

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# DNS Firewall のルールグループとルール
<a name="resolver-dns-firewall-rule-groups"></a>

このセクションでは、VPC 向けの DNS Firewall の動作を定義するために DNS Firewall のルールグループおよびルールに対して行える設定について説明します。また、ルールおよびルールグループを設定する方法についても説明します。

ルールグループを希望どおりに設定したら、それらをそのまま使用して、アカウント間や AWS Organizations内の組織全体で共有および管理することができます。
+ ルールグループを複数の VPC に関連付けて、組織全体で一貫した動作を行えます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
+ アカウント間でルールグループを共有し、組織全体で一貫して DNS クエリを管理できます。詳細については、「[Resolver DNS Firewall ルールグループを AWS アカウント間で共有する](resolver-dns-firewall-rule-group-sharing.md)」を参照してください。
+  AWS Firewall Manager ポリシーで管理 AWS Organizations することで、 で組織全体のルールグループを使用できます。Firewall Manager の詳細については、の「」、および デベロッパーガイド[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)の「」を参照してください。 *AWS WAF AWS Firewall Manager AWS Shield Advanced *

# DNS Firewall のルールグループ設定
<a name="resolver-dns-firewall-rule-group-settings"></a>

DNS Firewall ルールグループを作成または編集する場合、次の値を指定します。

**名前**  
わかりやすい名前にすると、ダッシュボードでルールグループを見つけやすくなります。

**(オプション) 説明**  
ルールグループのコンテキストについての簡単な説明。

**リージョン**  
ルールグループの作成時に選択する AWS リージョン。1 つのリージョンで作成したルールグループは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。

**ルール**  
ルールグループのフィルタリング動作は、そのルールに含まれています。詳細については、次のセクションを参照してください。

**タグ**  
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。  
これらは、 が請求書を整理するために AWS Billing and Cost Management 提供するタグです AWS 。タグを使ったコスト配分の詳細については、*AWS Billing ユーザーガイド*の[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を参照してください。

# DNS Firewall のルール設定
<a name="resolver-dns-firewall-rule-settings"></a>

DNS Firewall ルールグループを作成または編集する場合、次の値を指定します。

**名前**  
ルールグループ内のルールの一意の識別子。

**(オプション) 説明**  
ルールの詳細についての簡単な説明。

**ドメインリスト**  
ルールが調査するドメインのリスト。独自のドメインリストを作成して管理したり、 AWS が管理するドメインリストをサブスクライブできます。詳細については、「[Resolver DNS Firewall ドメインリスト](resolver-dns-firewall-domain-lists.md)」を参照してください。  
ルールには、ドメインリストまたは DNS Firewall Advanced 保護を含めることができますが、両方を含めることはできません。

**ドメインリダイレクト設定 (ドメインリストのみ)**  
DNS ファイアウォールルールでは、CNAME、DNAME など、DNS リダイレクトチェーン内の最初のドメインのみまたはすべて (デフォルト) のドメインのみを検査するように選択できます。すべてのドメインを検査することを選択した場合、DNS リダイレクトチェーン内の後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。詳細については、「[Resolver DNS Firewall のコンポーネントと設定](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)」を参照してください。  
ドメインリダイレクト設定の信頼動作は、単一の DNS クエリトランザクション内にのみ適用されます。ホストの DNS クライアントが DNS リダイレクトチェーンに表示されるドメインに個別にクエリを実行する場合 (リダイレクトターゲットを直接クエリするなど）、DNS Firewall はそれを元のクエリからの信頼コンテキストのない独立したクエリとして評価します。このようなクエリを許可するには、リダイレクトターゲットドメインをドメインリストに追加します。

