기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# DNS 방화벽을 사용하여 아웃바운드 DNS 트래픽 필터링
Resolver DNS 방화벽을 사용하면 Virtual Private Cloud(VPC)의 아웃바운드 DNS 트래픽을 필터링하고 규제할 수 있습니다. 이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링합니다. 활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있습니다.
DNS 방화벽을 사용하면 VPC의 아웃바운드 DNS 요청을 보호할 수 있습니다. 이러한 요청은 도메인 이름 확인을 위해 VPC Resolver를 통해 라우팅됩니다. DNS 방화벽 보호의 주된 용도는 데이터의 DNS 유출을 방지하는 것입니다. DNS 유출은 공격자가 VPC 애플리케이션 인스턴스를 손상시킨 다음 DNS 조회를 사용하여 VPC에서 데이터를 제어하는 도메인으로 전송할 때 발생할 수 있습니다. DNS 방화벽을 사용하면 애플리케이션에서 쿼리할 수 있는 도메인을 모니터링하고 제어할 수 있습니다. 잘못된 것으로 알고 있는 도메인에 대한 액세스를 거부하고 다른 모든 쿼리가 통과하도록 허용할 수 있습니다. 또는 명시적으로 신뢰하는 도메인을 제외한 모든 도메인에 대한 액세스를 거부할 수 있습니다.
DNS 방화벽을 사용하여 VPC 엔드포인트 이름을 포함하여 프라이빗 호스팅 영역(공유 또는 로컬 호스팅 영역)의 리소스에 대한 해석 요청을 차단할 수도 있습니다. 또한 퍼블릭 또는 프라이빗 Amazon EC2 인스턴스 이름에 대한 요청을 차단할 수도 있습니다.
DNS 방화벽은 Route 53 VPC Resolver의 기능이며 사용하기 위해 추가 VPC Resolver 설정이 필요하지 않습니다.
**AWS Firewall Manager 에서 DNS 방화벽 지원**
Firewall Manager 를 사용하여 AWS Organizations계정에서 VPC의 DNS 방화벽 규칙 그룹 연결을 중앙에서 구성하고 관리할 수 있습니다. Firewall Manager는 Firewall Manager DNS 방화벽 정책 범위로 들어오는 VPC에 대한 연결을 자동으로 추가합니다. 자세한 내용은 , 및 개발자 안내서[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)의 섹션을 참조하세요. *AWS WAF AWS Firewall Manager AWS Shield Advanced *
**DNS 방화벽의 작동 방식 AWS Network Firewall**
DNS 방화벽과 Network Firewall 모두 다른 유형의 트래픽이 아닌 경우 도메인 이름 필터링을 제공합니다. DNS 방화벽과 Network Firewall 함께 사용하면 서로 다른 두 네트워크 경로에서 애플리케이션 계층 트래픽에 대한 도메인 기반 필터링을 구성할 수 있습니다.
+ DNS 방화벽은 VPC 내의 애플리케이션에서 Route 53 VPC Resolver를 통과하는 아웃바운드 DNS 쿼리에 대한 필터링VPCs 제공합니다. 쿼리에 대한 사용자 지정 응답을 차단된 도메인 이름에 전송하도록 DNS 방화벽을 구성할 수도 있습니다.
+ Network Firewall은 네트워크 및 애플리케이션 계층 트래픽 모두에 대한 필터링을 제공하지만 Route 53 VPC Resolver에서 수행한 쿼리는 볼 수 없습니다.
자세한 내용은 [Network Firewall 개발자 안내서](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)를 참조하세요.
# 해석기 DNS 방화벽 작동 방식
Resolver DNS 방화벽을 사용하면 사이트에 대한 액세스를 제어하고 Route 53 VPC Resolver를 통해 VPC에서 나가는 DNS 쿼리에 대한 DNS 수준 위협을 차단할 수 있습니다. DNS 방화벽을 사용하여 VPC와 연결하는 규칙 그룹에 도메인 이름 필터링 규칙을 정의합니다. 허용 또는 차단할 도메인 이름 목록 또는 DNS 터널링 및 도메인 생성 알고리즘(DGA) 기반 위협으로부터 보호하는 Resolver DNS Firewall Advanced 규칙을 지정할 수 있습니다. 차단하는 DNS 쿼리에 대한 응답을 사용자 지정할 수 있습니다. 도메인 목록을 포함한 규칙의 경우 해당 규칙을 미세 조정하여 MX 레코드와 같은 특정 쿼리 유형을 허용할 수도 있습니다.
DNS 방화벽은 도메인 이름만 필터링합니다. DNS 방화벽은 해당 이름을 차단할 IP 주소로 해석하지 않습니다. 또한 DNS 방화벽은 DNS 트래픽을 필터링하지만 HTTPS, SSH, TLS, FTP 등과 같은 다른 애플리케이션 계층 프로토콜을 필터링하지 않습니다.
## 해석기 DNS 방화벽 구성 요소 및 설정
다음 중앙 구성 요소 및 설정을 사용하여 DNS 방화벽을 관리합니다.
**DNS 방화벽 규칙 그룹**
DNS 쿼리를 필터링하기 위한 DNS 방화벽 규칙의 명명된 재사용 가능한 컬렉션을 정의합니다. 규칙 그룹을 필터링 규칙으로 채운 후, 규칙 그룹을 하나 이상의 VPC와 연결합니다. 규칙 그룹을 VPC와 연결하면 VPC에 대해 DNS 방화벽 필터링을 활성화합니다. 그런 다음 VPC Resolver가 규칙 그룹이 연결된 VPC에 대한 DNS 쿼리를 수신하면 VPC Resolver는 필터링을 위해 쿼리를 DNS 방화벽에 전달합니다.
여러 규칙 그룹을 단일 VPC 와 연결하는 경우 각 연결의 우선 순위를 설정하여 처리 순서를 표시합니다. DNS 방화벽은 우선 순위 설정에 따라 가장 낮은 숫자에서 높은 숫자 순으로 VPC 대한 규칙 그룹을 처리합니다.
자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
**DNS 방화벽 규칙**
DNS 방화벽 규칙 그룹의 DNS 쿼리에 대한 필터링 규칙을 정의합니다. 각 규칙은 하나의 도메인 목록(또는 DNS Firewall 보호)을 지정하고 도메인이 규칙의 도메인 사양과 일치하는 DNS 쿼리에 대해 수행할 작업을 지정합니다. 일치하는 쿼리를 허용(도메인 목록을 포함한 규칙만) 또는 차단하거나 그에 대해 알림을 제공할 수 있습니다. 도메인 목록을 포함한 규칙에서 목록의 도메인에 대해 쿼리 유형을 지정할 수도 있습니다. 예를 들어 특정한 도메인 또는 복수의 도메인에 대해 MX 쿼리 유형을 차단하거나 허용할 수 있습니다. 차단된 쿼리에 대한 사용자 지정 응답을 정의할 수도 있습니다.
DNS Firewall 규칙의 경우 일치하는 쿼리를 차단하거나 알리는 것만 가능합니다.
규칙 그룹의 각 규칙에는 규칙 그룹 내의 고유한 우선 순위 설정이 있습니다. DNS 방화벽은 우선 순위 설정에 따라 가장 낮은 숫자에서 높은 숫자 순으로 VPC 대한 규칙 그룹의 규칙을 처리합니다.
DNS 방화벽 규칙은 정의된 규칙 그룹의 컨텍스트에만 존재합니다. 규칙을 재사용하거나 규칙 그룹과 독립적으로 참조할 수 없습니다.
자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
**도메인 목록**
DNS 필터링에 사용할 도메인 사양의 명명된 재사용 가능한 컬렉션을 정의합니다. 규칙 그룹의 각 규칙에는 단일 도메인 목록이 필요합니다. 액세스를 허용할 도메인, 액세스를 거부할 도메인 또는 둘 모두의 조합을 지정하도록 선택할 수 있습니다. 자체 도메인 목록을 생성하고에서 AWS 관리하는 도메인 목록을 사용할 수 있습니다.
자세한 내용은 [Resolver DNS 방화벽 도메인 목록](resolver-dns-firewall-domain-lists.md) 단원을 참조하십시오.
**도메인 리디렉션 설정(도메인 목록만 해당)**
도메인 리디렉션 설정을 사용하면 DNS 방화벽 규칙을 구성하여 CNAME, DNAME 등과 같은 DNS 리디렉션 체인(기본값)의 모든 도메인을 검사하거나 첫 번째 도메인만 검사하고 나머지는 신뢰할 수 있습니다. 전체 DNS 리디렉션 체인을 검사하도록 선택한 경우 규칙에서 ALLOW로 설정된 도메인 목록에 후속 도메인을 추가해야 합니다. 전체 DNS 리디렉션 체인을 검사하도록 선택한 경우 후속 도메인을 도메인 목록에 추가하고 규칙을 수행할 작업인 ALLOW, BLOCK 또는 ALERT로 설정해야 합니다.
자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md) 단원을 참조하십시오.
**쿼리 유형(도메인 목록만 해당)**
쿼리 유형 설정을 사용하면 특정 DNS 쿼리 유형을 필터링하도록 DNS 방화벽 규칙을 구성할 수 있습니다. 쿼리 유형을 선택하지 않으면 규칙이 모든 DNS 쿼리 유형에 적용됩니다. 예를 들어 특정 도메인의 모든 쿼리 유형을 차단하지만 MX 레코드를 허용할 수 있습니다.
자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md) 단원을 참조하십시오.
**DNS Firewall Advanced 보호**
DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 규칙 그룹의 각 규칙마다 하나의 DNS Firewall Advanced 보호 설정이 필요합니다. 선택할 수 있는 보호는 다음과 같습니다.
+ 도메인 생성 알고리즘(DGA)
DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.
+ DNS 터널링
DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.
+ 사전 DGA
공격자는 사전 DGAs를 사용하여 맬웨어 command-and-control 통신에서 탐지를 회피하는 사전 단어를 사용하여 도메인을 생성합니다.
DNS Firewall Advanced 규칙에서 위협과 일치하는 쿼리를 차단하거나 알리도록 선택할 수 있습니다. 위협 방지 알고리즘은에서 관리하고 업데이트합니다 AWS.
자세한 내용은 [해석기 DNS 방화벽 고급](firewall-advanced.md) 단원을 참조하십시오.
