account AWS](resolver-dns-firewall-rule-group-sharing.md).
# Disponibilità regionale per Resolver DNS Firewall
Il firewall DNS è disponibile nelle seguenti versioni: Regioni AWS
+ Africa (Città del Capo)
+ Asia Pacifico (Hong Kong)
+ Asia Pacific (Hyderabad)
+ Asia Pacifico (Giacarta)
+ Asia Pacifico (Malesia)
+ Asia Pacifico (Melbourne)
+ Asia Pacifico (Mumbai)
+ Regione Asia Pacifico (Osaka-Locale)
+ Asia Pacifico (Seul)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Asia Pacifico (Thailandia)
+ Asia Pacifico (Tokyo)
+ Regione Canada (Centrale)
+ Canada occidentale (Calgary)
+ Regione Europa (Francoforte)
+ Regione Europa (Irlanda)
+ Regione Europa (Londra)
+ Europa (Milano)
+ Regione Europa (Parigi)
+ Europa (Spagna)
+ Europa (Stoccolma)
+ Europa (Zurigo)
+ Israele (Tel Aviv)
+ Messico (centrale)
+ Medio Oriente (Bahrein)
+ Medio Oriente (Emirati Arabi Uniti)
+ Sud America (San Paolo)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti orientali (Ohio)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Cina (Pechino)
+ Cina (Ningxia)
+ AWS GovCloud (US)
# Guida introduttiva a Resolver DNS Firewall
La console DNS Firewall include una procedura guidata che ti assiste nelle seguenti fasi per iniziare a utilizzare DNS Firewall:
+ Crea gruppi di regole per ogni set di regole che desideri utilizzare.
+ Per ogni regola, compila l'elenco di domini che desideri ispezionare. È possibile creare elenchi di domini personalizzati e utilizzare elenchi di domini AWS gestiti.
+ Associa i tuoi gruppi di regole al VPCs luogo in cui desideri utilizzarli.
## Esempio di giardino recintato con Resolver DNS Firewall
In questo tutorial verrà creato un gruppo di regole che blocca tutti i domini tranne un gruppo selezionato di domini considerati attendibili. Questo approccio è tipico di una piattaforma chiusa, o walled garden.
**Come configurare un gruppo di regole DNS Firewall tramite la procedura guidata della console**
1. Accedi a Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi a Console di gestione AWS e apri il
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Nella pagina **Gruppi di regole**, scegli **Aggiungi gruppo di regole**.
1. Per il nome per il gruppo specifica **WalledGardenExample**.
Nella sezione **Tag**, puoi facoltativamente inserire una coppia chiave-valore per un tag. I tag facilitano l'organizzazione e la gestione delle risorse AWS . Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse di Amazon Route 53](tagging-resources.md).
1. Scegli **Aggiungi** gruppo di regole.
1. Nella pagina dei **WalledGardenExample**dettagli, scegli la **scheda Regole**, quindi **Aggiungi regola**.
1. Nel riquadro **Dettagli regola**, specifica il nome della regola ** BlockAll**.
1. Nel riquadro **Elenco dei domini**, seleziona **Aggiungi il mio elenco di domini**.
1. In **Scegli o crea un nuovo elenco di domini** seleziona **Crea un nuovo elenco di domini**.
1. Inserisci un nome di elenco di domini**AllDomains**, quindi nella casella di testo **Inserisci un dominio per riga**, inserisci un asterisco:**\$1**.
1. Per l'**impostazione del reindirizzamento del dominio**, accetta l'impostazione predefinita e lascia vuoto il campo **Tipo di interrogazione, facoltativo**.
1. Per l'**azione**, seleziona **BLOCCA** e quindi lascia la risposta da inviare con l'impostazione predefinita di **NODATA**.
1. Scegli **Aggiungi regola**. La tua regola **BlockAll**viene visualizzata nella scheda **Regole** della **WalledGardenExample**pagina.
1. Nella **WalledGardenExample**pagina, scegli **Aggiungi regola** per aggiungere una seconda regola al tuo gruppo di regole.
1. Nel riquadro dei **dettagli della regola**, inserisci il nome della regola** AllowSelectDomains**.
1. Nel riquadro **Elenco dei domini**, seleziona **Aggiungi il mio elenco di domini**.
1. In **Scegli o crea un nuovo elenco di domini** seleziona **Crea un nuovo elenco di domini**.
1. Specifica un nome per l'elenco di domini **ExampleDomains**.
1. Nella casella di testo **Inserisci un dominio per riga**, nella prima riga, inserisci **example.com** e nella seconda riga, inserisci**example.org**.
**Nota**
Se desideri che la regola venga applicata anche ai sottodomini, dovrai aggiungere quei domini all'elenco. Ad esempio, per aggiungere tutti i sottodomini di esempio.com, aggiungi **\$1.example.com** all'elenco.
1. Per l'**impostazione di reindirizzamento del dominio**, accettate l'impostazione predefinita e lasciate vuoto il campo **Tipo di interrogazione (facoltativo)**.
1. Per l'**azione**, seleziona **CONSENTI**.
1. Scegli **Aggiungi regola**. Le regole sono entrambe visualizzate nella scheda **Regole** della **WalledGardenExample**pagina.
1. Nella scheda **Regole** della **WalledGardenExample**pagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella **colonna Priorità** e digitando un nuovo numero. DNS Firewall valuta le regole a partire dall’impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata. Per questo esempio, vogliamo innanzitutto che DNS Firewall identifichi e consenta le query DNS per l'elenco di selezione dei domini e quindi blocchi eventuali query rimanenti.
Regola la priorità della regola in modo che **AllowSelectDomains**abbia una priorità più bassa.
A questo punto hai un gruppo di regole che consente solo query di dominio specifiche. Per iniziare a utilizzarlo, lo associ al VPCs punto in cui desideri utilizzare il comportamento di filtraggio. Per ulteriori informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
## Esempio di elenco di blocchi di Resolver DNS Firewall
In questo tutorial viene creato un gruppo di regole che blocca i domini che sai essere dannosi. Aggiungerai anche un tipo di query DNS consentito per i domini nell'elenco bloccato. Il gruppo di regole consente tutte le altre richieste DNS in uscita tramite VPC Resolver.
**Come configurare un elenco di blocco di DNS Firewall tramite la procedura guidata della console**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Nella pagina **Gruppi di regole**, scegli **Aggiungi gruppo di regole**.
1. Per il nome per il gruppo specifica **BlockListExample**.
Nella sezione **Tag**, puoi facoltativamente inserire una coppia chiave-valore per un tag. I tag facilitano l'organizzazione e la gestione delle risorse AWS . Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse di Amazon Route 53](tagging-resources.md).
