Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Route 53 Resolver DNS Firewall の使用を開始する

PDF
RSS
フォーカスモード
Route 53 Resolver DNS Firewall の使用を開始する - Amazon Route 53
Route 53 Resolver DNS ファイアウォールのウォールドガーデンの例 (walled garden)Route 53 Resolver DNS ファイアウォールブロックリストの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS Firewall コンソールには、DNS Firewall の開始方法を次の手順で説明するウィザードが含まれています。

  • 使用するルールセットごとにルールグループを作成します。

  • ルールごとに、調査するドメインリストを設定します。独自のドメインリストを作成し、 AWS マネージドドメインリストを使用できます。

  • 使用する VPC にルールグループを関連付けます。

Route 53 Resolver DNS ファイアウォールのウォールドガーデンの例 (walled garden)

このチュートリアルでは、信頼できるドメインのうち選択されたグループを除くすべてのドメインをブロックするルールグループを作成します。これは、クローズドプラットフォーム、またはウォールドガーデンアプローチと呼ばれます。

コンソールウィザードを使用して DNS Firewall ルールグループを設定するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

    ナビゲーションペインで、[DNS ファイアウォール] を選択し、Amazon VPC コンソールの [ルールグループ] ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

    - または -

    にサインイン AWS Management Console して を開く

    https://console.aws.amazon.com/vpc/ から、Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[DNS ファイアウォール] の下にある [ルールグループ] を選択します。

  3. ナビゲーションバーで、ルールグループのリージョンを選択します。

  4.  [ルールグループ] ページで、[ルールグループの追加] を選択します。

  5. ルールグループ名に「WalledGardenExample」と入力します。

    [タグ] セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「Amazon Route 53 リソースのタグ付け」を参照してください。

  6. [ルールグループを追加] を選択します。

  7. WalledGardenExample の詳細ページで、[ルール] タブ、[ルールを追加] の順に選択します。

  8. [ルールの詳細] ペインで、ルール名に「BlockAll」と入力します。

  9. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  10.  [Choose or create a new domain list (新しいドメインリストを選択または作成) )][Create new domain list (新しいドメインリストの作成)]を選択します。

  11. ドメインリスト名に「AllDomains」と入力し、[1 行につき 1 つのドメインを入力] テキストボックスにアスタリスク (*) を入力します。

  12. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  13. [アクション] については、[BLOCK] を選択し、送信するレスポンスをデフォルト設定の [NODATA] のままにしておきます。

  14. [ルールを追加] を選択してください。ルール [BlockAll] は、[WalledGardenExample] ページの [ルール] タブに表示されます。

  15. [WalledGardenExample] ページで、[ルールを追加] を選択して、ルールグループに 2 番目のルールを追加します。

  16. [ルールの詳細] ペインで、ルール名に「AllowSelectDomains」と入力します。

  17. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  18. [Choose or create a new domain list (新しいドメインリストの選択または作成)]で、[Create new domain list (新しいドメインリストの作成)]を選択します。

  19. ドメインリスト名に「ExampleDomains」と入力します。

  20. [1 行につき 1 つのドメインを入力] テキストボックスの最初の行に「example.com」、2 行目に「example.org」と入力します。

    注記

    ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.com のすべてのサブドメインを追加するには、*.example.com をリストに追加します。

  21. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  22. [アクション] については、[ALLOW] を選択します。

  23. [Add rule] を選択してください。ルールは両方とも、[WalledGardenExample] ページの [ルール] タブに表示されます。

  24. [WalledGardenExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。この例では、最初に DNS Firewall でドメインの選択リストの DNS クエリを特定して許可し、残りのクエリをすべてブロックします。

    [AllowSelectDomains] の優先度が低くなるようにルールの優先度を調整します。

これで、特定のドメインクエリのみを許可するルールグループができました。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください。

Route 53 Resolver DNS ファイアウォールブロックリストの例

このチュートリアルでは、悪意があることが判明しているドメインをブロックするルールグループを作成します。ブロックされたリストのドメインに許可される DNS クエリタイプも追加します。このルールグループは、これ以外のアウトバウンド DNS リクエストはすべて許可します (Route 53 Resolver 経由)。

コンソールウィザードを使用して DNS ファイアウォールブロックリストを設定するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

    ナビゲーションペインで、[DNS ファイアウォール] を選択し、Amazon VPC コンソールの [ルールグループ] ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

    - または -

    にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[DNS ファイアウォール] の下にある [ルールグループ] を選択します。

  3. ナビゲーションバーで、ルールグループのリージョンを選択します。

  4.  [ルールグループ] ページで、[ルールグループの追加] を選択します。

  5. ルールグループ名に「BlockListExample」と入力します。

    [タグ] セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「Amazon Route 53 リソースのタグ付け」を参照してください。

  6. [BlockListExample] の詳細ページで、[ルール] タブ、[ルールを追加] の順に選択します。

  7. [ルールの詳細] ペインで、ルール名に「BlockList」と入力します。

  8. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  9. [Choose or create a new domain list (新しいドメインリストの選択または作成)]で、[Create new domain list (新しいドメインリストの作成)] を選択します。

  10. ドメインリスト名 MaliciousDomains を入力し、次にテキストボックスにブロックするドメインを入力します。例えば、example.org と指定します。1 行に 1 つドメインを入力します。

    注記

    ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.org のすべてのサブドメインを追加するには、*.example.org をリストに追加します。

  11. [ドメインリダイレクト設定] では、デフォルトを受け入れ、[クエリの種類-オプション] は空のままにします。

  12. アクションについては、BLOCK を選択し、送信するレスポンスをデフォルト設定の NODATAのままにしておきます。

  13. [ルールを追加] を選択してください。ルールは [BlockListExample] ページの [ルール] タブに表示されます。

  14. [BlockedListExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。

    ルールの優先度を選択して、[ブロックリスト] の他のルールの前または後に評価されるようルールの優先度を調整します。ほとんどの場合、既知の悪意のあるドメインを最初にブロックしてください。つまり、これらに関連付けられているルールは、最も小さい優先順位番号にする必要があります。

  15. ブロックリストドメインの MX レコードを許可するルールを追加するには、[ルール] タブの [BlockedListExample] の詳細ページで、[ルールを追加] を選択します。

  16. [ルールの詳細] ペインで、ルール名に「BlockList-allowMX」と入力します。

  17. [Domain list (ドメインリスト)] ペインで、[Add my own domain list (独自のドメインリストを追加) ] を選択します。

  18. [新しいドメインリストを選択または作成] で、[MaliciousDomains] を選択します。

  19. [ドメインリダイレクト設定] では、デフォルトを受け入れます。

  20. [DNS クエリタイプ] リストで、[MX: メールサーバーを指定する] を選択します。

  21. アクションについては、[ALLOW] を選択します。

  22. [Add rule] を選択してください。

  23. [BlockedListExample] ページの [ルール] タブで、[優先度] 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。

    ルールの優先度を選択して、[BlockList-allowMX] は、他のルールの前または後に評価されるようルールの優先度を調整します。MX クエリを許可するため、[BlockList -allowMX] ルールが [ブラックリスト] よりも優先度が低いことを確認してください。

これで、特定の悪意のあるドメインクエリをブロックするルールグループができましたが、特定の DNS クエリタイプが許可されます。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.