**クエリタイプ (ドメインリストのみ)**  
ルールが検査する DNS クエリタイプのリスト。有効な値を次に示します。  
+  A: IPv4 アドレスを返します。
+ AAAA: Ipv6 アドレスを返します。
+ CAA: ドメインの SSL/TLS 証明書を作成できる CA を制限します。
+ CNAME: 別のドメイン名を返します。
+ DS: 委任ゾーンの DNSSEC 署名キーを識別するレコード。
+ MX: メールサーバーを指定します。
+ NAPTR: ドメイン名の正規表現ベースの書き換え。
+ NS: 権威ネームサーバー。
+ PTR: IP アドレスをドメイン名にマッピングします。
+ SOA: ゾーンの管理情報の始点レコード。
+ SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。
+ SRV: サーバーを識別するアプリケーション固有の値。
+ TXT: E メール送信者とアプリケーション固有の値を検証します。
+ DNS タイプ ID を使用して定義するクエリタイプ (例えば、AAAA の場合は 28)。値は TYPE *NUMBER *として定義する必要があります。*NUMBER* は 1～65334 です。たとえば、TYPE28 です。詳細については、「[DNS レコードタイプの一覧](https://en.wikipedia.org/wiki/List_of_DNS_record_types)」を参照してください。

  ルールごとに 1 つのクエリタイプを作成できます。
**注記**  
クエリタイプが AAAA に等しいアクション NXDOMAIN でファイアウォールの BLOCK ルールを設定すると、DNS64 が有効になっているときに生成される合成 IPv6 アドレスにはこのアクションは適用されません。

**DNS Firewall Advanced 保護**  
DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。保護は、以下から選択できます。  
+ ドメイン生成アルゴリズム (DGAs)

  DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ DNS トンネリング

  DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
+ ディクショナリ DGA

  ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。
DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。  
詳細については、[リゾルバー DNS Firewall Advanced](firewall-advanced.md) を参照してください。  
ルールには、DNS Firewall Advanced 保護またはドメインリストを含めることができますが、両方を含めることはできません。

**信頼度のしきい値 (DNS Firewall Advanced のみ)。**  
DNS Firewall Advanced の信頼度のしきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。  
+ 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。
+ 中 − 脅威の検出と誤検出のバランスが取れています。
+ 低 − 脅威の検出率が最も高いが、誤検出も増加します。
詳細については、「[DNS Firewall のルール設定](#resolver-dns-firewall-rule-settings)」を参照してください。

**アクション**  
DNS Firewall で、ルールのドメインリストの仕様と一致するドメイン名を持つ DNS クエリを処理する方法 詳細については、「[DNS Firewall でのルールアクション](resolver-dns-firewall-rule-actions.md)」を参照してください 

**優先度**  
ルールグループ内のルールの一意の自然数の設定。これにより、処理順序が決定されます。DNS Firewall は、ルールグループのルールに対する DNS クエリを調査します。優先度が最も低い設定で始まり、上がっていきます。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。

# DNS Firewall でのルールアクション
<a name="resolver-dns-firewall-rule-actions"></a>

DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。

作成する各ルールで、次のオプションのいずれかを指定する必要があります：
+ ** Allow ** – クエリの検査を停止し、実行を許可します。DNS Firewall Advanced では使用できません。
+ ** Alert ** – クエリの検査を停止して通過を許可し、Route 53 VPC Resolver ログにクエリのアラートを記録します。
+ ** Block ** – クエリの検査を中止し、目的の宛先へのクエリのブロックアクションを Route 53 VPC Resolver ログに記録します。

  次のように、設定されたブロックレスポンスで応答します。
  + ** NODATA ** – クエリが成功したが、応答が利用できないことを示す応答。
  + ** NXDOMAIN **– クエリのドメイン名が存在しないことを示す応答。
  + ** OVERRIDE **– レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
    + ** Record value ** – クエリに応答して返送するカスタム DNS レコード。
    + ** Record type **– DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、`CNAME` である必要があります。
    + ** Time to live in seconds **– DNS リゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリへの応答に使用するのに推奨される時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。

クエリログの設定と内容の詳細については、「[リゾルバーでのクエリのログ記録](resolver-query-logs.md)」および「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」を参照してください。