1. **Nella pagina dei **BlockListExample**dettagli, scegli la scheda **Regole**, quindi Aggiungi regola.**
1. Nel riquadro **Dettagli regola**, specifica il nome della regola ** BlockList**.
1. Nel riquadro **Elenco dei domini**, seleziona **Aggiungi il mio elenco di domini**.
1. In **Scegli o crea un nuovo elenco di domini** seleziona **Crea un nuovo elenco di domini**.
1. Specifica il nome dell'elenco di domini **MaliciousDomains**, quindi casella di testo specifica i domini che desideri bloccare. Ad esempio, ** example.org**. Specifica un dominio per riga.
**Nota**
Se desideri che la regola venga applicata anche ai sottodomini, dovrai aggiungere all'elenco anche quei domini. Ad esempio, per aggiungere tutti i sottodomini di esempio.org, aggiungi **\$1.example.org** all'elenco.
1. Per l'**impostazione del reindirizzamento del dominio**, accetta l'impostazione predefinita e lascia vuoto il campo **Tipo di interrogazione (facoltativo)**.
1. Per l'operazione, seleziona **BLOCK** quindi lascia il valore di default **NODATA** per la risposta da inviare.
1. Scegli **Aggiungi regola**. La regola viene visualizzata nella scheda **Regole** della **BlockListExample**pagina
1. nella scheda **Regole** della **BlockedListExample**pagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella **colonna Priorità** e digitando un nuovo numero. DNS Firewall valuta le regole a partire dall’impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata.
Seleziona e modifica la priorità delle regole in modo che **BlockList**venga valutata prima o dopo qualsiasi altra regola che potresti avere. La maggior parte delle volte, i domini dannosi noti dovrebbero essere bloccati per primi. In altre parole, le regole ad essi associate dovrebbero avere la priorità più bassa.
1. Per aggiungere una regola che consenta i record MX per i BlockList domini, nella pagina dei **BlockedListExample**dettagli della scheda **Regole**, scegli **Aggiungi** regola.
1. Nel riquadro **Dettagli regola**, specifica il nome della regola ** BlockList-allowMX**.
1. Nel riquadro **Elenco dei domini**, seleziona **Aggiungi il mio elenco di domini**.
1. In **Scegli o crea un nuovo elenco di domini**, seleziona** MaliciousDomains**.
1. Per l'**impostazione di reindirizzamento del dominio**, accetta l'impostazione predefinita.
1. Nell'elenco dei **tipi di query DNS**, selezionare **MX: specifica i** server di posta.
1. Per l'operazione, seleziona **ALLOW**.
1. Scegli **Aggiungi regola**.
1. nella scheda **Regole** della **BlockedListExample**pagina, puoi modificare l'ordine di valutazione delle regole nel tuo gruppo di regole selezionando il numero elencato nella **colonna Priorità** e digitando un nuovo numero. DNS Firewall valuta le regole a partire dall’impostazione di priorità più bassa, quindi la regola con la priorità più bassa è la prima valutata.
Seleziona e regola la priorità della regola in modo che **BlockList-AllowMX** venga valutato prima o dopo qualsiasi altra regola che potresti avere. Poiché desideri consentire le interrogazioni MX, assicurati che la regola **BlockList-AllowMX** abbia una priorità inferiore a. **BlockList**
Ora disponi di un gruppo di regole che blocca specifiche query di dominio dannose, ma consente un tipo di query DNS specifico. Per iniziare a utilizzarlo, lo associ al VPCs punto in cui desideri utilizzare il comportamento di filtraggio. Per ulteriori informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
# Gruppi di regole e regole in DNS Firewall
Questa sezione descrive le impostazioni che è possibile configurare per i gruppi di regole e le regole del firewall DNS, per definire il comportamento del firewall DNS per l'utente. VPCs Viene inoltre descritto come gestire le impostazioni per le regole e i gruppi di regole.
Quando i gruppi di regole sono configurati nel modo desiderato, è possibile utilizzarli direttamente e condividerli e gestirli tra gli account e nell'intera organizzazione in AWS Organizations.
+ È possibile associare un gruppo di regole a più VPCs regole per garantire un comportamento coerente in tutta l'organizzazione. Per informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ È possibile condividere gruppi di regole tra più account per una gestione coerente delle query DNS all'interno dell'organizzazione. Per informazioni, consulta [Condivisione dei gruppi di regole Resolver DNS Firewall tra account AWS](resolver-dns-firewall-rule-group-sharing.md).
+ È possibile utilizzare i gruppi di regole in tutta l'organizzazione AWS Organizations gestendoli nelle AWS Firewall Manager politiche. Per informazioni su Firewall Manager, consulta [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)la Guida per *AWS WAF gli AWS Shield Advanced sviluppatori e AWS Firewall Manager la Guida per gli sviluppatori*.
# Impostazioni del gruppo di regole in DNS Firewall
Quando crei o modifichi un gruppo di regole di DNS Firewall, devi specificare i seguenti valori:
**Name**
Un nome univoco che ti consenta di trovare facilmente un gruppo di regole nel pannello di controllo.
**(Facoltativo) Descrizione**
Una breve descrizione che fornisce più contesto per il gruppo di regole.
**Region**
La AWS regione scelta al momento della creazione del gruppo di regole. Un gruppo di regole creato in una regione è disponibile solo in quella regione. Per utilizzare lo stesso gruppo di regole in più di una regione, è necessario creare il gruppo in ciascuna regione.
**Regole**
Il comportamento di filtraggio delle regole è contenuto nelle relative regole. Per ulteriori informazioni, consulta la sezione seguente.
**Tag**
Specificate una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
Questi sono i tag che Gestione dei costi e fatturazione AWS consentono di organizzare la AWS bolletta. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l'allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l'utente di AWS Billing *.
# Impostazioni delle regole in DNS Firewall
Quando crei o modifichi una regola in un gruppo di regole di DNS Firewall, devi specificare i seguenti valori:
**Name**
Un identificatore univoco per la regola nel gruppo di regole.
**(Facoltativo) Descrizione**
Una breve descrizione che fornisce ulteriori informazioni sulla regola.
**Elenco dei domini**
L'elenco dei domini controllati dalla regola. È possibile creare elenchi di dominio personalizzati o sottoscrivere un elenco di domini gestiti automaticamente da AWS . Per ulteriori informazioni, consulta [Elenchi di domini Resolver DNS Firewall](resolver-dns-firewall-domain-lists.md).
Una regola può contenere un elenco di domini o una protezione DNS Firewall Advanced, ma non entrambe.