**신뢰도 임계값(DNS Firewall Advanced 보호만 해당)**
DNS 위협 방지를 위한 신뢰도 임계값입니다. DNS 방화벽 고급 규칙을 생성할 때 이 값을 제공해야 합니다. 신뢰 수준 값은 다음을 의미합니다.
+ 높음 - 오탐지율이 낮고 가장 확실히 확인된 위협만 탐지합니다.
+ 중간 - 위협 탐지와 오탐지 간의 균형을 제공합니다.
+ 낮음 - 위협 탐지율이 가장 높지만 오탐지도 증가합니다.
자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md) 단원을 참조하십시오.
**DNS 방화벽 규칙 그룹과 VPC 간의 연결**
DNS 방화벽 규칙 그룹을 사용하여 VPC에 대한 보호를 정의하고 VPC에 대한 VPC 해석기 DNS 방화벽 구성을 활성화합니다.
여러 규칙 그룹을 단일 VPC 와 연결하는 경우 연결의 우선 순위 설정을 통해 처리 순서를 나타냅니다. DNS 방화벽은 우선 순위 설정에 따라 가장 낮은 숫자에서 높은 숫자 순으로 VPC 대한 규칙 그룹을 처리합니다.
자세한 내용은 [VPC에 대한 해석기 DNS 방화벽 보호 활성화](resolver-dns-firewall-vpc-protections.md) 단원을 참조하십시오.
**VPC에 대한 DNS 방화벽 구성**
VPC Resolver가 VPC 수준에서 DNS 방화벽 보호를 처리하는 방법을 지정합니다. 이 구성은 VPC 와 연결된 DNS 방화벽 규칙 그룹이 하나 이상 있을 때마다 적용됩니다.
이 구성은 DNS 방화벽이 쿼리를 필터링하지 못할 때 Route 53 VPC Resolver가 쿼리를 처리하는 방법을 지정합니다. 기본적으로 VPC Resolver가 쿼리에 대해 DNS 방화벽으로부터 응답을 받지 못하면 닫히지 않고 쿼리를 차단합니다.
자세한 내용은 [DNS 방화벽 VPC 구성](resolver-dns-firewall-vpc-configuration.md) 단원을 참조하십시오.
**DNS 방화벽 작업 모니터링**
Amazon CloudWatch를 사용하여 DNS 방화벽 규칙 그룹에 의해 필터링되는 DNS 쿼리 수를 모니터링할 수 있습니다. CloudWatch는 원시 데이터를 수집하여 실시간에 가까운 읽기 가능한 지표로 처리합니다.
자세한 내용은 [Amazon CloudWatch를 사용하여 Resolver DNS 방화벽 규칙 그룹 모니터링](monitoring-resolver-dns-firewall-with-cloudwatch.md) 단원을 참조하십시오.
이벤트를 사용하여 애플리케이션 구성 요소를 서로 연결하는 서버리스 서비스인 Amazon EventBridge를 사용하여 확장 가능한 이벤트 기반 애플리케이션을 구축할 수 있습니다.
자세한 내용은 [를 사용하여 Resolver DNS 방화벽 이벤트 관리 Amazon EventBridge](dns-firewall-eventbridge-integration.md) 단원을 참조하십시오.
## 해석기 DNS 방화벽이 DNS 쿼리를 필터링하는 방법
DNS 방화벽 규칙 그룹이 VPC의 Route 53 VPC Resolver와 연결되면 방화벽에 의해 다음 트래픽이 필터링됩니다.
+ 해당 VPC 내에서 시작되어 VPC DNS를 통과하는 DNS 쿼리입니다.
+ Resolver 엔드포인트를 온프레미스 리소스에서 DNS 방화벽을 자체 해석기와 연결한 동일한 VPC로 전달하는 DNS 쿼리입니다.
DNS 방화벽은 DNS 쿼리를 수신하면 구성한 규칙 그룹, 규칙 및 기타 설정을 사용하여 쿼리를 필터링하고 결과를 VPC Resolver로 다시 보냅니다.
+ DNS 방화벽은 일치하는 항목을 찾거나 모든 규칙 그룹을 소진할 때까지 VPC와 연결된 규칙 그룹을 사용하여 DNS 쿼리를 평가합니다. DNS 방화벽은 가장 낮은 숫자 설정부터 시작하여 연결에서 설정한 우선 순위에 따라 규칙 그룹을 평가합니다. 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 및 [VPC에 대한 해석기 DNS 방화벽 보호 활성화](resolver-dns-firewall-vpc-protections.md) 섹션을 참조하세요.
+ 각 규칙 그룹 내에서 DNS Firewall은 일치하는 항목을 찾거나 모든 규칙을 모두 소진할 때까지 각 규칙의 도메인 목록 또는 DNS Firewall Advanced 보호에 대해 DNS 쿼리를 평가합니다. DNS 방화벽은 가장 낮은 숫자 설정부터 시작하여 우선 순위에 따라 규칙을 평가합니다. 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 단원을 참조하십시오.
+ DNS 방화벽이 규칙의 도메인 목록과 일치하는 항목 또는 DNS Firewall Advanced 규칙 보호로 식별된 이상을 찾으면 쿼리 평가를 종료하고 VPC Resolver에 결과로 응답합니다. 작업이 인 경우 `alert`DNS 방화벽은 구성된 VPC 해석기 로그에도 알림을 보냅니다. 자세한 내용은 [DNS 방화벽의 규칙 동작](resolver-dns-firewall-rule-actions.md), [Resolver DNS 방화벽 도메인 목록](resolver-dns-firewall-domain-lists.md), [해석기 DNS 방화벽 고급](firewall-advanced.md) 섹션을 참조하세요.
+ DNS 방화벽이 일치 항목을 찾지 못하고 모든 규칙 그룹을 평가하는 경우 평소대로 쿼리에 응답합니다.
VPC Resolver는 DNS 방화벽의 응답에 따라 쿼리를 라우팅합니다. 드물지만 DNS 방화벽이 응답하지 않는 경우 VPC Resolver는 VPC의 구성된 DNS 방화벽 실패 모드를 적용합니다. 자세한 내용은 [DNS 방화벽 VPC 구성](resolver-dns-firewall-vpc-configuration.md) 단원을 참조하십시오.
## Resolver DNS 방화벽을 사용하기 위한 상위 수준 단계
Amazon Virtual Private Cloud VPC에서 Resolver DNS 방화벽 필터링을 구현하려면 다음과 같은 상위 수준 단계를 수행합니다.
+ **필터링 접근 방식, 도메인 목록 또는 DNS Firewall 보호 정의** - 쿼리를 필터링할 방법을 결정하고, 필요한 도메인 사양을 식별하며, 쿼리를 평가하는 데 사용할 논리를 정의합니다. 예를 들어 잘못된 것으로 알려진 도메인 목록에 있는 쿼리를 제외한 모든 쿼리를 허용해야 할 수 있습니다. 아니면 반대로 월드 가든(walled garden) 접근법으로 알려진 것처럼 승인된 도메인 목록을 제외한 모든 것을 차단하고 싶을 수도 있습니다. 승인되거나 차단된 도메인 사양 목록을 직접 생성하고 관리할 수 있으며에서 AWS 관리하는 도메인 목록을 사용할 수 있습니다. DNS 방화벽 보호의 경우 쿼리를 모두 차단하여 필터링하거나 위협(DGA, DNS 터널링, 사전 DGA)과 관련된 이상을 포함할 수 있는 도메인에 대한 의심스러운 쿼리 트래픽을 경고하여 DNS 방화벽 설정을 테스트할 수 있습니다. 자세한 내용은 [Resolver DNS 방화벽 도메인 목록](resolver-dns-firewall-domain-lists.md) 및 [해석기 DNS 방화벽 고급](firewall-advanced.md) 섹션을 참조하세요.
+ **방화벽 규칙 그룹 생성(Create a firewall rule group)** - DNS 방화벽에서 VPC에 대한 DNS 쿼리를 필터링하는 규칙 그룹을 생성합니다. 사용할 각 리전에 규칙 그룹을 생성해야 합니다. 여러 VPC에 대한 여러 필터링 시나리오에서 재사용하기 위해 필터링 동작을 둘 이상의 규칙 그룹으로 분리하려 할 수도 있습니다. 규칙 그룹에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
+ **규칙 추가 및 구성** - 규칙 그룹에서 제공할 각 도메인 목록과 필터링 동작에 대한 규칙을 규칙 그룹에 규칙을 추가합니다. 규칙 그룹 내에서 올바른 순서로 처리되도록 규칙의 우선 순위 설정을 설정하여 먼저 평가할 규칙에 가장 낮은 우선 순위를 지정합니다. 규칙에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
+ **VPC에 규칙 그룹 연결** - DNS 방화벽 규칙 그룹을 사용하려면 이를 VPC와 연결합니다. VPC에 대한 규칙 그룹을 두 개 이상 사용하는 경우 규칙 그룹이 올바른 순서로 처리되도록 각 연결의 우선 순위를 설정하여 먼저 평가할 규칙 그룹에 가장 낮은 우선 순위를 지정합니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 단원을 참조하십시오.
+ **(선택 사항) VPC의 방화벽 구성 변경 **- DNS 방화벽이 쿼리에 대한 응답을 다시 보내지 못할 때 Route 53 VPC Resolver가 쿼리를 차단하도록 하려면 VPC Resolver에서 VPC의 DNS 방화벽 구성을 변경합니다. 자세한 내용은 [DNS 방화벽 VPC 구성](resolver-dns-firewall-vpc-configuration.md) 단원을 참조하십시오.
## 여러 리전에서 Resolver DNS 방화벽 규칙 그룹 사용
해석기 DNS 방화벽은 리전 서비스이므로 한 AWS 리전에서 생성한 객체는 해당 리전에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙 그룹을 사용하려면 각 리전에서 규칙을 생성해야 합니다.
규칙 그룹을 생성한 AWS 계정은 다른 AWS 계정과 공유할 수 있습니다. 자세한 내용은 [AWS 계정 간에 Resolver DNS 방화벽 규칙 그룹 공유](resolver-dns-firewall-rule-group-sharing.md) 단원을 참조하십시오.
# Resolver DNS 방화벽의 리전 가용성
DNS 방화벽은 AWS 리전다음에서 사용할 수 있습니다.
