Route 53 리졸버 DNS 방화벽의 작동 방식 - Amazon Route 53
DNS방화벽 구성 요소 및 설정Route 53 리졸버 DNS 방화벽이 쿼리를 필터링하는 방법 DNS방화벽 사용을 위한 상위 수준 단계 DNS여러 지역의 DNS 방화벽 규칙 그룹 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 리졸버 DNS 방화벽의 작동 방식

Route 53 리졸버 DNS 방화벽을 사용하면 Route 53 리졸버를 VPC 통해 전송되는 DNS 쿼리에 대한 사이트 및 블록 DNS 수준 위협을 제어할 수 있습니다. DNS방화벽을 사용하면 연결된 규칙 그룹에서 도메인 이름 필터링 규칙을 정의할 수 있습니다. VPCs 허용하거나 차단할 도메인 이름 목록을 지정하고 차단하는 DNS 쿼리에 대한 응답을 사용자 지정할 수 있습니다. 또한 MX 레코드와 같은 특정 유형의 쿼리를 허용하도록 도메인 목록을 미세 조정할 수 있습니다.

DNS방화벽은 도메인 이름만 필터링합니다. DNS 방화벽은 해당 이름을 차단할 IP 주소로 해석하지 않습니다. 또한 DNS 방화벽은 DNS 트래픽을 필터링하지만,,, 등과 같은 HTTPS 다른 애플리케이션 계층 프로토콜은 필터링하지 않습니다. SSH TLS FTP

Route 53 리졸버 DNS 방화벽 구성 요소 및 설정

다음과 같은 중앙 구성 요소 및 설정으로 DNS 방화벽을 관리합니다.

DNS방화벽 규칙 그룹

DNS쿼리 필터링을 위한 이름이 지정되고 재사용 가능한 DNS 방화벽 규칙 컬렉션을 정의합니다. 규칙 그룹을 필터링 규칙으로 채운 다음 규칙 그룹을 하나 이상의 규칙과 연결합니다. VPCs 규칙 그룹을 a에 연결하면 에 VPC 대한 DNS 방화벽 필터링이 VPC 활성화됩니다. 그런 다음 Resolver가 규칙 그룹이 연결된 DNS 쿼리를 받으면 Resolver는 필터링을 위해 VPC 해당 쿼리를 방화벽에 전달합니다. DNS

여러 규칙 그룹을 단일 VPC 규칙 그룹에 연결하는 경우 각 연결의 우선 순위 설정을 통해 처리 순서를 지정합니다. DNS방화벽은 가장 낮은 숫자 우선 순위 VPC 설정부터 시작하여 규칙 그룹을 처리합니다.

자세한 내용은 DNS방화벽 규칙 그룹 및 규칙 단원을 참조하십시오.

DNS방화벽 규칙

DNS방화벽 규칙 그룹의 DNS 쿼리에 대한 필터링 규칙을 정의합니다. 각 규칙은 하나의 도메인 목록과 목록의 도메인 사양과 일치하는 도메인의 DNS 쿼리에 대해 취할 조치를 지정합니다. 일치하는 쿼리 또는 목록에 있는 도메인의 쿼리 유형을 허용, 차단 또는 경고할 수 있습니다. 예를 들어 특정 도메인이나 도메인에 대한 MX 쿼리 유형을 차단하거나 허용할 수 있습니다. 차단된 쿼리에 대한 사용자 지정 응답을 정의할 수도 있습니다.

규칙 그룹의 각 규칙에는 규칙 그룹 내의 고유한 우선 순위 설정이 있습니다. DNS방화벽은 가장 낮은 숫자 우선 순위 설정부터 시작하여 규칙 그룹의 규칙을 처리합니다.

DNS방화벽 규칙은 해당 규칙이 정의된 규칙 그룹의 컨텍스트에서만 존재합니다. 규칙을 재사용하거나 규칙 그룹과 독립적으로 참조할 수 없습니다.

자세한 내용은 DNS방화벽 규칙 그룹 및 규칙 섹션을 참조하세요.

도메인 목록

DNS필터링에 사용할 이름이 지정되고 재사용 가능한 도메인 사양 컬렉션을 정의합니다. 규칙 그룹의 각 규칙에는 단일 도메인 목록이 필요합니다. 액세스를 허용할 도메인, 액세스를 거부할 도메인 또는 둘 모두의 조합을 지정하도록 선택할 수 있습니다. 자체 도메인 목록을 만들 수 있으며, 대신 AWS 관리하는 도메인 목록을 사용할 수 있습니다.

자세한 내용은 Route 53 리졸버 DNS 방화벽 도메인 목록 단원을 참조하십시오.