**Impostazione di reindirizzamento del dominio (solo elenchi di domini)**
Puoi scegliere che la regola DNS Firewall ispezioni solo il primo dominio o tutti (impostazione predefinita) i domini della catena di reindirizzamento DNS, come CNAME, DNAME, ecc. Se scegli di ispezionare tutti i domini, devi aggiungere i domini successivi nella catena di reindirizzamento DNS all'elenco dei domini e impostare l'azione che desideri venga intrapresa dalla regola, ovvero ALLOW, BLOCK o ALERT. Per ulteriori informazioni, consulta [Componenti e impostazioni di Resolver DNS Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).
**Tipo di query (solo elenchi di domini)**
L'elenco dei tipi di query DNS esaminati dalla regola. Di seguito sono riportati i valori validi:
+ R: Restituisce un IPv4 indirizzo.
+ AAAA: restituisce un indirizzo Ipv6.
+ CAA: limita CAs chi può creare SSL/TLS certificazioni per il dominio.
+ CNAME: restituisce un altro nome di dominio.
+ DS: record che identifica la chiave di firma DNSSEC di una zona delegata.
+ MX: specifica i server di posta.
+ NAPTR: Regular-expression-based riscrittura dei nomi di dominio.
+ NS: server di nomi autorevoli.
+ PTR: associa un indirizzo IP a un nome di dominio.
+ SOA: inizio del record di autorità per la zona.
+ SPF: elenca i server autorizzati a inviare e-mail da un dominio.
+ SRV: valori specifici dell'applicazione che identificano i server.
+ TXT: verifica i mittenti di posta elettronica e i valori specifici dell'applicazione.
+ Un tipo di query definito utilizzando l'ID del tipo DNS, ad esempio 28 per AAAA. I valori devono essere definiti come TYPE* NUMBER*, dove ad esempio *NUMBER* può essere 1-65334. TYPE28 Per ulteriori informazioni, vedere [Elenco dei tipi di record DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
È possibile creare un tipo di query per regola.
**Nota**
Se si imposta una regola BLOCK del firewall con l'azione NXDOMAIN sul tipo di query uguale a AAAA, questa azione non verrà applicata agli IPv6 indirizzi sintetici generati quando è abilitata. DNS64
**Protezione DNS Firewall Advanced**
Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Puoi scegliere la protezione tra:
+ Algoritmi di generazione di domini () DGAs
DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.
+ tunneling DNS
Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.
+ Dizionario DGA
DGAs I dizionari vengono utilizzati dagli aggressori per generare domini utilizzando parole del dizionario per eludere il rilevamento nelle comunicazioni di malware. command-and-control
In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia.
Per ulteriori informazioni, consulta [Resolver DNS Firewall Advanced](firewall-advanced.md).
Una regola può contenere una protezione DNS Firewall Advanced o un elenco di domini, ma non entrambi.
**Soglia di confidenza (solo DNS Firewall Advanced)**
La soglia di confidenza per DNS Firewall Advanced. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:
+ Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.
+ Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.
+ Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.
Per ulteriori informazioni, consulta [Impostazioni delle regole in DNS Firewall](#resolver-dns-firewall-rule-settings).
**Azione**
Come si desidera che DNS Firewall gestisca una query DNS il cui nome di dominio corrisponde alle specifiche nell'elenco dei domini della regola. Per ulteriori informazioni, consulta [Operazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-actions.md).
**Priorità**
Impostazione univoca di numeri interi positivi per la regola all'interno del gruppo di regole che determina l'ordine di elaborazione. DNS Firewall ispeziona le query DNS in base alle regole in un gruppo di regole a cominciare dall'impostazione di priorità più bassa a salire. È possibile modificare la priorità di una regola in qualsiasi momento, ad esempio per modificare l'ordine di elaborazione o creare spazio per altre regole.
# Operazioni delle regole in DNS Firewall
Quando DNS Firewall trova una corrispondenza tra una query DNS e una specifica di dominio in una regola, applica l'operazione specificata nella regola alla query.
Sarà necessario specificare una delle seguenti opzioni in ogni regola creata:
+ **Allow**— Interrompi l'ispezione della richiesta e consenti che venga eseguita. Non disponibile per DNS Firewall Advanced.
+ **Alert**— Interrompi l'ispezione della query, consenti che venga eseguita e registra un avviso per la query nei log di Route 53 VPC Resolver.
+ **Block**— Interrompi l'ispezione della query, impedisci che raggiunga la destinazione prevista e registra l'azione di blocco per la query nei log del Resolver VPC di Route 53.
Rispondi con la risposta di blocco configurata, da quanto segue:
+ **NODATA**— Rispondi indicando che la query ha avuto esito positivo, ma non è disponibile alcuna risposta.
+ **NXDOMAIN**— Rispondi indicando che il nome di dominio della richiesta non esiste.
+ **OVERRIDE**— Fornisci un override personalizzato nella risposta. Questa opzione richiede le seguenti impostazioni aggiuntive:
+ **Record value**— Il record DNS personalizzato da inviare in risposta alla richiesta.
+ **Record type**— Il tipo di record DNS. Ciò determina il formato del valore del record. Deve essere `CNAME`.
+ **Time to live in seconds**— Il periodo di tempo consigliato al resolver DNS o al browser Web per memorizzare nella cache il record di override e utilizzarlo in risposta a questa richiesta, se viene ricevuto nuovamente. Per impostazione predefinita, questo è zero e il record non è memorizzato nella cache.
Per ulteriori informazioni sulla configurazione dei log delle query e sul contenuto, consulta [Registrazione delle query di Resolver](resolver-query-logs.md) e [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).
**Utilizzo di Alert per testare le regole di blocco**
Quando si crea per la prima volta una regola di blocco, è possibile verificarla configurandola con l'operazione impostata su Alert. È quindi possibile esaminare il numero di query per cui la regola invia un avviso per vedere quante query sarebbero bloccate se si imposta l'operazione su Block.
# Gestione di gruppi di regole e regole in DNS Firewall
Per gestire i gruppi di regole e le regole nella console, segui le indicazioni in questa sezione.
Quando si apportano modifiche alle entità DNS Firewall, ad esempio regole ed elenchi di domini, DNS Firewall propaga le modifiche ovunque le entità sono memorizzate e utilizzate. Le modifiche vengono applicate in pochi secondi, ma potrebbe esserci un breve periodo di incoerenza tra quando le modifiche sono arrivate in alcuni punti e non ancora in altri. Ad esempio, se si aggiunge un dominio a un elenco di domini a cui fa riferimento una regola di blocco, il nuovo dominio potrebbe essere bloccato brevemente in un'area del VPC mentre è ancora consentito in un'altra. Questa incoerenza temporanea può verificarsi quando si configura per la prima volta il gruppo di regole e le associazioni VPC e quando si modificano le impostazioni esistenti. Di solito, eventuali incoerenze di questo tipo durano solo pochi secondi.