+ 아프리카(케이프타운)
+ 아시아 태평양(홍콩)
+ 아시아 태평양(하이데라바드)
+ 아시아 태평양(자카르타)
+ 아시아 태평양(말레이시아)
+ 아시아 태평양(멜버른)
+ 아시아 태평양(뭄바이)
+ Asia Pacific (Osaka) Region
+ 아시아 태평양(서울)
+ 아시아 태평양(싱가포르)
+ 아시아 태평양(시드니)
+ 아시아 태평양(태국)
+ 아시아 태평양(도쿄)
+ 캐나다(중부) 리전
+ 캐나다 서부(캘거리)
+ 유럽(프랑크푸르트) 리전
+ 유럽(아일랜드) 리전
+ Europe (London) Region
+ 유럽(밀라노)
+ 유럽(파리) 리전
+ 유럽(스페인)
+ 유럽(스톡홀름)
+ 유럽(취리히)
+ 이스라엘(텔아비브)
+ 멕시코(중부)
+ Middle East (Bahrain)
+ 중동(UAE)
+ 남아메리카(상파울루)
+ 미국 동부(버지니아 북부)
+ 미국 동부(오하이오)
+ 미국 서부(캘리포니아 북부)
+ 미국 서부(오리건)
+ 중국(베이징)
+ 중국(닝샤)
+ AWS GovCloud (US)
# Resolver DNS 방화벽 시작하기
DNS 방화벽 콘솔에는 다음의 DNS 방화벽 시작하기 단계를 안내하는 마법사가 있습니다.
+ 사용하려는 각 규칙 집합에 대한 규칙 그룹을 생성합니다.
+ 각 규칙에 대해 검사할 도메인 목록을 채웁니다. 자체 도메인 목록을 생성하고 AWS 관리형 도메인 목록을 사용할 수 있습니다.
+ 규칙 그룹을 이를 사용할 VPC에 연결합니다.
## 해석기 DNS 방화벽 벽이 있는 정원 예제
이 자습서에서는 신뢰할 수 있는 선별한 도메인 그룹을 제외한 모든 그룹을 차단하는 규칙 그룹을 만듭니다. 이를 폐쇄형 플랫폼 또는 월드 가든(walled garden) 접근법이라고 합니다.
**콘솔 마법사를 사용하여 DNS 방화벽 규칙 그룹을 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.
- 또는 -
에 로그인 AWS Management Console 하고를 엽니다.
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. **규칙 그룹(Rule groups)** 페이지에서 **규칙 그룹 추가(Add rule group)**를 선택합니다.
1. 규칙 그룹 이름에 **WalledGardenExample**을 입력합니다.
필요에 따라 **태그** 섹션에 태그의 키-값 페어를 입력합니다. 태그를 사용하면 AWS 리소스를 구성하고 관리할 수 있습니다. 자세한 내용은 [Amazon Route 53 리소스 태그 지정](tagging-resources.md) 단원을 참조하십시오.
1. **규칙 그룹 추가**를 선택합니다.
1. **WalledGardenExample** 세부 정보 페이지에서 **규칙 탭**을 선택한 다음 **규칙 추가**를 선택합니다.
1. **규칙 세부 정보** 창에서 ** BlockAll** 규칙 이름을 입력합니다.
1. **도메인 목록(Domain list)** 창에서 **내 도메인 목록 추가(Add my own domain list)**를 선택합니다.
1. **새 도메인 목록 선택 또는 생성(Choose or create a new domain list)**에서 **새 도메인 목록 생성(Create new domain list)**을 선택합니다.
1. 도메인 목록 이름을 입력한 **AllDomains**다음 **행당 하나의 도메인 입력** 텍스트 상자에 별표: **\$1**를 입력합니다.
1. **도메인 리디렉션 설정**의 경우 기본값을 수락하고 **쿼리 유형 - 선택 사항**은 비워둡니다.
1. **작업**에 대해 **BLOCK**을 선택한 다음 보낼 응답을 기본 설정 **NODATA**로 남겨 둡니다.
1. **규칙 추가**를 선택합니다. 규칙 **BlockAll**은 ** WalledGardenExample** 페이지의 **규칙** 탭에 표시됩니다.
1. **WalledGardenExample** 페이지에서 **규칙 추가**를 선택하여 규칙 그룹에 두 번째 규칙을 추가합니다.
1. **규칙 세부 정보** 창에서 ** AllowSelectDomains** 규칙 이름을 입력합니다.
1. **도메인 목록(Domain list)** 창에서 **내 도메인 목록 추가(Add my own domain list)**(Add my own domain list)를 선택합니다.
1. **새 도메인 목록 선택 또는 생성(Choose or create a new domain list)**에서 **새 도메인 목록 생성(Create new domain list)**을 선택합니다.
1. **ExampleDomains** 도메인 목록 이름을 입력합니다.
1. **줄마다 도메인 하나 입력** 텍스트 상자의 첫 번째 줄에 **example.com**을 입력하고 두 번째 줄에 **example.org**를 입력합니다.
**참고**
규칙을 하위 도메인에도 적용하려면 해당 도메인도 목록에 추가해야 합니다. 예를 들어 example.com의 모든 하위 도메인을 추가하려면 **\$1.example.com**을 목록에 추가합니다.
1. **도메인 리디렉션 설정**의 경우 기본값을 수락하고 **쿼리 유형 - 선택 사항**은 비워둡니다.
1. **작업**에 대해 **ALLOW**를 선택합니다.
1. **규칙 추가**를 선택합니다. 규칙은 **WalledGardenExample** 페이지의 ** 규칙** 탭에 모두 표시됩니다.
1. **WalledGardenExample** 페이지의 **규칙** 탭에서 **우선순위 열**에 나열된 번호를 선택하고 새 번호를 입력하여 규칙 그룹의 규칙 평가 순서를 조정할 수 있습니다. DNS 방화벽은 가장 낮은 우선순위 설정에 따라 규칙을 평가하므로 우선순위가 가장 낮은 규칙이 첫 번째로 평가됩니다. 이 예제에서는 DNS 방화벽이 먼저 도메인 선택 목록에 대한 DNS 쿼리를 식별하고 허용한 다음 나머지 쿼리를 모두 차단합니다.
**AllowSelectDomains**의 우선순위가 낮아지도록 규칙 우선순위를 조정합니다.
이제 특정 도메인 쿼리만 허용하는 규칙 그룹이 생겼습니다. 이를 사용하려면 필터링 동작을 사용할 VPC에 연결합니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 단원을 참조하십시오.
## 해석기 DNS 방화벽 블록 목록 예제
이 자습서에서는 악의적이라고 알려진 도메인을 차단하는 규칙 그룹을 생성합니다. 차단 목록의 도메인에 허용되는 DNS 쿼리 유형도 추가합니다. 규칙 그룹은 VPC Resolver를 통한 다른 모든 아웃바운드 DNS 요청을 허용합니다.
**콘솔 마법사를 사용하여 DNS 방화벽 차단 목록을 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.
- 또는 -
에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. **규칙 그룹(Rule groups)** 페이지에서 **규칙 그룹 추가(Add rule group)**를 선택합니다.
1. 규칙 그룹 이름에 **BlockListExample**을 입력합니다.
필요에 따라 **태그** 섹션에 태그의 키-값 페어를 입력합니다. 태그를 사용하면 AWS 리소스를 구성하고 관리할 수 있습니다. 자세한 내용은 [Amazon Route 53 리소스 태그 지정](tagging-resources.md) 단원을 참조하십시오.
1. **BlockListExample** 세부 정보 페이지에서 ** 규칙** 탭을 선택한 다음 **규칙 추가**를 선택합니다.
1. **규칙 세부 정보** 창에서 ** BlockList** 규칙 이름을 입력합니다.
1. **도메인 목록(Domain list)** 창에서 **내 도메인 목록 추가(Add my own domain list)**(Add my own domain list)를 선택합니다.
1. **새 도메인 목록 선택 또는 생성(Choose or create a new domain list)**에서 **새 도메인 목록 생성(Create new domain list)**을 선택합니다.
1. **MaliciousDomains** 도메인 목록 이름을 입력한 다음 텍스트 상자에 차단할 도메인을 입력합니다. 예를 들어 ** example.org**입니다. 줄마다 도메인 하나를 입력합니다.
**참고**
규칙을 하위 도메인에도 적용하려면 해당 도메인도 목록에 추가해야 합니다. 예를 들어 example.org의 모든 하위 도메인을 추가하려면 **\$1.example.org**를 목록에 추가합니다.
1. **도메인 리디렉션 설정**의 경우 기본값을 수락하고 **쿼리 유형 - 선택 사항**은 비워둡니다.
1. 작업에 대해 **BLOCK**을 선택한 다음 보낼 응답을 기본 설정 **NODATA**로 남겨 둡니다.
1. **규칙 추가(Add rule)**를 선택합니다. 규칙은 **BlockListExample** 페이지의 ** 규칙** 탭에 표시됩니다.
1. **BlockedListExample** 페이지의 **규칙** 탭에서 **우선순위 열**에 나열된 번호를 선택하고 새 번호를 입력하여 규칙 그룹의 규칙 평가 순서를 조정할 수 있습니다. DNS 방화벽은 가장 낮은 우선순위 설정에 따라 규칙을 평가하므로 우선순위가 가장 낮은 규칙이 첫 번째로 평가됩니다.
**BlockList**가 있을 수 있는 다른 모든 규칙 전이나 후에 평가되도록 규칙 우선순위를 선택하고 조정합니다. 대부분의 경우 알려진 악성 도메인은 먼저 차단해야 합니다. 즉, 해당 도메인과 관련된 규칙은 우선 순위가 가장 낮아야 합니다.
1. BlockList 도메인에 대한 MX 레코드를 허용하는 규칙을 추가하려면 규칙 탭의 ** BlockedListExample** 세부 정보 페이지에서 **규칙** **추가**를 선택합니다.
1. **규칙 세부 정보** 창에서 ** BlockList-allowMX** 규칙 이름을 입력합니다.
1. **도메인 목록(Domain list)** 창에서 **내 도메인 목록 추가(Add my own domain list)**를 선택합니다.
1. **새 도메인 목록 선택 또는 생성**에서 ** MaliciousDomains**을 선택합니다.
