Como funciona o Route 53 Resolver DNS Firewall - Amazon Route 53
DNSComponentes e configurações do firewallComo o Route 53 Resolver DNS Firewall filtra as DNS consultasEtapas de alto nível para usar o Firewall DNSUsando grupos de regras de DNS firewall em várias regiões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona o Route 53 Resolver DNS Firewall

O Route 53 Resolver DNS Firewall permite que você controle o acesso a sites e bloqueie ameaças em DNS nível de bloqueio para DNS consultas que saem de você VPC por meio do Route 53 Resolver. Com o DNS Firewall, você define regras de filtragem de nomes de domínio em grupos de regras que você associa ao seuVPCs. Você pode especificar listas de nomes de domínio para permitir ou bloquear e personalizar as respostas para as DNS consultas que você bloqueia. Você também pode ajustar as listas de domínios para permitir a passagem de determinados tipos de consulta, como registros MX.

DNSO firewall filtra apenas o nome do domínio. Ele não resolve esse nome para um endereço IP a ser bloqueado. Além disso, o DNS Firewall filtra o DNS tráfego, mas não filtra outros protocolos da camada de aplicaçãoHTTPS, comoSSH,TLS,FTP, e assim por diante.

Componentes e configurações do Route 53 Resolver DNS Firewall

Você gerencia o DNS Firewall com os seguintes componentes e configurações centrais.

DNSGrupo de regras de firewall

Define uma coleção nomeada e reutilizável de regras de DNS firewall para DNS filtrar consultas. Você preenche o grupo de regras com as regras de filtragem e associa o grupo de regras a uma ou mais. VPCs Ao associar um grupo de regras a umVPC, você ativa a filtragem do DNS Firewall para o. VPC Então, quando o Resolver recebe uma DNS consulta para uma VPC que tem um grupo de regras associado a ela, o Resolver passa a consulta para o DNS Firewall para filtragem.

Se você associar vários grupos de regras a um únicoVPC, você indica sua ordem de processamento por meio da configuração de prioridade em cada associação. DNSO firewall processa grupos de regras para uma configuração VPC da menor prioridade numérica até a configuração.

Para obter mais informações, consulte DNSGrupos de regras e regras de firewall.

DNSRegra de firewall

Define uma regra de filtragem para DNS consultas em um grupo de regras de DNS firewall. Cada regra especifica uma lista de domínios e uma ação a ser executada em DNS consultas cujos domínios correspondam às especificações de domínio na lista. Você pode permitir, bloquear ou alertar sobre consultas ou tipos de consulta correspondentes para os domínios na lista. Por exemplo, você pode bloquear ou permitir um tipo de consulta MX para um domínio ou domínios específicos. Você também pode definir respostas personalizadas para consultas bloqueadas.

Cada regra em um grupo de regras tem uma configuração de prioridade exclusiva dentro do grupo de regras. DNSO firewall processa as regras em um grupo de regras a partir da configuração de prioridade numérica mais baixa.

DNSAs regras de firewall existem somente no contexto do grupo de regras em que estão definidas. Não é possível reutilizar uma regra ou referenciá-la independentemente do grupo de regras.

Para obter mais informações, consulte DNSGrupos de regras e regras de firewall.

Lista de domínios

Define uma coleção nomeada e reutilizável de especificações de domínio para uso na DNS filtragem. Cada regra em um grupo de regras requer uma única lista de domínios. Você pode optar por especificar os domínios aos quais deseja permitir acesso, os domínios aos quais deseja negar acesso ou uma combinação de ambos. Você pode criar suas próprias listas de domínios e usar listas de domínios que AWS gerenciam para você.

Para obter mais informações, consulte Listas de domínio do Route 53 Resolver DNS Firewall.