# Creazione di gruppi di regole e regole
Per creare un gruppo di regole e aggiungervi regole, segui i passaggi di questa procedura.
**Come creare un gruppo di regole e le relative regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Scegli **Aggiungi gruppo di regole**, quindi segui le istruzioni della procedura guidata per specificare il gruppo di regole e le impostazioni delle regole.
Per informazioni sui valori per i gruppi di regole, consulta [Impostazioni del gruppo di regole in DNS Firewall](resolver-dns-firewall-rule-group-settings.md).
Per informazioni sui valori per le regole, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
# Visualizzazione e aggiornamento di un gruppo di regole e di regole
Utilizza la seguente procedura per visualizzare i gruppi di regole e le regole loro assegnate. È inoltre possibile aggiornare il gruppo di regole e le impostazioni delle regole.
**Come visualizzare e aggiornare un gruppo di regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Seleziona il gruppo di regole che desideri visualizzare o modificare, quindi scegli **Visualizza dettagli**.
1. Nella pagina del gruppo di regole è possibile visualizzare e modificare le impostazioni.
Per informazioni sui valori per i gruppi di regole, consulta [Impostazioni del gruppo di regole in DNS Firewall](resolver-dns-firewall-rule-group-settings.md).
Per informazioni sui valori per le regole, consulta [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md).
# Eliminazione di un gruppo di regole
Per eliminare un gruppo di regole, completa la seguente procedura.
**Importante**
Se elimini un gruppo di regole associato a un VPC, DNS Firewall rimuove l'associazione e interrompe le protezioni fornite dal gruppo di regole al VPC.
**Eliminazione delle entità DNS Firewall**
Quando si elimina un'entità che è possibile utilizzare in DNS Firewall, ad esempio un elenco di domini che potrebbe essere in uso in un gruppo di regole o un gruppo di regole che potrebbe essere associato a un VPC, DNS Firewall verifica se l'entità è attualmente in uso. Se rileva che è in uso, DNS Firewall avvisa l'utente. DNS Firewall è quasi sempre in grado di determinare se un'entità è in uso. Tuttavia, in rari casi, potrebbe non essere in grado di farlo. Per essere certo che l'entità non sia utilizzata, controlla nelle configurazioni DNS Firewall prima di eliminarla. Se l'entità è un elenco di domini di riferimento, verifica che nessun gruppo di regole la stia utilizzando. Se l'entità è un gruppo di regole, verifica che non sia associata a nessuno VPCs.
**Per eliminare un gruppo di regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 3.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Seleziona il gruppo di regole che desideri eliminare, quindi scegli **Elimina** e conferma l'eliminazione.
# Elenchi di domini Resolver DNS Firewall
Un *elenco di domini* è un insieme riutilizzabile di specifiche di dominio utilizzate in una regola DNS Firewall all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le query DNS con gli elenchi di dominio utilizzati nelle regole. Se trova una corrispondenza, la query DNS viene gestita in base all'operazione della regola corrispondente. Per ulteriori informazioni sui gruppi di regole e sulle regole, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
Gli elenchi di domini consentono di separare le specifiche esplicite del dominio dalle operazioni che si desidera eseguire su di essi. È possibile utilizzare un singolo elenco di domini in più regole e tutti gli aggiornamenti apportati all'elenco di domini influiranno automaticamente su tutte le regole che lo utilizzano.
Gli elenchi di domini rientrano in due categorie principali:
+ Elenchi di domini gestiti, che AWS creano e gestiscono per te.
+ Elenchi di domini personalizzati, creati e gestiti da te.
In questa sezione vengono descritti i tipi di elenchi di domini gestiti disponibili e sono fornite le linee guida per la creazione e la gestione dei propri elenchi di domini, se si sceglie di farlo.
# Elenchi di domini gestiti
Gli elenchi di domini gestiti contengono nomi di dominio associati ad attività dannose o altre potenziali minacce. AWS gestisce questi elenchi per consentire ai clienti di Route 53 VPC Resolver di verificare gratuitamente le query DNS in uscita utilizzando DNS Firewall.
Mantenersi aggiornati sul panorama delle minacce in continua evoluzione può essere dispendioso in termini di tempo e denaro. Gli elenchi di domini gestiti possono farti risparmiare tempo durante l'implementazione e l'utilizzo di DNS Firewall. AWS aggiorna automaticamente gli elenchi quando emergono nuove vulnerabilità e minacce. AWS riceve spesso notifiche in merito a nuove vulnerabilità prima della divulgazione pubblica, quindi DNS Firewall può implementare misure di mitigazione per voi spesso prima che una nuova minaccia diventi nota a tutti.
Gli elenchi di domini gestiti sono progettati per aiutarti a proteggerti dalle minacce Web comuni e aggiungono un altro livello di sicurezza alle applicazioni. Gli elenchi di domini AWS gestiti traggono i dati sia da AWS fonti interne che da fonti interne e vengono continuamente [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future)aggiornati. Tuttavia, gli elenchi di domini AWS gestiti non sono intesi come sostituti di altri controlli di sicurezza Amazon GuardDuty, ad esempio quelli determinati dalle AWS risorse selezionate.
Come procedura consigliata, prima di utilizzare un elenco di domini gestiti in produzione, verificarlo in un ambiente non di produzione, con l'azione della regola impostata su `Alert`. Valuta la regola utilizzando i CloudWatch parametri di Amazon combinati con le richieste campionate di Resolver DNS Firewall o i log DNS Firewall. Quando sei certo che la regola esegue ciò che desideri, modifica l'impostazione dell'operazione in base alle necessità.
**Elenchi di domini gestiti disponibili AWS**
In questa sezione vengono descritti gli elenchi di domini gestiti attualmente disponibili. Quando ti trovi in una regione in cui sono supportati tali elenchi, li visualizzi sulla console quando gestisci gli elenchi di domini e quando specifichi l'elenco di domini per una regola. Nei log, l'elenco dei domini viene registrato all'interno del `firewall_domain_list_id field`.
AWS fornisce i seguenti elenchi di domini gestiti, nelle regioni in cui sono disponibili, per tutti gli utenti di Resolver DNS Firewall.
+ `AWSManagedDomainsMalwareDomainList`: i domini associati all'invio di malware, all'hosting di malware o alla distribuzione di malware.
+ `AWSManagedDomainsBotnetCommandandControl`: i domini associati al controllo delle reti di computer infettati da malware spam.