1. **도메인 리디렉션 설정**의 경우 기본값을 수락합니다.
1. **DNS 쿼리 유형** 목록에서 **MX: 메일 서버 지정**을 선택합니다.
1. 작업에 대해 **ALLOW**를 선택합니다.
1. **규칙 추가**를 선택합니다.
1. **BlockedListExample** 페이지의 **규칙** 탭에서 **우선순위 열**에 나열된 번호를 선택하고 새 번호를 입력하여 규칙 그룹의 규칙 평가 순서를 조정할 수 있습니다. DNS 방화벽은 가장 낮은 우선순위 설정에 따라 규칙을 평가하므로 우선순위가 가장 낮은 규칙이 첫 번째로 평가됩니다.
**BlockList-allowMX**가 있을 수 있는 다른 모든 규칙 전이나 후에 평가되도록 규칙 우선순위를 선택하고 조정합니다. MX 쿼리를 허용하려면 **BlockList-allowMX** 규칙의 우선순위가 **BlockList**보다 낮은지 확인합니다.
이제 특정 악성 도메인 쿼리를 차단하지만 특정 DNS 쿼리 유형은 허용하는 규칙 그룹이 생겼습니다. 이를 사용하려면 필터링 동작을 사용할 VPC에 연결합니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 섹션을 참조하세요.
# DNS 방화벽 규칙 그룹 및 규칙
이 섹션에서는 VPC의 DNS 방화벽 동작을 정의하기 위해 구성할 수 있는 DNS 방화벽 규칙 그룹 및 규칙의 설정을 설명합니다. 또한 규칙 그룹 및 규칙의 설정을 관리하는 방법에 대해서도 설명합니다.
규칙 그룹을 원하는 방식으로 구성한 경우 규칙 그룹을 직접 사용하고, 계정 간 및 AWS Organizations의 조직 간에 규칙 그룹을 공유하고 관리할 수 있습니다.
+ 규칙 그룹을 여러 VPC와 연결하여 조직 전체에서 일관된 동작을 실행할 수 있습니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 단원을 참조하세요.
+ 조직 전체에서 일관된 DNS 쿼리 관리를 위해 계정 간에 규칙 그룹을 공유할 수 있습니다. 자세한 내용은 [AWS 계정 간에 Resolver DNS 방화벽 규칙 그룹 공유](resolver-dns-firewall-rule-group-sharing.md) 단원을 참조하세요.
+ AWS Firewall Manager 정책에서 규칙 그룹을 관리 AWS Organizations 하여에서 조직 전체의 규칙 그룹을 사용할 수 있습니다. Firewall Manager[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)에 대한 자세한 내용은 *AWS WAF AWS Firewall Manager, 및 AWS Shield Advanced 개발자 안내서*의 섹션을 참조하세요.
# DNS 방화벽의 규칙 그룹 설정
DNS 방화벽 규칙을 생성하거나 편집할 때 다음 값을 지정합니다.
**이름**
대시보드에서 규칙 그룹을 쉽게 찾을 수 있게 해 주는 고유한 이름입니다.
**(선택 사항) 설명**
규칙 그룹에 대한 추가 컨텍스트를 제공하는 간단한 설명입니다.
**리전**
규칙 그룹을 생성할 때 선택하는 AWS 리전입니다. 한 리전에서 생성한 규칙 그룹은 해당 리전에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙 그룹을 사용하려면 리전마다 규칙 그룹을 생성해야 합니다.
**규칙**
규칙 그룹 필터링 동작은 해당 규칙에 포함되어 있습니다. 자세한 내용은 다음 섹션을 참조하세요.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.
다음은에서 청구서를 구성하기 AWS 위해 AWS 결제 및 비용 관리 제공하는 태그입니다. 비용 할당 태그 사용에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [비용 할당 태그 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)을 참조하세요.
# DNS 방화벽의 규칙 설정
DNS 방화벽 규칙 그룹을 생성하거나 편집할 때 다음 값을 지정합니다.
**이름**
규칙 그룹의 규칙에 대한 고유 식별자입니다.
**(선택 사항) 설명**
규칙에 대한 자세한 정보를 제공하는 간단한 설명입니다.
**도메인 목록**
규칙이 검사하는 도메인 목록입니다. 자신의 도메인 목록을 만들고 관리하거나 AWS 에서 대신 관리하는 도메인 목록에 가입할 수 있습니다. 자세한 내용은 [Resolver DNS 방화벽 도메인 목록](resolver-dns-firewall-domain-lists.md) 단원을 참조하십시오.
규칙에는 도메인 목록 또는 DNS Firewall Advanced 보호를 포함할 수 있지만 둘 다 포함할 수는 없습니다.
**도메인 리디렉션 설정(도메인 목록만 해당)**
DNS 방화벽 규칙에서 CNAME, DNAME 등과 같은 DNS 리디렉션 체인의 첫 번째 도메인 또는 모든 도메인(기본값)만 검사하도록 선택할 수 있습니다. 모든 도메인을 검사하도록 선택한 경우 DNS 리디렉션 체인의 후속 도메인을 도메인 목록에 추가하고 규칙을 수행할 작업인 ALLOW, BLOCK 또는 ALERT로 설정해야 합니다. 자세한 내용은 [해석기 DNS 방화벽 구성 요소 및 설정](resolver-dns-firewall-overview.md#resolver-dns-firewall-components) 단원을 참조하십시오.
**쿼리 유형(도메인 목록만 해당)**
규칙이 검사하는 DNS 쿼리 유형의 목록입니다. 유효한 값은 다음과 같습니다.
+ A: IPv4 주소를 반환합니다.
+ AAAA: Ipv6 주소를 반환합니다.
+ CAA: 도메인에 대한 SSL/TLS 인증을 생성할 수 있는 CA를 제한합니다.
+ CNAME: 다른 도메인 이름을 반환합니다.
+ DS: 위임된 영역의 DNSSEC 서명 키를 식별하는 레코드입니다.
+ MX: 메일 서버를 지정합니다.
+ NAPTR: 정규 표현식을 기반으로 도메인 이름을 다시 작성합니다.
+ NS: 권한 이름 서버입니다.
+ PTR: IP 주소를 도메인 이름에 매핑합니다.
+ SOA: 해당 영역의 권한 레코드를 시작합니다.
+ SPF: 도메인에서 이메일을 보낼 권한이 있는 서버를 나열합니다.
+ SRV: 서버를 식별하는 애플리케이션별 값입니다.
+ TXT: 이메일 발신자와 애플리케이션별 값을 확인합니다.
+ AAAA의 경우 DNS 유형 ID(예: 28)를 사용하여 정의하는 쿼리 유형입니다. 값은 TYPE* NUMBER*로 정의되어야 합니다. 여기서 *NUMBER*는 TYPE28과 같이 1\$165334일 수 있습니다. 자세한 내용은 [DNS 레코드 유형 목록](https://en.wikipedia.org/wiki/List_of_DNS_record_types)을 참조하세요.
규칙당 하나의 쿼리 유형을 생성할 수 있습니다.
**참고**
쿼리 유형에 대한 작업 NXDOMAIN이 AAAA와 동일한 방화벽 차단 규칙을 설정한 경우, DNS64가 활성화될 때 생성된 합성 IPv6 주소에는 이 작업이 적용되지 않습니다.
**DNS Firewall Advanced 보호**
DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 선택할 수 있는 보호는 다음과 같습니다.
+ 도메인 생성 알고리즘(DGA)
DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.
+ DNS 터널링
DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.
+ 사전 DGA
공격자는 사전 DGAs를 사용하여 맬웨어 command-and-control 통신에서 탐지를 회피하는 사전 단어를 사용하여 도메인을 생성합니다.
DNS Firewall Advanced 규칙에서 위협과 일치하는 쿼리를 차단하거나 알리도록 선택할 수 있습니다.
자세한 내용은 [해석기 DNS 방화벽 고급](firewall-advanced.md) 단원을 참조하십시오.
규칙에는 DNS Firewall Advanced 보호 또는 도메인 목록을 포함할 수 있지만 둘 다 포함할 수는 없습니다.
**신뢰도 임계값(DNS Firewall Advanced만 해당)**
DNS Firewall Advanced의 신뢰도 임계값입니다. DNS 방화벽 고급 규칙을 생성할 때 이 값을 제공해야 합니다. 신뢰 수준 값은 다음을 의미합니다.
+ 높음 - 오탐지율이 낮고 가장 확실히 확인된 위협만 탐지합니다.
+ 중간 - 위협 탐지와 오탐지 간의 균형을 제공합니다.
+ 낮음 - 위협 탐지율이 가장 높지만 오탐지도 증가합니다.
자세한 내용은 [DNS 방화벽의 규칙 설정](#resolver-dns-firewall-rule-settings) 단원을 참조하십시오.
**작업**
도메인 이름이 규칙의 도메인 목록에 있는 사양과 일치하는 DNS 쿼리를 DNS 방화벽이 처리하도록 하는 방법입니다. 자세한 내용은 [DNS 방화벽의 규칙 동작](resolver-dns-firewall-rule-actions.md) 섹션을 참조하세요.
**우선순위**
처리 순서를 결정하는 규칙 그룹 내의 규칙에 대한 고유한 양의 정수 설정입니다. DNS Firewall은 우선 순위가 가장 낮은 설정에서 높은 설정 순으로 규칙 그룹의 규칙에 대해 DNS 쿼리를 검사합니다. 처리 순서를 변경하거나 다른 규칙을 위한 공간을 확보하려면 언제든 규칙의 우선 순위를 변경할 수 있습니다.
# DNS 방화벽의 규칙 동작
DNS 방화벽이 DNS 쿼리와 규칙의 도메인 사양 간에 일치하는 항목을 찾으면 규칙에 지정된 작업이 쿼리에 적용됩니다.
생성하는 각 규칙에서 다음 옵션 중 하나를 지정해야 합니다.
+ ** Allow ** - 쿼리 검사를 중지하고 쿼리가 통과하도록 허용합니다. DNS Firewall Advanced에는 사용할 수 없습니다.
+ ** Alert ** - 쿼리 검사를 중지하고, 쿼리가 통과하도록 허용하고, Route 53 VPC Resolver 로그에 쿼리에 대한 알림을 기록합니다.