Configuração de redirecionamento de domínio

A configuração de redirecionamento de domínio permite que você configure uma regra de DNS firewall para inspecionar todos os domínios na cadeia de DNS redirecionamento (padrão), comoCNAME, etc.DNAME, ou apenas o primeiro domínio e confiar no resto. Se você optar por inspecionar toda a cadeia de DNS redirecionamento, deverá adicionar os domínios subsequentes a uma lista de domínios definida ALLOW na regra. Se você optar por inspecionar toda a cadeia de DNS redirecionamento, deverá adicionar os domínios subsequentes a uma lista de domínios e definir a ação que deseja que a regra execute, sejaALLOW, BLOCK ou. ALERT

Para obter mais informações, consulte Configurações de regras no DNS Firewall.

Tipo da consulta

A configuração do tipo de consulta permite que você configure uma regra de DNS firewall para filtrar um determinado tipo de DNS consulta. Se você não selecionar um tipo de consulta, a regra será aplicada a todos os tipos de DNS consulta. Por exemplo, talvez você queira bloquear todos os tipos de consulta de um domínio específico, mas permitir registros MX.

Para obter mais informações, consulte Configurações de regras no DNS Firewall.

Associação entre um grupo de regras de DNS firewall e um VPC

Define uma proteção para VPC o uso de um grupo de regras de DNS Firewall e ativa a configuração do Resolver DNS Firewall para VPC o.

Se você associar vários grupos de regras a um únicoVPC, você indica sua ordem de processamento por meio da configuração de prioridade nas associações. DNSO firewall processa grupos de regras para uma configuração VPC da menor prioridade numérica até a configuração.

Para obter mais informações, consulte Ativando as proteções do Route 53 Resolver DNS Firewall para seu VPC.

Configuração DNS do Resolver Firewall para um VPC

Especifica como o Resolver deve lidar com as proteções de DNS firewall no VPC nível. Essa configuração entra em vigor sempre que você tem pelo menos um grupo de regras de DNS Firewall associado aoVPC.

Essa configuração especifica como o Route 53 Resolver lida com as consultas quando o DNS Firewall não consegue filtrá-las. Por padrão, se o Resolver não receber uma resposta do DNS Firewall para uma consulta, ele falhará no fechamento e bloqueará a consulta.

Para obter mais informações, consulte DNSVPCConfiguração do firewall.

Monitorando ações de DNS firewall

Você pode usar CloudWatch a Amazon para monitorar o número de DNS consultas que são filtradas por grupos de regras do DNS Firewall. CloudWatch coleta e processa dados brutos em métricas legíveis e quase em tempo real.

Para obter mais informações, consulte Monitorando grupos de regras do Route 53 Resolver DNS Firewall com a Amazon CloudWatch.

Você pode usar a Amazon EventBridge, um serviço sem servidor que usa eventos para conectar componentes do aplicativo e criar aplicativos escaláveis orientados por eventos.

Para obter mais informações, consulte Gerenciando eventos do Route 53 Resolver DNS Firewall usando Amazon EventBridge.

Como o Route 53 Resolver DNS Firewall filtra as DNS consultas

Quando um grupo de regras de DNS firewall é associado ao seu resolvedor VPC do Route 53, o tráfego a seguir é filtrado pelo firewall:

  • DNSconsultas originadas dentro disso. VPC

  • DNSconsultas que passam pelos endpoints do Resolver de recursos locais para os mesmos VPC que têm o DNS Firewall associado ao resolvedor.

Quando o DNS Firewall recebe uma DNS consulta, ele filtra a consulta usando os grupos de regras, as regras e outras configurações que você configurou e envia os resultados de volta ao Resolver:

  • DNSO firewall avalia a DNS consulta usando os grupos de regras associados ao VPC até encontrar uma correspondência ou esgotar todos os grupos de regras. DNSO firewall avalia os grupos de regras na ordem da prioridade que você define na associação, começando com a configuração numérica mais baixa. Para ter mais informações, consulte DNSGrupos de regras e regras de firewall e Ativando as proteções do Route 53 Resolver DNS Firewall para seu VPC.

  • Em cada grupo de regras, o DNS Firewall avalia a DNS consulta em relação à lista de domínios de cada regra até encontrar uma correspondência ou esgotar todas as regras. DNSO firewall avalia as regras em ordem de prioridade, começando com a configuração numérica mais baixa. Para obter mais informações, consulte DNSGrupos de regras e regras de firewall.