+ `AWSManagedDomainsAggregateThreatList`— Domini associati a diverse categorie di minacce DNS tra cui malware, ransomware, botnet, spyware e tunneling DNS per aiutare a bloccare diversi tipi di minacce. `AWSManagedDomainsAggregateThreatList`include tutti i domini negli altri elenchi di domini gestiti elencati qui. AWS
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domini associati ai risultati di sicurezza di Amazon GuardDuty DNS. I domini provengono esclusivamente dai sistemi di intelligence sulle minacce GuardDuty dell'azienda e non contengono domini provenienti da fonti esterne di terze parti. Più specificamente, attualmente questo elenco bloccherà solo i domini generati internamente e utilizzati per i seguenti rilevamenti in: Impact:ec2/ .Reputation, Impact:ec2/ .Reputation, Impact:ec2/ .Reputation, Impact GuardDutyAbusedDomainRequest: .Reputation. BitcoinDomainRequest MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest
Per ulteriori informazioni, consulta [Finding types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) in the *Amazon GuardDuty User Guide*.
AWS Gli elenchi di domini gestiti non possono essere scaricati o sfogliati. Per proteggere la proprietà intellettuale, non è possibile visualizzare o modificare le specifiche dei singoli domini all'interno di un elenco di domini AWS gestiti. Questa restrizione consente anche di impedire agli utenti malintenzionati di pianificare minacce che possano eludere in modo specifico gli elenchi pubblicati.
**Per testare gli elenchi di domini gestiti**
Il seguente set di domini è fornito per testare gli elenchi di domini gestiti:
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList e AWSManaged DomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
Se non vengono bloccati, questi domini verranno risolti in 1.2.3.4. Se utilizzi gli elenchi di domini gestiti su un VPC, l'esecuzione di query per questi domini restituirà la risposta su cui è impostata un'azione di blocco nella regola (ad esempio NODATA).
Per ulteriori informazioni sugli elenchi di domini gestiti, contatta il [Centro Supporto AWS](https://console.aws.amazon.com/support/home#/).
La tabella seguente elenca la disponibilità delle regioni per gli elenchi di domini AWS gestiti.
**Disponibilità delle regioni per gli elenchi di domini gestiti**
| Region | Sono disponibili elenchi di domini gestiti? |
| --- | --- |
| Africa (Città del Capo) | Sì |
| Asia Pacifico (Hong Kong) | Sì |
| Asia Pacifico (Hyderabad) | Sì |
| Asia Pacifico (Giacarta) | Sì |
| Asia Pacifico (Malesia) | Sì |
| Asia Pacifico (Melbourne) | Sì |
| Asia Pacifico (Mumbai) | Sì |
| Regione Asia Pacifico (Osaka-Locale) | Sì |
| Asia Pacifico (Seul) | Sì |
| Asia Pacifico (Singapore) | Sì |
| Asia Pacifico (Sydney) | Sì |
| Asia Pacifico (Thailandia) | Sì |
| Asia Pacifico (Tokyo) | Sì |
| Regione Canada (Centrale) | Sì |
| Canada occidentale (Calgary) | Sì |
| Regione Europa (Francoforte) | Sì |
| Europa (Irlanda) | Sì |
| Regione Europa (Londra) | Sì |
| Europa (Milano) | Sì |
| Regione Europa (Parigi) | Sì |
| Europa (Spagna) | Sì |
| Europa (Stoccolma) | Sì |
| Europa (Zurigo) | Sì |
| Israele (Tel Aviv) | Sì |
| Medio Oriente (Bahrein) | Sì |
| Medio Oriente (Emirati Arabi Uniti) | Sì |
| Sud America (San Paolo) | Sì |
| Stati Uniti orientali (Virginia settentrionale) | Sì |
| Stati Uniti orientali (Ohio) | Sì |
| Stati Uniti occidentali (California settentrionale) | Sì |
| US West (Oregon) | Sì |
| Cina (Pechino) | Sì |
| Cina (Ningxia) | Sì |
| AWS GovCloud (US) | Sì |
**Ulteriori considerazioni sulla sicurezza**
AWS Gli elenchi di domini gestiti sono progettati per aiutarti a proteggerti dalle minacce web più comuni. Se utilizzati in maniera conforme alla documentazione, questi elenchi aggiungono un altro livello di sicurezza alle applicazioni. Gli elenchi di domini gestiti, tuttavia, non sono concepiti in sostituzione di altri controlli di sicurezza, determinati dalle risorse AWS selezionate. Per garantire che le risorse in uso AWS siano adeguatamente protette, consulta la guida contenuta nel [Modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
**Mitigazione degli scenari di falsi positivi**
Se si verificano scenari di falsi positivi nelle regole che utilizzano elenchi di domini gestiti per bloccare le query, procedi come indicato di seguito:
1. Nei log di VPC Resolver, identifica il gruppo di regole e l'elenco dei domini gestiti che causano il falso positivo. A tale scopo, individua il log per la query che DNS Firewall sta bloccando, ma che si desidera consentire. Il record di log elenca il gruppo di regole, l'azione della regola e l'elenco di domini gestiti. Per ulteriori informazioni sui log, consulta [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).
1. Crea una nuova regola nel gruppo di regole che consenta esplicitamente la query bloccata. Quando crei la regola, puoi definire un elenco di domini personalizzato con la sola specifica del dominio che desideri consentire. Segui le istruzioni per la gestione dei gruppi di regole e delle regole riportate in [Creazione di gruppi di regole e regole](resolver-dns-firewall-rule-group-adding.md).
1. Assegna la priorità alla nuova regola all'interno del gruppo di regole in modo che venga eseguita prima della regola che utilizza l'elenco dei domini gestiti. A tale scopo, assegna alla nuova regola un'impostazione di priorità inferiore.
Dopo aver aggiornato il gruppo di regole, la nuova regola consentirà esplicitamente il nome di dominio che desideri consentire prima dell'esecuzione della regola di blocco.
# Gestione degli elenchi di domini personalizzati
Puoi creare elenchi di domini personalizzati per specificare le categorie di dominio che non trovi nelle offerte degli elenchi di domini gestiti o che preferisci gestire autonomamente.
Oltre alle procedure descritte in questa sezione, nella console è possibile creare un elenco di domini nel contesto della gestione delle regole di Resolver DNS Firewall, quando si crea o si aggiorna una regola.
Ogni specifica di dominio nell'elenco di domini deve soddisfare i seguenti requisiti:
+ Può opzionalmente iniziare con `*` (asterisco).
+ Ad eccezione dell'asterisco iniziale facoltativo e di un punto, come delimitatore tra le etichette, deve contenere solo i seguenti caratteri:,,`A-Z`, `a-z` (trattino). `0-9` `-`
+ La lunghezza deve essere compresa tra 1 e 255 caratteri.