+ ** Block ** - 쿼리 검사를 중단하고 의도한 대상으로 가는 것을 차단한 다음 Route 53 VPC Resolver 로그에 쿼리에 대한 차단 작업을 기록합니다.
다음에서 구성된 블록 응답으로 회신합니다.
+ ** NODATA ** - 쿼리가 성공했지만 사용할 수 있는 응답이 없음을 나타내는 응답입니다.
+ ** NXDOMAIN **- 쿼리의 도메인 이름이 존재하지 않음을 나타내는 응답입니다.
+ ** OVERRIDE **- 응답에 사용자 지정 재정의를 제공합니다. 이 옵션은 다음과 같은 추가 설정이 필요합니다.
+ ** Record value ** - 쿼리에 대한 응답으로 다시 보낼 사용자 지정 DNS 레코드입니다.
+ ** Record type **- DNS 레코드의 유형입니다. 이렇게 하면 레코드 값의 형식을 결정할 수 있습니다. 반드시 `CNAME`이여야 합니다.
+ ** Time to live in seconds **- DNS 해석기 또는 웹 브라우저가 재정의 레코드를 캐싱하고 다시 수신되는 경우이 쿼리에 대한 응답으로 사용할 수 있는 권장 시간입니다. 기본적으로 0이며 레코드는 캐시되지 않습니다.
쿼리 로그 구성 및 내용에 대한 자세한 사항은 [Resolver 쿼리 로깅](resolver-query-logs.md) 및 [VPC Resolver 쿼리 로그에 표시되는 값](resolver-query-logs-format.md) 섹션을 참조하세요.
**Alert를 사용하여 차단 규칙 테스트**
차단 규칙을 처음 만들 때 Alert로 설정된 작업으로 규칙을 구성하여 테스트할 수 있습니다. 그런 다음 규칙이 경고하는 쿼리 수를 확인하여 작업을 Block으로 설정한 경우 몇 개나 차단했는지 확인할 수 있습니다.
# DNS 방화벽 규칙 그룹 및 규칙 관리
콘솔에서 규칙 그룹 및 규칙을 관리하려면 이 섹션의 지침을 따르세요.
규칙 및 도메인 목록과 같은 DNS 방화벽 엔터티를 변경하면 DNS Firewall은 엔터티가 저장되고 사용되는 모든 곳에 변경 사항을 전파합니다. 변경 사항은 몇 초 이내에 적용되지만 변경 사항이 한 위치에는 적용되었는데 다른 위치에는 아직 적용되지 않았을 때 짧은 불일치 기간이 있을 수도 있습니다. 예를 들어, 차단 규칙에서 참조하는 도메인 목록에 도메인을 추가하는 경우 새 도메인이 VPC의 한 영역에서는 짧게 차단되는데 다른 영역에서 계속 허용될 수도 있습니다. 이러한 일시적인 불일치는 규칙 그룹 및 VPC 연결을 처음 구성할 때와 기존 설정을 변경할 때 발생할 수 있습니다. 일반적으로 이러한 유형의 불일치는 몇 초 동안만 일어납니다.
# 규칙 그룹 및 규칙 생성
규칙 그룹을 생성하고 규칙을 추가하려면 이 절차의 단계를 따릅니다.
**규칙 그룹 및 규칙을 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.
- 또는 -
AWS Management Console 에 로그인하고
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. **규칙 그룹 추가(Add rule group)**를 선택한 다음, 마법사 지침에 따라 규칙 그룹 및 규칙 설정을 지정합니다.
전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 그룹 설정](resolver-dns-firewall-rule-group-settings.md)을 참조하세요.
전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md)을 참조하세요.
# 규칙 그룹 및 규칙 보기 및 갱신
다음 절차에 따라 규칙 그룹과 할당된 규칙을 볼 수 있습니다. 규칙 그룹 및 규칙 설정을 업데이트할 수도 있습니다.
**규칙 그룹을 보고 업데이트하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.
- 또는 -
AWS Management Console 에 로그인하고
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. 보거나 편집할 규칙 그룹을 선택한 다음 **세부 정보 보기(View details)**를 선택합니다.
1. 규칙 그룹의 페이지에서 설정을 보고 편집할 수 있습니다.
전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 그룹 설정](resolver-dns-firewall-rule-group-settings.md)을 참조하세요.
전달 규칙의 값에 대한 자세한 내용은 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md)을 참조하세요.
# 규칙 그룹 삭제
전달 규칙을 삭제하려면 다음 절차를 수행하세요.
**중요**
VPC PC와 연결된 규칙 그룹을 삭제하면 DNS 방화벽이 연결을 제거하고 규칙 그룹이 VPC에 제공한 보호를 중지합니다.
**DNS 방화벽 엔터티 삭제**
규칙 그룹에서 사용할 수 있는 도메인 목록이나 VPC와 연결할 수 있는 규칙 그룹과 같은 DNS 방화벽에서 사용할 수 있는 엔티티를 삭제하는 경우 DNS 방화벽은 해당 엔티티가 현재 사용 중인지 확인합니다. 사용 중인 것으로 확인되면 DNS 방화벽에서 경고를 표시합니다. DNS 방화벽은 거의 항상 엔터티가 사용 중인지 확인할 수 있습니다. 그러나 드물지만 이러한 작업을 수행할 수 없는 경우도 있습니다. 현재 아무 것도 엔터티를 사용하고 있지 않다는 것을 확인해야 하는 경우 해당 엔티티를 삭제하기 전에 해당 DNS 방화벽 구성에서 확인하세요. 엔터티가 참조된 도메인 목록인 경우에도 어떤 규칙 그룹도 해당 엔티티를 사용하고 있지 않음을 확인합니다. 엔터티가 규칙 그룹인 경우 해당 엔터티가 VPC와 연결되어 있지 않은지 확인합니다.
**규칙 그룹을 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 3단계를 진행합니다.
- 또는 -
AWS Management Console 에 로그인하고
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. 삭제할 규칙 그룹을 선택한 다음 ** 삭제**를 선택하고 삭제를 확인합니다.
# Resolver DNS 방화벽 도메인 목록
*도메인 목록(domain list)*은 규칙 그룹 내부의 DNS 방화벽 규칙에서 사용하는 재사용 가능한 도메인 사양 집합입니다. 규칙 그룹을 VPC 와 연결하면 DNS 방화벽은 규칙에 사용되는 도메인 목록과 DNS 쿼리를 비교합니다. 일치하는 항목을 찾으면 일치 규칙의 작업에 따라 DNS 쿼리를 처리합니다. 규칙 그룹에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
도메인 목록을 사용하면 명시적 도메인 사양을 해당 항목에 대해 수행하려는 작업과 구분할 수 있습니다. 여러 규칙에서 단일 도메인 목록을 사용할 수 있으며 도메인 목록에 대한 업데이트는 해당 도메인 목록을 사용하는 모든 규칙에 자동으로 영향을 줍니다.
도메인 목록은 두 가지 주요 범주로 나뉩니다.
+ 가 자동으로 AWS 생성하고 유지 관리하는 관리형 도메인 목록입니다.
+ 사용자가 생성하고 유지 관리하는 자체 도메인 목록입니다.
이 섹션에서는 사용자에게 제공되는 관리형 도메인 목록의 유형에 대해 설명하고 사용자가 원할 경우 자체 도메인 목록을 생성하고 관리하도록 필요한 지침을 제공합니다.
# 관리형 도메인 목록
관리형 도메인 목록에는 악의적인 활동 또는 기타 잠재적 위협과 관련된 도메인 이름이 포함되어 있습니다.는 이러한 목록을 AWS 유지 관리하여 Route 53 VPC Resolver 고객이 DNS 방화벽을 사용할 때 아웃바운드 DNS 쿼리를 무료로 확인할 수 있도록 합니다.
끊임없이 변화하는 위협 환경을 놓치지 않고 파악하려면 많은 시간과 비용이 들 수 있습니다. 관리형 도메인 목록은 DNS Firewall을 구현하고 사용할 때 시간을 절약할 수 있습니다.는 새로운 취약성 및 위협이 발생할 때 목록을 AWS 자동으로 업데이트합니다. AWS 는 종종 공개 전에 새로운 취약성에 대한 알림을 받기 때문에 DNS 방화벽은 새로운 위협이 널리 알려지기 전에 완화 조치를 배포할 수 있습니다.
관리형 도메인 목록은 일반적인 웹 위협으로부터 사용자를 보호하도록 설계되었으며 애플리케이션에 대한 또 다른 보안 계층을 추가해 줍니다. AWS 관리형 도메인 목록은 내부 AWS 소스와 [ RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) 모두에서 데이터를 소싱하며 지속적으로 업데이트됩니다. 그러나 AWS 관리형 도메인 목록은 선택한 AWS 리소스에 따라 결정 Amazon GuardDuty되는와 같은 다른 보안 제어를 대체하기 위한 것이 아닙니다.
프로덕션 환경에서 관리형 도메인 목록을 사용하기 전에 규칙 작업을 `Alert`로 설정하여 비프로덕션 환경에서 테스트하는 것이 가장 좋습니다. Resolver DNS 방화벽 샘플링 요청 또는 DNS 방화벽 로그와 결합된 Amazon CloudWatch 지표를 사용하여 규칙을 평가합니다. 규칙이 원하는 대로 수행되는 것에 만족하면 필요에 따라 작업 설정을 변경합니다.
**사용 가능한 AWS 관리형 도메인 목록**
이 섹션에서는 현재 사용할 수 있는 관리형 도메인 목록을 설명합니다. 이러한 목록이 지원되는 리전에 있는 경우 도메인 목록을 관리할 때와 규칙에 대한 도메인 목록을 지정할 때 도메인 목록이 콘솔에 표시됩니다. 로그에서 도메인 목록은 `firewall_domain_list_id field` 내에 기록됩니다.
AWS 는 Resolver DNS 방화벽의 모든 사용자가 사용할 수 있는 리전에서 다음과 같은 관리형 도메인 목록을 제공합니다.
+ `AWSManagedDomainsMalwareDomainList` - - 맬웨어 전송, 맬웨어 호스팅 또는 맬웨어 배포와 관련된 도메인입니다.
+ `AWSManagedDomainsBotnetCommandandControl` - 스팸 맬웨어에 감염된 컴퓨터의 네트워크 제어와 관련된 도메인입니다.