  • Quando o DNS Firewall encontra uma correspondência com a lista de domínios de uma regra, ele encerra a avaliação da consulta e responde ao Resolver com o resultado. Se a ação foralert, o DNS Firewall também enviará um alerta para os registros configurados do Resolver. Para ter mais informações, consulte Ações de regras no DNS Firewall e Listas de domínio do Route 53 Resolver DNS Firewall.

  • Se o DNS Firewall avaliar todos os grupos de regras sem encontrar uma correspondência, ele responderá à consulta normalmente.

O resolvedor roteia a consulta de acordo com a resposta do DNS Firewall. No caso improvável de o DNS Firewall não responder, o Resolver aplica o modo de falha VPC do DNS Firewall configurado. Para obter mais informações, consulte DNSVPCConfiguração do firewall.

Etapas de alto nível para usar o Route 53 Resolver Firewall DNS

Para implementar a filtragem do Route 53 Resolver DNS Firewall em sua Amazon Virtual Private CloudVPC, você executa as seguintes etapas de alto nível.

  • Definir sua abordagem de filtragem e suas listas de domínio: decida como você deseja filtrar consultas, identifique as especificações de domínio necessárias e defina a lógica que você usará para avaliar consultas. Por exemplo, talvez você queira permitir todas as consultas, exceto aquelas que estão em uma lista de domínios inválidos conhecidos. Ou você pode querer fazer o oposto e bloquear todos, exceto uma lista aprovada de domínios, no que é conhecido como uma abordagem de jardim murado. Você pode criar e gerenciar suas próprias listas de especificações de domínio aprovadas ou bloqueadas e usar listas de domínios que AWS gerenciam para você. Para obter informações sobre listas de domínios, consulte. Listas de domínio do Route 53 Resolver DNS Firewall

  • Crie um grupo de regras de firewall — No DNS Firewall, crie um grupo de regras para filtrar DNS as consultas do seuVPC. Você deve criar um grupo de regras em cada região onde deseja usá-lo. Talvez você também queira separar seu comportamento de filtragem em mais de um grupo de regras para reutilização em vários cenários de filtragem diferentes. VPCs Para obter informações sobre grupos de regras, consulte DNSGrupos de regras e regras de firewall.

  • Adicionar e configurar suas regras: adicione uma regra ao grupo de regras para cada lista de domínios e comportamento de filtragem que você deseja que o grupo de regras forneça. Defina as configurações de prioridade para suas regras para que elas sejam processadas na ordem correta dentro do grupo de regras, dando a prioridade mais baixa à regra que você deseja avaliar primeiro. Para obter mais informações sobre regras, consulte DNSGrupos de regras e regras de firewall.

  • Associe o grupo de regras ao seu VPC — Para começar a usar o grupo de regras do DNS Firewall, associe-o ao seuVPC. Se você estiver usando mais de um grupo de regras para o seuVPC, defina a prioridade de cada associação para que os grupos de regras sejam processados na ordem correta, dando a menor prioridade ao grupo de regras que você deseja avaliar primeiro. Para obter mais informações, consulte Gerenciando associações entre você VPC e o grupo de regras do Route 53 Resolver DNS Firewall.

  • (Opcional) Altere a configuração do firewall para o VPC — Se você quiser que o Route 53 Resolver bloqueie as consultas quando o DNS Firewall falhar em enviar uma resposta para elas, em Resolver, altere a configuração VPC do DNS Firewall. Para obter mais informações, consulte DNSVPCConfiguração do firewall.

Usando grupos de regras do Route 53 Resolver DNS Firewall em várias regiões

O Route 53 Resolver DNS Firewall é um serviço regional, portanto, os objetos que você cria em uma AWS região estão disponíveis somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.

A AWS conta que criou um grupo de regras pode compartilhá-lo com outras AWS contas. Para obter mais informações, consulte Compartilhando grupos de regras do Route 53 Resolver DNS Firewall entre AWS contas.