Quando si apportano modifiche alle entità DNS Firewall, ad esempio regole ed elenchi di domini, DNS Firewall propaga le modifiche ovunque le entità sono memorizzate e utilizzate. Le modifiche vengono applicate in pochi secondi, ma potrebbe esserci un breve periodo di incoerenza tra quando le modifiche sono arrivate in alcuni punti e non ancora in altri. Ad esempio, se si aggiunge un dominio a un elenco di domini a cui fa riferimento una regola di blocco, il nuovo dominio potrebbe essere bloccato brevemente in un'area del VPC mentre è ancora consentito in un'altra. Questa incoerenza temporanea può verificarsi quando si configura per la prima volta il gruppo di regole e le associazioni VPC e quando si modificano le impostazioni esistenti. Di solito, eventuali incoerenze di questo tipo durano solo pochi secondi.
**Test dell'elenco di domini prima di utilizzarlo in produzione**
Come best practice, prima di utilizzare un elenco di domini in produzione, testarlo in un ambiente non di produzione, con l'operazione della regola impostata su `Alert`. Valuta la regola utilizzando i CloudWatch parametri di Amazon e i log VPC Resolver. I log forniscono il nome dell'elenco di domini per tutti gli avvisi e le azioni di blocco. Una volta certo che l'elenco dei domini corrisponde alle query DNS nel modo desiderato, modifica l'impostazione dell'operazione della regola in base alle esigenze. Per informazioni sulle CloudWatch metriche e sui log delle query, consulta, e. [Monitoraggio dei gruppi di regole Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md) [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md) [Gestione delle configurazioni di registrazione delle query di Resolver](resolver-query-logging-configurations-managing.md)
**Come aggiungere un elenco di domini**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 2.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Elenchi di dominio**. Nella pagina **Elenchi di domini** puoi selezionare e modificare gli elenchi di domini esistenti ed aggiungerne di tuoi.
1. Per aggiungere un elenco di domini, scegli **Aggiungi elenco di domini**.
1. Specifica un nome per l'elenco di domini, quindi immetti le specifiche del dominio nella casella di testo, una per riga.
Se imposti **Passa al caricamento in blocco** su **on**, inserisci l'URI del bucket Amazon S3 in cui hai creato un elenco di domini. Questo elenco di domini deve avere un nome di dominio per riga.
**Nota**
I nomi di dominio duplicati impediranno l'importazione in blocco.
1. Scegli **Aggiungi elenco di domini**. La pagina **Elenchi di domini** riporta il nuovo elenco di domini.
Dopo aver creato l'elenco dei domini, sarà possibile farvi riferimento in base al nome dalle regole DNS Firewall.
**Eliminazione delle entità DNS Firewall**
Quando si elimina un'entità che è possibile utilizzare in DNS Firewall, ad esempio un elenco di domini che potrebbe essere in uso in un gruppo di regole o un gruppo di regole che potrebbe essere associato a un VPC, DNS Firewall verifica se l'entità è attualmente in uso. Se rileva che è in uso, DNS Firewall avvisa l'utente. DNS Firewall è quasi sempre in grado di determinare se un'entità è in uso. Tuttavia, in rari casi, potrebbe non essere in grado di farlo. Per essere certo che l'entità non sia utilizzata, controlla nelle configurazioni DNS Firewall prima di eliminarla. Se l'entità è un elenco di domini di riferimento, verifica che nessun gruppo di regole la stia utilizzando. Se l'entità è un gruppo di regole, verifica che non sia associata a nessuno. VPCs
**Come eliminare un elenco di domini**
1. Nel pannello di navigazione, scegli **Elenchi di domini**.
1. Nella barra di navigazione, sceglie la regione per l'elenco di domini.
1. Seleziona l'elenco di domini che desideri eliminare, quindi scegli **Elimina** e conferma l'eliminazione.
# Resolver DNS Firewall Advanced
DNS Firewall Advanced rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. È possibile specificare un tipo di minaccia in una regola utilizzata in una regola del firewall DNS, all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le tue query DNS con i domini contrassegnati nelle regole. Se trova una corrispondenza, la query DNS viene gestita in base all’operazione della regola corrispondente.
DNS Firewall Advanced funziona identificando le firme di minacce DNS sospette ispezionando una serie di identificatori chiave nel payload DNS, tra cui il timestamp delle richieste, la frequenza delle richieste e delle risposte, le stringhe di query DNS e la lunghezza, il tipo o la dimensione delle query DNS in uscita e in entrata. In base al tipo di firma della minaccia, è possibile configurare politiche di blocco o semplicemente registrare e inviare avvisi sulla query. Utilizzando un set esteso di identificatori di minacce, è possibile proteggersi dalle minacce DNS provenienti da fonti di dominio che potrebbero non essere ancora classificate dai feed di intelligence sulle minacce gestiti dalla più ampia comunità di sicurezza.
Attualmente, DNS Firewall Advanced offre protezioni da:
+ Algoritmi di generazione di domini () DGAs
DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.
+ tunneling DNS
Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.
+ Dizionario DGA
DGAs I dizionari vengono utilizzati dagli aggressori per generare domini utilizzando parole del dizionario per eludere il rilevamento nelle comunicazioni di malware. command-and-control
Per informazioni su come creare regole, consulta e. [Creazione di gruppi di regole e regole](resolver-dns-firewall-rule-group-adding.md) [Impostazioni delle regole in DNS Firewall](resolver-dns-firewall-rule-settings.md)
**Mitigazione degli scenari di falsi positivi**
Se riscontri scenari di falsi positivi nelle regole che utilizzano le protezioni DNS Firewall Advanced per bloccare le query, procedi nel seguente modo:
1. Nei log di VPC Resolver, identifica il gruppo di regole e le protezioni DNS Firewall Advanced che causano il falso positivo. A tale scopo, individua il log per la query che DNS Firewall sta bloccando, ma che si desidera consentire. Il record di registro elenca il gruppo di regole, l'azione delle regole e la protezione DNS Firewall Advanced. Per ulteriori informazioni sui log, consulta [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).
1. Crea una nuova regola nel gruppo di regole che consenta esplicitamente la query bloccata. Quando crei la regola, puoi definire un elenco di domini personalizzato con la sola specifica del dominio che desideri consentire. Segui le istruzioni per la gestione dei gruppi di regole e delle regole riportate in [Creazione di gruppi di regole e regole](resolver-dns-firewall-rule-group-adding.md).
1. Assegna la priorità alla nuova regola all'interno del gruppo di regole in modo che venga eseguita prima della regola che utilizza l'elenco dei domini gestiti. A tale scopo, assegna alla nuova regola un'impostazione di priorità inferiore.