+ `AWSManagedDomainsAggregateThreatList` - 멀웨어, 랜섬웨어, 봇넷, 스파이웨어 및 DNS 터널링을 포함한 여러 DNS 위협 범주와 연결된 도메인은 여러 유형의 위협을 차단하는 데 도움이 됩니다. `AWSManagedDomainsAggregateThreatList`는 여기에 나열된 다른 AWS 관리형 도메인 목록에 있는 모든 도메인을 포함합니다.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Amazon GuardDuty DNS 보안 탐지 결과와 관련된 도메인. 도메인은 GuardDuty의 위협 인텔리전스 시스템에서만 제공되며 외부 서드 파티 소스에서 가져온 도메인은 포함되지 않습니다. 더 구체적으로, 현재 이 목록은 GuardDuty에서 내부적으로 생성되고 다음 탐지에 사용되는 도메인만 차단합니다. Impact:EC2/AbusedDomainRequest.Reputation, Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation, Impact:Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, Impact:Runtime/MaliciousDomainRequest.Reputation.
자세한 내용은 *Amazon GuardDuty 사용 설명서*의 [유형 찾기](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)를 참조하세요.
AWS 관리형 도메인 목록은 다운로드하거나 찾아볼 수 없습니다. 지적 재산을 보호하기 위해 AWS 관리형 도메인 목록 내에서 개별 도메인 사양을 보거나 편집할 수 없습니다. 이러한 제한을 통해 악의적인 사용자가 게시된 목록을 교묘하게 회피하는 위협을 설계하지 못하도록 할 수 있습니다.
**관리형 도메인 목록을 테스트하려면**
관리형 도메인 목록을 테스트할 수 있도록 다음과 같은 도메인 세트를 제공합니다.
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList 및 AWSManagedDomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
이러한 도메인은 차단되지 않은 경우 1.2.3.4로 확인됩니다. VPC에서 관리형 도메인 목록을 사용하는 경우 이러한 도메인을 쿼리하면 규칙의 차단 조치가 설정된 응답(예: NODATA)이 반환됩니다.
관리형 도메인 목록에 대한 자세한 내용은 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.
다음 표에는 AWS 관리형 도메인 목록의 리전 가용성이 나열되어 있습니다.
**관리형 도메인 목록 리전 가용성**
| 리전 | 관리형 도메인 목록을 사용할 수 있습니까? |
| --- | --- |
| 아프리카(케이프타운) | 예 |
| 아시아 태평양(홍콩) | 예 |
| 아시아 태평양(하이데라바드) | 예 |
| 아시아 태평양(자카르타) | 예 |
| 아시아 태평양(말레이시아) | 예 |
| 아시아 태평양(멜버른) | 예 |
| 아시아 태평양(뭄바이) | 예 |
| Asia Pacific (Osaka) Region | 예 |
| 아시아 태평양(서울) | 예 |
| 아시아 태평양(싱가포르) | 예 |
| 아시아 태평양(시드니) | 예 |
| 아시아 태평양(태국) | 예 |
| 아시아 태평양(도쿄) | 예 |
| 캐나다(중부) 리전 | 예 |
| 캐나다 서부(캘거리) | 예 |
| 유럽(프랑크푸르트) 리전 | 예 |
| 유럽(아일랜드) 리전 | 예 |
| 유럽(런던) 리전 | 예 |
| 유럽(밀라노) | 예 |
| 유럽(파리) 리전 | 예 |
| 유럽(스페인) | 예 |
| 유럽(스톡홀름) | 예 |
| 유럽(취리히) | 예 |
| 이스라엘(텔아비브) | 예 |
| Middle East (Bahrain) | 예 |
| 중동(UAE) | 예 |
| 남아메리카(상파울루) | 예 |
| 미국 동부(버지니아 북부) | 예 |
| 미국 동부(오하이오) | 예 |
| 미국 서부(캘리포니아 북부) | 예 |
| 미국 서부(오리건) | 예 |
| 중국(베이징) | 예 |
| 중국(닝샤) | 예 |
| AWS GovCloud (US) | 예 |
**추가 보안 고려 사항**
AWS 관리형 도메인 목록은 일반적인 웹 위협으로부터 사용자를 보호하도록 설계되었습니다. 설명서에 따라 사용할 경우 이러한 목록에는 애플리케이션에 대한 또 다른 보안 계층이 추가됩니다. 그러나 관리형 도메인 목록은 사용자가 선택한 AWS 리소스에 따라 결정되는 보안 컨트롤을 대체하기 위한 것이 아닙니다. 의 리소스 AWS 가 제대로 보호되도록 하려면 [공동 책임 모델의](https://aws.amazon.com/compliance/shared-responsibility-model/) 지침을 참조하세요.
**거짓 긍정 시나리오 완화**
쿼리를 차단하기 위해 관리형 도메인 목록을 사용하는 규칙에서 거짓 긍정 시나리오가 발생하는 경우 다음 단계를 수행합니다.
1. VPC Resolver 로그에서 거짓 긍정을 유발하는 규칙 그룹 및 관리형 도메인 목록을 식별합니다. 이렇게 하려면 DNS 방화벽이 차단하고 있지만 허용하려는 쿼리에 대한 로그를 찾습니다. 로그 레코드에는 규칙 그룹, 규칙 작업 및 관리형 목록이 나열됩니다. 로그에 대한 자세한 내용은 [VPC Resolver 쿼리 로그에 표시되는 값](resolver-query-logs-format.md) 섹션을 참조하세요.
1. 차단된 쿼리를 명시적으로 허용하는 규칙 그룹에 새 규칙을 생성합니다. 규칙을 만들 때 허용하려는 도메인 사양만 사용하여 자체 도메인 목록을 정의할 수 있습니다. [규칙 그룹 및 규칙 생성](resolver-dns-firewall-rule-group-adding.md)에 있는 규칙 그룹 및 규칙 관리에 대한 지침을 따르세요.
1. 관리형 목록을 사용하는 규칙보다 먼저 실행되도록 규칙 그룹 내에서 새 규칙의 우선 순위를 지정합니다. 이렇게 하려면 새 규칙에 더 낮은 숫자의 우선 순위 설정을 부여합니다.
규칙 그룹을 업데이트하면 새 규칙은 차단 규칙이 실행되기 전에 허용할 도메인 이름을 명시적으로 허용합니다.
# 자체 도메인 목록 관리
자체 도메인 목록을 생성하여 관리형 도메인 목록에서 찾을 수 없거나 직접 처리하는 것을 선호하는 도메인 범주를 지정할 수 있습니다.
이 섹션에 설명된 절차 외에도 콘솔에서 규칙을 생성하거나 업데이트할 때 Resolver DNS 방화벽 규칙 관리의 컨텍스트에서 도메인 목록을 생성할 수 있습니다.
도메인 목록의 각 도메인 사양은 다음 요구 사항을 충족해야 합니다.
+ 필요에 따라 `*`(별표)로 시작할 수 있습니다.
+ 선택적 시작 별표와 마침표를 제외하고 레이블 사이의 구분 기호로 , `A-Z` , `a-z``0-9`, `-` (하이픈) 문자만 포함해야 합니다.
+ 1\$1255자 길이여야 합니다.
규칙 및 도메인 목록과 같은 DNS 방화벽 엔터티를 변경하면 DNS Firewall은 엔터티가 저장되고 사용되는 모든 곳에 변경 사항을 전파합니다. 변경 사항은 몇 초 이내에 적용되지만 변경 사항이 한 위치에는 적용되었는데 다른 위치에는 아직 적용되지 않았을 때 짧은 불일치 기간이 있을 수도 있습니다. 예를 들어, 차단 규칙에서 참조하는 도메인 목록에 도메인을 추가하는 경우 새 도메인이 VPC의 한 영역에서는 짧게 차단되는데 다른 영역에서 계속 허용될 수도 있습니다. 이러한 일시적인 불일치는 규칙 그룹 및 VPC 연결을 처음 구성할 때와 기존 설정을 변경할 때 발생할 수 있습니다. 일반적으로 이러한 유형의 불일치는 몇 초 동안만 일어납니다.
**프로덕션 환경에서 사용하기 전에 도메인 목록을 테스트하세요.**
프로덕션 환경에서 도메인 목록을 사용하기 전에 규칙 작업을 `Alert`로 설정하여 비프로덕션 환경에서 테스트하는 것이 가장 좋습니다. Amazon CloudWatch 지표와 VPC Resolver 로그를 사용하여 규칙을 평가합니다. 로그는 모든 경고 및 차단 작업에 대한 도메인 목록 이름을 제공합니다. 도메인 목록이 원하는 방식으로 DNS 쿼리와 일치하는 것이 만족스러우면 필요에 따라 규칙 작업 설정을 변경합니다. CloudWatch 지표 및 쿼리 로그에 대한 자세한 내용은 [Amazon CloudWatch를 사용하여 Resolver DNS 방화벽 규칙 그룹 모니터링](monitoring-resolver-dns-firewall-with-cloudwatch.md), [VPC Resolver 쿼리 로그에 표시되는 값](resolver-query-logs-format.md), 및 [Resolver 쿼리 로깅 구성 관리](resolver-query-logging-configurations-managing.md) 섹션을 참조하세요.
**도메인 목록을 추가하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다. 계속해서 2단계를 진행합니다.
- 또는 -
AWS Management Console 에 로그인하고
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **DNS 방화벽** 아래에서 **도메인 목록**을 선택합니다. **도메인 목록(Domain lists)** 페이지에서 기존 도메인 목록을 선택하고 편집할 수 있으며 자신의 도메인 목록을 추가할 수도 있습니다.
1. 도메인 목록을 추가하려면 **도메인 목록 추가(Domain lists)**를 선택합니다.
1. 도메인 목록의 이름을 입력한 다음 텍스트 상자에 한 줄에 하나씩 도메인 사양을 입력합니다.
**대량 업로드로 전환(Switch to bulk upload)**을 **켜는** 경우 도메인 목록을 생성한 Amazon S3 버킷의 URI를 입력합니다. 이 도메인 목록에는 한 줄에 하나씩 도메인 이름이 있어야 합니다.
**참고**
도메인 이름이 중복되면 대량 가져오기가 실패합니다.
1. **도메인 목록 추가(Add Domain lists)**를 선택합니다. **도메인 목록(Domain lists)** 페이지에는 새 도메인 목록이 나열됩니다.