도메인 리디렉션 설정

도메인 리디렉션 설정을 사용하면 리디렉션 체인의 모든 도메인 (기본값) (예: CNAMEDNAME, 등) 을 검사하거나 첫 번째 도메인만 검사하고 나머지는 신뢰하도록 DNS 방화벽 규칙을 구성할 수 있습니다. DNS 전체 DNS 리디렉션 체인을 검사하기로 선택한 경우 규칙에 설정된 도메인 목록에 후속 도메인을 추가해야 합니다. ALLOW 전체 DNS 리디렉션 체인을 검사하기로 선택한 경우 후속 도메인을 도메인 목록에 추가하고 규칙에서 수행할 작업 (또는 또는ALLOW) 으로 설정해야 합니다. BLOCK ALERT

자세한 내용은 DNS방화벽의 규칙 설정 단원을 참조하십시오.

쿼리 유형

쿼리 유형 설정을 사용하면 특정 DNS 쿼리 유형을 필터링하도록 DNS 방화벽 규칙을 구성할 수 있습니다. 쿼리 유형을 선택하지 않으면 규칙이 모든 DNS 쿼리 유형에 적용됩니다. 예를 들어 특정 도메인의 모든 쿼리 유형을 차단하고 MX 레코드는 허용할 수 있습니다.

자세한 내용은 DNS방화벽의 규칙 설정 단원을 참조하십시오.

DNS방화벽 규칙 그룹과 A 간의 연결 VPC

DNS방화벽 규칙 그룹 VPC 사용에 대한 보호를 정의하고 에 대한 Resolver DNS 방화벽 구성을 활성화합니다. VPC

여러 규칙 그룹을 단일 VPC 규칙 그룹에 연결하는 경우 연결의 우선 순위 설정을 통해 처리 순서를 지정합니다. DNS방화벽은 가장 낮은 숫자 우선 순위 VPC 설정부터 시작하여 규칙 그룹을 처리합니다.

자세한 내용은 사용자를 위한 Route 53 리졸버 DNS 방화벽 보호 기능 활성화 VPC 단원을 참조하십시오.

에 대한 리졸버 DNS 방화벽 구성 VPC

Resolver가 수준에서 DNS 방화벽 보호를 처리하는 방법을 지정합니다. VPC 이 컨피그레이션은 DNS 방화벽 규칙 그룹이 하나 이상 연결되어 있을 때마다 적용됩니다. VPC

이 구성은 DNS 방화벽이 쿼리를 필터링하지 못할 경우 Route 53 Resolver가 쿼리를 처리하는 방법을 지정합니다. 기본적으로 Resolver가 DNS 방화벽으로부터 쿼리에 대한 응답을 받지 못하면 쿼리 종료에 실패하고 쿼리를 차단합니다.

자세한 내용은 DNS방화벽 구성 VPC 단원을 참조하십시오.

방화벽 작업 모니터링 DNS

CloudWatch Amazon을 사용하여 DNS 방화벽 규칙 그룹에 의해 필터링되는 DNS 쿼리 수를 모니터링할 수 있습니다. CloudWatch 원시 데이터를 수집하여 읽기 쉬운 거의 실시간 지표로 처리합니다.

자세한 내용은 Amazon을 통한 Route 53 리졸버 DNS 방화벽 규칙 그룹 모니터링 CloudWatch 단원을 참조하십시오.

이벤트를 사용하여 애플리케이션 구성 요소를 서로 연결하는 서버리스 서비스인 EventBridge Amazon을 사용하여 확장 가능한 이벤트 기반 애플리케이션을 구축할 수 있습니다.

자세한 내용은 를 사용하여 Route 53 리졸버 DNS 방화벽 이벤트 관리 Amazon EventBridge 단원을 참조하십시오.

Route 53 리졸버 DNS 방화벽이 쿼리를 필터링하는 방법 DNS

DNS방화벽 규칙 그룹이 Route 53 VPC Resolver와 연결되면 방화벽이 다음 트래픽을 필터링합니다.

  • DNS그 안에서 발생하는 쿼리. VPC

  • DNS온프레미스 리소스에서 Resolver 엔드포인트를 통과하여 해당 리졸버에 DNS 방화벽이 연결된 동일한 리소스로 VPC 전달되는 쿼리

DNS방화벽은 DNS 쿼리를 수신하면 구성한 규칙 그룹, 규칙 및 기타 설정을 사용하여 쿼리를 필터링하고 결과를 Resolver로 다시 보냅니다.

  • DNS방화벽은 일치하는 항목을 찾거나 모든 규칙 그룹을 모두 사용할 VPC 때까지 와 연결된 규칙 그룹을 사용하여 DNS 쿼리를 평가합니다. DNS방화벽은 연결에 설정한 우선 순위에 따라 가장 낮은 숫자 설정부터 시작하여 규칙 그룹을 평가합니다. 자세한 내용은 DNS방화벽 규칙 그룹 및 규칙사용자를 위한 Route 53 리졸버 DNS 방화벽 보호 기능 활성화 VPC 단원을 참조하세요.

  • 각 규칙 그룹 내에서 DNS 방화벽은 일치하는 항목을 찾거나 모든 규칙을 모두 사용할 때까지 각 규칙의 도메인 목록을 기준으로 DNS 쿼리를 평가합니다. DNS방화벽은 가장 낮은 숫자 설정부터 시작하여 우선 순위에 따라 규칙을 평가합니다. 자세한 내용은 DNS방화벽 규칙 그룹 및 규칙 단원을 참조하십시오.