**Alert を使用してブロックルールをテストする**  
ブロックルールを初めて作成する際は、アクションを Alert に設定して、ブロックルールをテストします。次に、ルールが警告するクエリの数を調べて、アクションを Block に設定した場合にブロックされるクエリの数を確認します。

# DNS Firewall でのルールグループおよびルールの管理
<a name="resolver-dns-firewall-rule-group-managing"></a>

コンソールでルールグループとルールを管理するには、このセクションのガイダンスに従います。

ルールやドメインリストなどの DNS Firewall エンティティに変更を加えると、DNS Firewall はエンティティが格納および使用されるすべての場所に変更を伝播します。変更は数秒以内に適用されますが、変更がある場所に到着し、他の場所には到着していない場合、一時的な不一致が生じる可能性があります。そのため、例えばブロックルールによって参照されるドメインリストにドメインを追加すると、新しいドメインは VPC のあるエリアで一時的にブロックされ、別のエリアでは許可されます。この一時的な不一致は、ルールグループと VPC の関連付けを初めて行う際、既存の設定を変更する際に発生する可能性があります。ほとんどの場合、このタイプの不一致は数秒で解決します。

# ルールグループおよびルールの作成
<a name="resolver-dns-firewall-rule-group-adding"></a>

ルールグループを作成してルールを追加するには、この手順のステップに従います。

**ルールグループとそのルールを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。

   ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

   - または - 

    AWS マネジメントコンソール にサインインして、

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。

1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。

1. ナビゲーションバーで、ルールグループのリージョンを選択します。

1. **[Add rule group (ルールグループの追加)]** を選択し、ウィザードのガイダンスに従ってルールグループとルール設定を指定します。

   ルールグループの値の詳細については、「[DNS Firewall のルールグループ設定](resolver-dns-firewall-rule-group-settings.md)」を参照してください。

   ルールの値の詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。

# ルールグループおよびルールの表示と更新
<a name="resolver-dns-firewall-rule-group-editing"></a>

ルールグループとそのグループに割り当てられたルールを表示するには、次の手順に従います。ルールグループとルール設定を更新することもできます。

**ルールとグループを表示および更新するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。

   ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

   - または - 

    AWS マネジメントコンソール にサインインして、

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。

1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。

1. ナビゲーションバーで、ルールグループのリージョンを選択します。

1. 表示または編集するルールグループを選択し、**[View details (詳細を表示)]** を選択します。

1. ルールグループのページで、設定を表示および編集できます。

   ルールグループの値の詳細については、「[DNS Firewall のルールグループ設定](resolver-dns-firewall-rule-group-settings.md)」を参照してください。

   ルールの値の詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。

# ルールグループの削除
<a name="resolver-dns-firewall-rule-group-deleting"></a>

ルールグループの削除は、次の手順を実行します。

**重要**  
VPC に関連付けられているルールグループを削除すると、DNS Firewall は関連付けを削除し、ルールグループが VPC に行っていた保護を停止します。

**DNS Firewall エンティティの削除**  
DNS Firewall で使用できるエンティティ (ルールグループで使用中のドメインリストや VPC に関連付けられている可能性があるルールグループなど) を削除すると、DNS Firewall ではそのエンティティが現在使用されているかどうかの確認が行われます。使用中であることが判明した場合、DNS Firewall からアラートが表示されます。DNS Firewall では、ほとんどの場合エンティティが使用中かどうかを判別できます。ただし、まれに判別できないことがあります。エンティティが現在使用中でないことを確認する必要があるときは、DNS Firewall 設定で確認してください。エンティティが参照されているドメインリストである場合は、ルールグループでエンティティが使用されていないことを確認してください。エンティティがルールグループである場合は、どの VPC にも関連付けられていないことを確認してください。

**ルールグループを削除するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。

   ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。

   - または - 

    AWS マネジメントコンソール にサインインして、

   [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。

1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。

1. ナビゲーションバーで、ルールグループのリージョンを選択します。

1. 削除するルールグループを選択し、**削除を選択して**削除を確定します。