도메인 목록을 만들면 DNS 방화벽 규칙에서 이름을 기준으로 도메인 목록을 참조할 수 있습니다.
**DNS 방화벽 엔터티 삭제**
규칙 그룹에서 사용할 수 있는 도메인 목록이나 VPC와 연결할 수 있는 규칙 그룹과 같은 DNS 방화벽에서 사용할 수 있는 엔티티를 삭제하는 경우 DNS 방화벽은 해당 엔티티가 현재 사용 중인지 확인합니다. 사용 중인 것으로 확인되면 DNS 방화벽에서 경고를 표시합니다. DNS 방화벽은 거의 항상 엔터티가 사용 중인지 확인할 수 있습니다. 그러나 드물지만 이러한 작업을 수행할 수 없는 경우도 있습니다. 현재 아무 것도 엔터티를 사용하고 있지 않다는 것을 확인해야 하는 경우 해당 엔티티를 삭제하기 전에 해당 DNS 방화벽 구성에서 확인하세요. 엔터티가 참조된 도메인 목록인 경우에도 어떤 규칙 그룹도 해당 엔티티를 사용하고 있지 않음을 확인합니다. 엔터티가 규칙 그룹인 경우 해당 엔터티가 VPC와 연결되어 있지 않은지 확인합니다.
**도메인 목록을 삭제하려면**
1. 탐색 창에서 **도메인 목록(Domain lists)**을 선택합니다.
1. 탐색 모음에서 도메인 목록에 해당하는 리전을 선택합니다.
1. 삭제할 도메인 목록을 선택한 다음 ** 삭제**를 선택하고 삭제를 확인합니다.
# 해석기 DNS 방화벽 고급
DNS Firewall Advanced는 DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 규칙 그룹 내에서, DNS Firewall 규칙에 사용하는 규칙의 위협 유형을 지정할 수 있습니다. 규칙 그룹을 VPC와 연결하면 DNS Firewall은 규칙에서 플래그가 지정된 도메인 목록과 DNS 쿼리를 비교합니다. 일치하는 항목을 찾으면 일치 규칙의 작업에 따라 DNS 쿼리를 처리합니다.
DNS Firewall Advanced는 요청의 타임스탬프, 요청 및 응답 빈도, DNS 쿼리 문자열, 아웃바운드 및 인바운드 DNS 쿼리의 길이, 유형 또는 크기를 포함한 DNS 페이로드의 다양한 키 식별자를 검사하여 의심스러운 DNS 위협 서명을 식별하는 방식으로 작동합니다. 위협 서명의 유형에 따라 차단하는 정책을 구성하거나 단순히 쿼리를 로깅하고 알릴 수 있습니다. 확장된 위협 식별자 세트를 사용하면 더 광범위한 보안 커뮤니티에서 유지 관리하는 위협 인텔리전스 피드를 통해 아직 분류되지 않았을 수 있는 도메인 소스의 DNS 위협을 방지할 수 있습니다.
현재 DNS Firewall Advanced는 다음에 대한 보호를 제공합니다.
+ 도메인 생성 알고리즘(DGA)
DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.
+ DNS 터널링
DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.
+ 사전 DGA
공격자는 사전 DGAs를 사용하여 맬웨어 command-and-control 통신에서 탐지를 회피하는 사전 단어를 사용하여 도메인을 생성합니다.
규칙 생성 방법을 알아보려면 [규칙 그룹 및 규칙 생성](resolver-dns-firewall-rule-group-adding.md) 및 [DNS 방화벽의 규칙 설정](resolver-dns-firewall-rule-settings.md) 섹션을 참조하세요.
**거짓 긍정 시나리오 완화**
DNS Firewall Advanced를 사용하여 쿼리를 차단하는 규칙에서 오탐지 시나리오가 발생하는 경우 다음 단계를 수행합니다.
1. VPC Resolver 로그에서 거짓 긍정을 유발하는 규칙 그룹 및 DNS 방화벽 고급 보호를 식별합니다. 이렇게 하려면 DNS 방화벽이 차단하고 있지만 허용하려는 쿼리에 대한 로그를 찾습니다. 로그 레코드에는 규칙 그룹, 규칙 작업, DNS Firewall Advanced 보호가 나열됩니다. 로그에 대한 자세한 내용은 [VPC Resolver 쿼리 로그에 표시되는 값](resolver-query-logs-format.md) 섹션을 참조하세요.
1. 차단된 쿼리를 명시적으로 허용하는 규칙 그룹에 새 규칙을 생성합니다. 규칙을 만들 때 허용하려는 도메인 사양만 사용하여 자체 도메인 목록을 정의할 수 있습니다. [규칙 그룹 및 규칙 생성](resolver-dns-firewall-rule-group-adding.md)에 있는 규칙 그룹 및 규칙 관리에 대한 지침을 따르세요.
1. 관리형 목록을 사용하는 규칙보다 먼저 실행되도록 규칙 그룹 내에서 새 규칙의 우선 순위를 지정합니다. 이렇게 하려면 새 규칙에 더 낮은 숫자의 우선 순위 설정을 부여합니다.
규칙 그룹을 업데이트하면 새 규칙은 차단 규칙이 실행되기 전에 허용할 도메인 이름을 명시적으로 허용합니다.
# DNS 방화벽에 대한 로깅 구성
Amazon CloudWatch 지표와 Resolver 쿼리 로그를 사용하여 DNS 방화벽 규칙을 평가할 수 있습니다. 로그는 모든 경고 및 차단 작업에 대한 도메인 목록 이름을 제공합니다. Amazon CloudWatch에 대한 자세한 내용은 [Amazon CloudWatch를 사용하여 Resolver DNS 방화벽 규칙 그룹 모니터링](monitoring-resolver-dns-firewall-with-cloudwatch.md) 섹션을 참조하세요.
DNS 방화벽을 활성화하여 VPC에 연결하고 로깅을 사용하도록 설정한 경우 ` firewall_rule_group_id`, `firewall_rule_action` 및 ` firewall_domain_list_id`는 로그 내에 제공되는 DNS 방화벽 관련 필드입니다.
**참고**
쿼리 로그의 추가 DNS 방화벽 필드에는 DNS 방화벽 규칙으로 차단된 쿼리만 표시됩니다.
VPC에서 시작되는 DNS 방화벽 규칙으로 필터링하는 DNS 쿼리 로깅을 시작하려면 Amazon Route 53 콘솔에서 다음 태스크를 수행합니다.
**DNS 방화벽에 대한 Resolver 쿼리 로깅을 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. Route 53 콘솔 메뉴를 확장합니다. 콘솔의 왼쪽 상단 모서리에서 세 개의 가로 막대(![\[Menu icon\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/menu-icon.png)) 아이콘을 선택합니다.
1. Resolver 메뉴에서**쿼리 로깅(Query logging)**을 선택합니다.
1. 리전 선택기에서 쿼리 로깅 구성을 생성할 AWS 리전을 선택합니다.
이 리전은 쿼리를 로그하려는 DNS 방화벽과 연결된 VPC를 생성한 리전과 동일해야 합니다. 여러 리전에 VPC가 있는 경우 리전별로 쿼리 로깅 구성을 하나 이상 생성해야 합니다.
1. **쿼리 로깅 구성(Configure query logging)**을 선택합니다.
1. 다음 값을 지정하세요.
**쿼리 로깅 구성 이름**
쿼리 로깅 구성의 이름을 입력합니다. 이 이름은 쿼리 로깅 구성 목록의 콘솔에 표시됩니다. 나중에 이 구성을 찾는 데 도움이 되는 이름을 입력합니다.
**쿼리 로그 대상**
VPC Resolver가 쿼리 로그를 전송할 AWS 리소스 유형을 선택합니다. 옵션(CloudWatch Logs 로그 그룹, S3 버킷, Kinesis Data Firehose 전송 스트림) 중에서 선택하는 방법에 대한 자세한 내용은 [AWS VPC Resolver 쿼리 로그를 보낼 수 있는 리소스](resolver-query-logs-choosing-target-resource.md) 섹션을 참조하세요.
리소스 유형을 선택한 후 해당 유형의 다른 리소스를 생성하거나 현재 AWS 계정에서 생성한 기존 리소스를 선택할 수 있습니다.
쿼리 로깅 구성을 만드는 리전, 곧 4단계에서 선택한 AWS 리전에서 생성된 리소스만 선택할 수 있습니다. 새 리소스를 생성하도록 선택하면 해당 리소스가 동일한 리전에서 생성됩니다.
**쿼리를 로그할 VPC**
이 쿼리 로깅 구성은 선택한 VPC에서 시작된 DNS 쿼리를 로그합니다. VPC Resolver가 쿼리를 로깅할 현재 리전의 각 VPC에 대한 확인란을 선택한 다음 **선택을** 선택합니다.
VPC 로그 전송은 특정 대상 유형에 대해 한 번만 사용할 수 있습니다. 로그는 동일한 유형의 여러 대상으로 전송될 수 없습니다. 예를 들어, VPC 로그는 두 개의 Amazon S3 대상으로 전송될 수 없습니다.
1. **쿼리 로깅 구성(Configure query logging)**을 선택합니다.
**참고**
쿼리 로깅 구성을 생성한 후 몇 분 내에 VPC의 리소스가 만든 DNS 쿼리를 로그에서 확인할 있어야 합니다.
# AWS 계정 간에 Resolver DNS 방화벽 규칙 그룹 공유
계정 간에 DNS 방화벽 규칙 그룹을 공유할 수 AWS 있습니다. 규칙 그룹을 공유하려면 AWS Resource Access Manager ()를 사용합니다AWS RAM. DNS 방화벽 콘솔은 AWS RAM 콘솔과 통합됩니다. 에 대한 자세한 내용은 [Resource Access Manager 사용 설명서를](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) AWS RAM참조하세요.
다음 사항에 유의하세요.
**공유된 규칙 그룹을 VPC에 연결**
다른 AWS 계정이 규칙 그룹을 계정과 공유한 경우 생성한 규칙 그룹을 연결하는 것과 동일한 방식으로 VPCs와 연결할 수 있습니다. 자세한 내용은 [VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리](resolver-dns-firewall-vpc-associating-rule-group.md) 단원을 참조하십시오.