  • DNS방화벽은 규칙의 도메인 목록과 일치하는 항목을 찾으면 쿼리 평가를 종료하고 결과를 Resolver에 응답합니다. 작업이 다음과 같으면 DNS 방화벽은 alert 구성된 Resolver 로그에도 경고를 보냅니다. 자세한 내용은 방화벽의 규칙 조치 DNSRoute 53 리졸버 DNS 방화벽 도메인 목록 단원을 참조하세요.

  • DNS방화벽이 일치하는 항목을 찾지 않고 모든 규칙 그룹을 평가하면 정상적으로 쿼리에 응답합니다.

Resolver는 방화벽의 응답에 따라 쿼리를 라우팅합니다. DNS 드물지만 DNS 방화벽이 응답하지 않는 경우 Resolver는 구성된 DNS 방화벽 실패 모드를 VPC 적용합니다. 자세한 내용은 DNS방화벽 구성 VPC 단원을 참조하십시오.

Route 53 DNS 리졸버 방화벽을 사용하기 위한 상위 단계

Amazon Virtual Private 클라우드에서 VPC Route 53 리졸버 DNS 방화벽 필터링을 구현하려면 다음과 같은 높은 수준의 단계를 수행하십시오.

  • 필터링 접근 방식 및 도메인 목록 정의(Define your filtering approach and your domain lists) - 쿼리를 필터링할 방법을 결정하고, 필요한 도메인 사양을 식별하며, 쿼리를 평가하는 데 사용할 논리를 정의합니다. 예를 들어 잘못된 것으로 알려진 도메인 목록에 있는 쿼리를 제외한 모든 쿼리를 허용해야 할 수 있습니다. 아니면 반대로 월드 가든(walled garden) 접근법으로 알려진 것처럼 승인된 도메인 목록을 제외한 모든 것을 차단하고 싶을 수도 있습니다. 승인되거나 차단된 도메인 사양의 목록을 직접 만들고 관리할 수 있으며, 대신 AWS 관리하는 도메인 목록을 사용할 수 있습니다. 도메인 목록에 대한 자세한 내용은 을 참조하십시오. Route 53 리졸버 DNS 방화벽 도메인 목록

  • 방화벽 규칙 그룹 생성 - DNS 방화벽에서 원하는 DNS 쿼리를 필터링할 규칙 그룹을 생성합니다. VPC 사용할 각 리전에 규칙 그룹을 생성해야 합니다. 또한 다양한 필터링 시나리오에서 재사용할 수 있도록 필터링 동작을 둘 이상의 규칙 그룹으로 분리할 수도 있습니다. VPCs 규칙 그룹에 대한 자세한 내용은 DNS방화벽 규칙 그룹 및 규칙 단원을 참조하세요.

  • 규칙 추가 및 구성 - 규칙 그룹에서 제공할 각 도메인 목록과 필터링 동작에 대한 규칙을 규칙 그룹에 규칙을 추가합니다. 규칙 그룹 내에서 올바른 순서로 처리되도록 규칙의 우선 순위 설정을 설정하여 먼저 평가할 규칙에 가장 낮은 우선 순위를 지정합니다. 규칙에 대한 자세한 내용은 DNS방화벽 규칙 그룹 및 규칙 단원을 참조하세요.

  • 규칙 그룹을 사용자 방화벽 규칙 그룹에 연결 VPC — 방화벽 규칙 그룹 사용을 시작하려면 해당 규칙 그룹을 사용자의 DNS 방화벽 규칙 그룹과 연결하십시오. VPC 규칙 그룹을 두 개 이상 사용하는 경우 먼저 평가하려는 규칙 그룹에 가장 낮은 우선 순위를 부여하여 규칙 그룹이 올바른 순서로 처리되도록 각 연결의 우선 순위를 설정하십시오. VPC 자세한 내용은 사용자 VPC 및 Route 53 리졸버 DNS 방화벽 규칙 그룹 간의 연결 관리 단원을 참조하십시오.

  • (선택 사항) 에 대한 방화벽 구성 변경 VPC — 방화벽이 쿼리에 대한 응답을 다시 보내지 못할 때 Route 53 Resolver가 쿼리를 차단하도록 하려면 Resolver에서 DNS 방화벽 구성을 변경하십시오. VPC DNS 자세한 내용은 DNS방화벽 구성 VPC 단원을 참조하십시오.

여러 지역의 Route 53 리졸버 DNS 방화벽 규칙 그룹 사용

Route 53 Resolver DNS 방화벽은 지역 서비스이므로 한 AWS 지역에서 생성한 객체는 해당 지역에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙 그룹을 사용하려면 각 리전에서 규칙을 생성해야 합니다.

규칙 그룹을 생성한 AWS 계정은 이를 다른 AWS 계정과 공유할 수 있습니다. 자세한 내용은 계정 간에 Route 53 리졸버 DNS 방화벽 규칙 그룹 공유 AWS 단원을 참조하십시오.