Dopo aver aggiornato il gruppo di regole, la nuova regola consentirà esplicitamente il nome di dominio che desideri consentire prima dell'esecuzione della regola di blocco.
# Configurazione della registrazione per DNS Firewall
Puoi valutare le regole del tuo firewall DNS utilizzando i CloudWatch parametri di Amazon e i log delle query Resolver. I log forniscono il nome dell'elenco di domini per tutti gli avvisi e le azioni di blocco. Per ulteriori informazioni su Amazon CloudWatch, consulta[Monitoraggio dei gruppi di regole Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).
Quando abiliti DNS Firewall, lo associ a un VPC e hai la registrazione abilitata, ` firewall_rule_group_id`, `firewall_rule_action` e ` firewall_domain_list_id` sono i campi specifici del DNS Firewall forniti all'interno dei log.
**Nota**
I log delle query mostreranno i campi del DNS Firewall aggiuntivi solo per le query bloccate dalle regole del DNS Firewall.
Per iniziare a registrare le query DNS filtrate in base alle regole del firewall DNS che hanno origine nel tuo VPCs, esegui le seguenti attività nella console Amazon Route 53:
**Come configurare la registrazione delle query del Resolver per DNS Firewall**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Espandi il menu della console Route 53. Nell'angolo in alto a sinistra della console, scegli l'icona con le tre barre orizzontali (![\[Menu icon\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. Nel menu Resolver, scegli **Registrazione delle query**.
1. Nel selettore Regione, scegli la AWS regione in cui desideri creare la configurazione di registrazione delle interrogazioni.
Questa deve essere la stessa regione in cui hai creato VPCs quella associata al firewall DNS per cui desideri registrare le query. Se ci si trova VPCs in più regioni, è necessario creare almeno una configurazione di registrazione delle query per ogni regione.
1. Scegli **Configura registrazione delle query**.
1. Specifica i seguenti valori:
**Nome della configurazione della registrazione delle query**
Specifica un nome per la configurazione della registrazione delle query. Il nome sarà visualizzato nella console nell'elenco delle configurazioni di registrazione delle query. Specifica un nome che consenta di trovare facilmente questa configurazione in un secondo momento.
**Destinazione dei log delle query**
Scegli il tipo di AWS risorsa a cui desideri che VPC Resolver invii i log delle query. Per informazioni su come scegliere tra le opzioni (CloudWatch Logs log group, S3 bucket e Firehose delivery stream), consulta. [AWS risorse a cui inviare i log delle query di VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Dopo aver scelto il tipo di risorsa, puoi creare un'altra risorsa di quel tipo o scegliere una risorsa esistente creata dall'account corrente. AWS
È possibile scegliere solo le risorse che sono state create nella regione AWS scelta nella fase 4, la regione in cui si sta creando la configurazione di registrazione delle query. Se decidi di creare una nuova risorsa, tale risorsa verrà creata nella stessa regione.
**VPCs per registrare le interrogazioni per**
Questa configurazione di registrazione delle query registrerà le query DNS che hanno origine nel server scelto dall' VPCs utente. **Seleziona la casella di controllo per ogni VPC nella regione corrente per cui desideri che VPC Resolver registri le query, quindi scegli Scegli.**
Il recapito dei log VPC può essere abilitato una sola volta per un tipo di destinazione specifico. I log non possono essere recapitati a più destinazioni dello stesso tipo. Ad esempio, i log VPC non possono essere consegnati a due destinazioni Amazon S3.
1. Scegli **Configura registrazione delle query**.
**Nota**
Le query DNS eseguite dalle risorse nel VPC vengono visualizzate nei log dopo pochi minuti dalla creazione della configurazione della registrazione delle query.
# Condivisione dei gruppi di regole Resolver DNS Firewall tra account AWS
È possibile condividere i gruppi di regole DNS Firewall tra account. AWS Per condividere i gruppi di regole, si usa AWS Resource Access Manager (AWS RAM). La console DNS Firewall si integra con la AWS RAM console. Per ulteriori informazioni AWS RAM, consultare la [Guida per l'utente di Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Tenere presente quanto segue:
**Associazione di gruppi di regole condivisi con VPCs**
Se un altro AWS account ha condiviso un gruppo di regole con il tuo account, puoi associarlo VPCs allo stesso modo in cui associ i gruppi di regole che hai creato. Per ulteriori informazioni, consulta [Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
**Eliminazione o annullamento della condivisione di un gruppo di regole condiviso**
Se condividi un gruppo di regole con altri account e poi elimini il gruppo di regole o interrompi la condivisione, DNS Firewall rimuove tutte le associazioni create dagli altri account tra il gruppo di regole e i loro VPCs.
**Impostazioni massime per gruppi di regole e associazioni**
I gruppi di regole condivisi e le relative associazioni VPCs sono inclusi nei conteggi degli account con cui vengono condivisi i gruppi di regole.
Per le quote correnti di DNS Firewall, consulta [Quote su Resolver DNS Firewall](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).
**Permissions**
Per condividere un gruppo di regole con un altro AWS account, è necessario disporre dell'autorizzazione per utilizzare l'[PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)azione.
**Restrizioni sull' AWS account con cui è condiviso un gruppo di regole**
L'account con cui si condivide un gruppo di regole non può modificare né eliminare il gruppo.
**Assegnazione di tag**
Solo l'account che ha creato un gruppo di regole può aggiungere, eliminare o visualizzare i tag sul gruppo di regole.
Per visualizzare lo stato di condivisione corrente di un gruppo di regole (incluso l'account che ha condiviso il gruppo di regole o l'account con cui il gruppo di regole è condiviso) e per condividere i gruppi di regole con un altro account, completa la seguente procedura.
**Per visualizzare lo stato di condivisione e condividere i gruppi di regole con un altro AWS account**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, scegliere **Rule groups (Gruppi di regole)**.
1. Nella barra di navigazione, seleziona la regione dove è stato creato il gruppo di regole.
La colonna **Stato condivisione** mostra lo stato corrente dei gruppi di regole creati dall'account attuale o condivisi con l'account attuale.
+ **Non condiviso**: l' AWS account corrente ha creato il gruppo di regole e il gruppo di regole non è condiviso con altri account.
+ **Condiviso da me**: l'account corrente ha creato il gruppo di regole e l'ha condiviso con uno o più account.
+ **Condiviso con me**: un altro account ha creato il gruppo di regole e l'ha condiviso con l'account corrente.
1. Scegli il nome del gruppo di regole di cui si desidera visualizzare le informazioni di condivisione o che si desidera condividere con un altro account.