**공유된 규칙 그룹 삭제 또는 공유 해제**
규칙 그룹을 다른 계정과 공유한 다음 규칙 그룹을 삭제하거나 공유를 중지하는 경우 DNS 방화벽은 규칙 그룹과 해당 VPC 간에 다른 계정이 생성한 모든 연결을 제거합니다.
**규칙 그룹 및 연결에 대한 최대 설정**
공유된 규칙 그룹 및 VPC와의 연결은 규칙 그룹이 공유되는 계정의 수에 포함됩니다.
현재 DNS 방화벽 할당량은 [Resolver DNS 방화벽의 할당량](DNSLimitations.md#limits-api-entities-resolver-dns-firewall) 섹션을 참조하세요.
**권한**
규칙 그룹을 다른 AWS 계정과 공유하려면 [ PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html) 작업을 사용할 권한이 있어야 합니다.
**규칙 그룹이 공유되는 AWS 계정에 대한 제한 사항**
규칙 그룹이 공유되는 계정은 규칙 그룹을 변경하거나 삭제할 수 없습니다.
**태그 지정**
규칙 그룹을 생성한 계정만 규칙 그룹의 태그를 추가하거나 삭제하거나 볼 수 있습니다.
규칙 그룹의 현재 공유 상태를 보고(규칙 그룹을 공유한 계정 또는 규칙 그룹이 공유되는 계정 포함) 규칙 그룹을 다른 계정과 공유하려면 다음 절차를 수행하세요.
**공유 상태를 보고 규칙 그룹을 다른 AWS 계정과 공유하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Rule groups(규칙 그룹)**를 선택합니다.
1. 탐색 모음에서 규칙 그룹을 생성한 리전을 선택합니다.
현재 계정이 생성하거나 현재 계정과 공유되는 규칙 그룹의 현재 공유 상태가 **Sharing status(공유 상태)** 열에 표시됩니다.
+ **공유되지 않음**: 현재 AWS 계정이 규칙 그룹을 생성했으며 규칙 그룹은 다른 계정과 공유되지 않습니다.
+ **나와 공유됨(Shared by me)**: 현재 계정이 규칙 그룹을 생성하고 하나 이상의 계정과 공유했습니다.
+ **나와 공유 상태(Shared with me)**: 다른 계정이 규칙 그룹을 생성하고 현재 계정과 공유했습니다.
1. 공유 정보를 표시하거나 다른 계정과 공유할 규칙 그룹의 이름을 선택합니다.
**규칙 그룹(Rule group): *규칙 그룹 이름(rule group name)*** 페이지에서 **소유자(Owner)** 아래의 값은 규칙 그룹을 생성한 계정의 ID를 나타냅니다. **Sharing status(공유 상태)**의 값이 **나와 공유 상태**가 아닐 경우 현재 계정입니다. 이 경우 ** 소유자**는 규칙 그룹을 생성하고 현재 계정과 공유한 계정입니다.
1. **공유(Share)**를 선택하여 추가 정보를 보거나 규칙 그룹을 다른 계정과 공유합니다. **공유 상태** 값에 따라 AWS RAM 콘솔에 페이지가 나타납니다.
+ **공유하지 않음**: **리소스 공유 생성** 페이지가 표시됩니다. 규칙 그룹을 다른 계정, 조직 단위(OU) 또는 조직과 공유하는 방법에 대한 자세한 내용은 이 단계를 참조하세요.
+ **나와 공유됨(Shared by me)**: **공유 리소스(Shared resources)** 페이지에 현재 계정이 소유하고 다른 계정과 공유한 규칙 그룹 및 다른 리소스가 표시됩니다.
+ **나와 공유 상태(Shared with me)**: **공유 리소스(Shared resources)** 페이지에 다른 계정이 소유하고 현재 계정과 공유한 규칙 그룹 및 다른 리소스가 표시됩니다.
1. 규칙 그룹을 다른 AWS 계정, OU 또는 조직과 공유하려면 다음 값을 지정합니다.
**참고**
공유 설정을 업데이트할 수 없습니다. 다음 설정 중 하나라도 변경하려면 규칙 그룹을 새로운 설정과 다시 공유한 후 이전 공유 설정을 제거해야 합니다.
**설명**
규칙 그룹을 공유한 이유를 기억나게 해주는 간단한 설명을 입력합니다.
**리소스**
공유할 규칙 그룹의 확인란을 선택합니다.
**보안 주체**
AWS 계정 번호, OU 이름 또는 조직 이름을 입력합니다.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 ** 키**에 **비용 센터를** 지정하고 ** 값에** **456**을 지정할 수 있습니다.
에서 AWS 청구서를 구성하기 위해 AWS 결제 및 비용 관리 제공하는 태그입니다. 다른 용도로도 태그를 사용할 수 있습니다. 비용 할당 태그 사용에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [비용 할당 태그 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)을 참조하십시오.
# VPC에 대한 해석기 DNS 방화벽 보호 활성화
하나 이상의 규칙 그룹을 VPC와 연결하여 VPC 대해 DNS 방화벽 보호를 활성화합니다. VPC가 DNS 방화벽 규칙 그룹과 연결될 때마다 Route 53 VPC Resolver는 다음과 같은 DNS 방화벽 보호를 제공합니다.
+ VPC Resolver는 DNS 방화벽을 통해 VPC의 아웃바운드 DNS 쿼리를 라우팅하고 DNS 방화벽은 연결된 규칙 그룹을 사용하여 쿼리를 필터링합니다.
+ VPC Resolver는 VPC의 DNS 방화벽 구성에서 설정을 적용합니다.
VPC에 DNS 방화벽 보호를 제공하려면 다음을 수행합니다.
+ DNS 방화벽 규칙 그룹과 VPC 간의 연결을 생성하고 관리합니다. 규칙 그룹에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md) 섹션을 참조하세요.
+ DNS 방화벽이 DNS 쿼리에 대한 응답을 제공하지 않는 경우와 같이 장애 발생 시 VPC Resolver가 VPC에 대한 DNS 쿼리를 처리하도록 하는 방법을 구성합니다.
# VPC와 Resolver DNS 방화벽 규칙 그룹 간의 연결 관리
**규칙 그룹의 VPC 연결을 보려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
탐색 창에서 **DNS 방화벽**을 선택하여 Amazon VPC 콘솔에서 DNS 방화벽 **규칙 그룹** 페이지를 엽니다.
- 또는 -
AWS Management Console 에 로그인하고
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **DNS 방화벽** 아래에서 **규칙 그룹**을 선택합니다.
1. 탐색 모음에서 규칙 그룹에 대한 리전을 선택합니다.
1. 연결할 규칙 그룹을 선택합니다.
1. **세부 정보 보기**를 선택합니다. 규칙 그룹 페이지가 표시됩니다.
1. 맨 아래에 규칙 및 관련 VPC가 포함된 탭 세부 정보 영역이 표시됩니다. **연결된 VPC(Associated VPCs)** 탭을 선택합니다.
**규칙 그룹을 VPC 와 연결하려면**
1. [이전 절차](resolver-dns-firewall-rule-group-sharing.md) **규칙 그룹의 VPC 연결을 보려면(To view a rule group's VPC associations)**에 있는 지침에 따라 규칙 그룹의 VPC 연결을 찾습니다.
1. **연결된 VPC(Associated VPCs)** 탭에서 **VPC 연결**을 선택합니다.
1. 드롭다운 메뉴에서 규칙 그룹과 연결할 VPC를 찾습니다. 해당 VPC를 선택한 다음 **연결**을 선택합니다.
규칙 그룹 페이지에서 VPC는 **연결된 VPC(Associated VPCs)** 탭에 나열됩니다. 처음에는 연결의 **상태(Status)**에서 **업데이트 중**을 보고합니다. 연결이 완료되면 상태가 **완료**로 변경됩니다.
**규칙 그룹과 VPC 간의 연결을 제거하려면**
1. [이전 절차](resolver-dns-firewall-rule-group-sharing.md) **규칙 그룹의 VPC 연결을 보려면(To view a rule group's VPC associations)**에 있는 지침에 따라 규칙 그룹의 VPC 연결을 찾습니다.
1. 목록에서 제거할 VPC를 선택한 다음 ** 연결 해제를** 선택합니다. 확인한 다음 작업을 확인합니다.
규칙 그룹 페이지에서 VPC는 **연결된 VPC(Associated VPCs)** 탭에 **연결 해제 중(Disassociating)** 상태로 나열됩니다. 작업이 완료되면 DNS 방화벽이 목록을 업데이트하여 VPC를 제거합니다.
# DNS 방화벽 VPC 구성
VPC에 대한 DNS 방화벽 구성은 Route 53 VPC Resolver가 DNS 방화벽이 손상되거나 응답하지 않거나 영역에서 사용할 수 없는 경우와 같이 실패 시 쿼리를 허용할지 또는 차단할지 여부를 결정합니다. VPC Resolver는 VPC와 연결된 DNS 방화벽 규칙 그룹이 하나 이상 있을 때마다 VPC의 방화벽 구성을 적용합니다.
VPC를 구성하여 오류 열기 또는 오류 닫기를 수행할 수 있습니다.
+ 기본적으로 실패 모드는 닫힙니다. 즉, VPC Resolver는 DNS 방화벽에서 응답을 수신하지 않는 모든 쿼리를 차단하고 ` SERVFAIL` DNS 응답을 전송합니다. 이 접근 방식은 가용성보다 보안을 우선합니다.
+ 실패 열기를 활성화하면 VPC Resolver는 DNS 방화벽으로부터 응답을 받지 못하는 경우를 통한 쿼리를 허용합니다. 이 접근 방식은 보안보다 가용성을 우선합니다.
**VPC 대한 DNS 방화벽 구성을 변경하려면(콘솔)**
1. 에 로그인 AWS Management Console 하고 [ https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) VPC Resolver 콘솔을 엽니다.
1. 탐색 창의 **해석기**에서 ** VPCs** 선택합니다.
1. **VPC**페이지에서 VPC를 찾아 편집합니다. 필요에 따라 DNS 방화벽 구성을 오류 열기나 오류 닫기로 변경합니다.
**VPC에 대한 DNS 방화벽 동작을 변경하려면(API)**
+ [ UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)를 호출하고를 활성화 또는 비활성화하여 VPC 방화벽 구성을 업데이트합니다` FirewallFailOpen`.
[ ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html).