DNS Firewall のルール設定 - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS Firewall のルール設定

DNS Firewall ルールグループでルールを作成または編集するときは、次の値を指定します。

名前

ルールグループ内のルールの一意の識別子。

(オプション) 説明

ルールの詳細についての簡単な説明。

ドメインリスト

ルールが調査するドメインのリスト。独自のドメインリストを作成して管理したり、 AWS が管理するドメインリストをサブスクライブできます。詳細については、「Route 53 Resolver DNS Firewall ドメインリスト」を参照してください。

ドメインリダイレクト設定

DNS Firewall ルールでは、、CNAME、 など、DNSリダイレクトチェーン内の最初のドメインまたはすべてのドメイン (デフォルト) のみを検査するように選択できますDNAME。すべてのドメインを検査する場合は、DNSリダイレクトチェーン内の後続のドメインをドメインリストに追加し、ルールが実行するアクション、、ALLOWBLOCK、または に設定する必要がありますALERT。詳細については、「Route 53 Resolver DNS Firewall のコンポーネントと設定」を参照してください。

クエリタイプ

ルールが検査するDNSクエリタイプのリスト。有効な値は次のとおりです。

  • A: IPv4 アドレスを返します。

  • AAAA: Ipv6 アドレスを返します。

  • CAA: ドメインの SSL/TLS 証明書を作成CAsできる制限。

  • CNAME: 別のドメイン名を返します。

  • DS: 委任ゾーンDNSSECの署名キーを識別するレコード。

  • MX: メールサーバーを指定します。

  • NAPTR: Regular-expression-based ドメイン名の書き換え。

  • NS: 信頼できるネームサーバー。

  • PTR: IP アドレスをドメイン名にマッピングします。

  • SOA: ゾーンの権限レコードの開始。

  • SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。

  • SRV: サーバーを識別するアプリケーション固有の値。

  • TXT: E メール送信者とアプリケーション固有の値を検証します。

  • DNS タイプ ID を使用して定義するクエリタイプ。例えば、 の場合は 28 ですAAAA。値は として定義する必要があります TYPENUMBER。ここで、NUMBER は のように 1~65334 にすることができますTYPE28。詳細については、DNS「レコードタイプのリスト」を参照してください。

    ルールごとに 1 つのクエリタイプを作成できます。

    注記

    クエリタイプNXDOMAINが に等しいアクションでファイアウォールBLOCKルールを設定した場合AAAA、このアクションは、 DNS64 が有効なときに生成された合成IPv6アドレスには適用されません。

アクション

DNS Firewall でドメイン名がルールのドメインリストの仕様と一致するDNSクエリを処理する方法。詳細については、「DNS Firewall のルールアクション」を参照してください。

優先度

ルールグループ内のルールの一意の自然数の設定。これにより、処理順序が決定されます。DNS Firewall は、最も低い数値の優先順位設定から上がってくるルールグループのルールに対してDNSクエリを検査します。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。