Nella *rule group name* pagina **Gruppo di regole:**, il valore in **Proprietario** mostra l'ID dell'account che ha creato il gruppo di regole. Questo è l'account attuale, a meno che il valore di **Sharing status (Stato di condivisione)** non sia **Shared with me (Condivisa con me)**. In tal caso, **Proprietario** è l'account che ha creato il gruppo di regole e lo ha condiviso con l'account corrente.
1. Seleziona **Condividi** per visualizzare ulteriori informazioni o per condividere il gruppo di regole con un altro account. Viene visualizzata una pagina nella AWS RAM console, a seconda del valore dello **stato di condivisione**:
+ **Non condivisa**: viene visualizzata la pagina **Create resource share (Crea condivisione risorsa)**. Per ulteriori informazioni su come condividere il gruppo di regole con un altro account, unità organizzativa (UO) o organizzazione, continua con la fase successiva.
+ **Condiviso da me**: la pagina **Risorse condivise** riporta i gruppi di regole e le altre risorse di proprietà dell'account corrente e condivisi con altri account.
+ **Condiviso con me**: la pagina **Risorse condivise** mostra i gruppi di regole e le altre risorse di proprietà di altri account e condivisi con l'account corrente.
1. Per condividere un gruppo di regole con un altro AWS account, unità organizzativa o organizzazione, specifica i seguenti valori.
**Nota**
Non è possibile aggiornare le impostazioni di condivisione. Per modificare una delle seguenti impostazioni, devi ricondividere un gruppo di regole con le nuove impostazioni e rimuovere le precedenti impostazioni di condivisione.
**Description**
Inserisci una breve descrizione che ti aiuti a ricordare perché hai condiviso il gruppo di regole.
**Resources**
Seleziona la casella di controllo del gruppo di regole che desideri condividere.
**Principali**
Inserire il numero di AWS account, il nome dell'unità organizzativa o il nome dell'organizzazione.
**Tag**
Specificare una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Centro di costo** per **Chiave** e specificare **456** per **Valore**.
Questi sono i tag che Gestione dei costi e fatturazione AWS consentono di organizzare la AWS fattura; è possibile utilizzare anche i tag per altri scopi. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l'allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l'utente di AWS Billing *.
# Attivazione delle protezioni Resolver DNS Firewall per il tuo VPC
È possibile abilitare le protezioni di DNS Firewall per il VPC associando uno o più gruppi di regole al VPC. Ogni volta che un VPC è associato a un gruppo di regole DNS Firewall, Route 53 VPC Resolver fornisce le seguenti protezioni DNS Firewall:
+ VPC Resolver indirizza le query DNS in uscita del VPC tramite DNS Firewall e DNS Firewall filtra le query utilizzando i gruppi di regole associati.
+ VPC Resolver applica le impostazioni nella configurazione DNS Firewall del VPC.
Per fornire le protezioni di DNS Firewall al VPC, completa le seguenti operazioni:
+ Crea e gestisci le associazioni tra i gruppi di regole di DNS Firewall e il VPC. Per informazioni sui gruppi di regole, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
+ Configura come desideri che VPC Resolver gestisca le query DNS per il VPC durante un errore, ad esempio se DNS Firewall non fornisce una risposta per una query DNS.
# Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall
**Come visualizzare le associazioni VPC di un gruppo di regole**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Gruppi di regole**.
1. Nella barra di navigazione, scegli la regione per il gruppo di regole.
1. Seleziona il gruppo di regole da associare.
1. Seleziona **Visualizza dettagli**. Viene visualizzata la pagina Gruppo di regole.
1. Nella parte inferiore, puoi vedere un'area con i dettagli a schede che include regole e informazioni associate. VPCs **Scegli la scheda Associato. VPCs**
**Come associare un gruppo di regole a un VPC**
1. Individua le associazioni VPC del gruppo di regole seguendo le istruzioni riportate [nella procedura precedente](resolver-dns-firewall-rule-group-sharing.md) **Come visualizzare le associazioni VPC di un gruppo di regole**.
1. Nella VPCs scheda **Associato**, scegli **Associa VPC**.
1. Nel menu a discesa individua il VPC che intendi associare al gruppo di regole. Selezionalo, quindi scegli **Associa**.
Nella pagina del gruppo di regole, il tuo VPC è elencato nella scheda **VPCsAssociato**. In un primo momento, lo **Stato** dell'associazione riporta **Aggiornamento in corso**. Al termine dell'associazione, lo stato diventa **Completo**.
**Come rimuovere un'associazione tra un gruppo di regole e un VPC**
1. Individua le associazioni VPC del gruppo di regole seguendo le istruzioni riportate [nella procedura precedente](resolver-dns-firewall-rule-group-sharing.md) **Come visualizzare le associazioni VPC di un gruppo di regole**.
1. **Seleziona il VPC che desideri rimuovere dall'elenco, quindi scegli Dissocia.** Verifica, quindi conferma l'operazione.
**Nella pagina del gruppo di regole, il tuo VPC è elencato nella VPCs scheda **Associato** con lo stato di Dissociazione.** Al termine dell'operazione, DNS Firewall aggiornerà l'elenco in modo da rimuovere il VPC.
# Configurazione del VPC di DNS Firewall
La configurazione del firewall DNS per il tuo VPC determina se Route 53 VPC Resolver consente le query o le blocca durante i guasti, ad esempio quando il firewall DNS è danneggiato, non risponde o non è disponibile nella zona. VPC Resolver applica la configurazione del firewall di un VPC ogni volta che al VPC sono associati uno o più gruppi di regole del firewall DNS.
È possibile configurare un VPC in modo che non venga aperto o chiuso.
+ Per impostazione predefinita, la modalità di errore è chiusa, il che significa che VPC Resolver blocca tutte le query per le quali non riceve una risposta da DNS Firewall e invia una risposta DNS. ` SERVFAIL` Questo approccio favorisce la sicurezza rispetto alla disponibilità.
+ Se abiliti il fail-open, VPC Resolver consente di eseguire le query se non riceve una risposta da DNS Firewall. Questo approccio favorisce la disponibilità rispetto alla sicurezza.
**Come modificare la configurazione di DNS Firewall per un VPC (console)**
1. Accedi Console di gestione AWS e apri la console VPC Resolver all'indirizzo. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)
1. Nel riquadro di navigazione sotto **Resolvers**, scegli. **VPCs**
1. Nella **VPCs**pagina, individua e modifica il VPC. Modifica la configurazione di DNS Firewall in modo che non venga aperto o chiuso in base alle esigenze.
**Come modificare il comportamento di DNS Firewall per un VPC (API)**
+ Aggiorna la configurazione del firewall VPC chiamando [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)e abilitando o disabilitando. ` FirewallFailOpen`
Puoi recuperare un elenco delle configurazioni del firewall VPC tramite l'API chiamando. [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)