Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configurações de regra no Firewall DNS

PDF
RSS
Modo de foco
Configurações de regra no Firewall DNS - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ao criar ou editar uma regra em um grupo de regras do Firewall DNS, especifique os seguintes valores:

Name

O identificador exclusivo da regra a ser excluída do grupo de regras.

Descrição (opcional)

Uma breve descrição que fornece mais informações sobre a regra.

Lista de domínios

A lista de domínios que a regra inspeciona. Você pode criar e gerenciar sua própria lista de domínios ou pode se inscrever em uma lista de domínios que a AWS gerencia para você. Para obter mais informações, consulte Listas de domínios do Firewall DNS do Route 53 Resolver.

Uma regra pode conter uma lista de domínios ou uma proteção avançada de firewall de DNS, mas não ambas.

Configuração de redirecionamento de domínio (somente listas de domínios)

Você pode escolher se a regra do DNS Firewall inspecionará apenas o primeiro domínio ou todos (padrão) os domínios na cadeia de redirecionamento de DNS, como CNAME, DNAME etc. Se optar por inspecionar todos os domínios, deverá adicionar os domínios subsequentes na cadeia de direcionamento de DNS a uma lista de domínios e definir a ação que deseja que a regra aplique, PERMITIR, BLOQUEAR ou ALERTAR. Para obter mais informações, consulte Componentes e configurações do Firewall DNS do Route 53 Resolver.

Tipo de consulta (somente listas de domínios)

A lista de tipos de consulta ao DNS que a regra inspeciona. Os valores válidos são os seguintes:

  • R: Retorna um IPv4 endereço.

  • AAAA: retorna um endereço IPv6.

  • CAA: restrições CAs que podem criar certificações SSL/TLS para o domínio.

  • CNAME: retorna outro nome de domínio.

  • DS: registro que identifica a chave de assinatura DNSSEC de uma zona delegada.

  • MX: especifica servidores de e-mail.

  • NAPTR: Regular-expression-based reescrita de nomes de domínio.

  • NS: servidores de nomes legítimos.

  • PTR: mapeia um endereço IP para um nome de domínio.

  • SOA: início do registo de autoridade (SOA) para a zona.

  • SPF: lista os servidores autorizados a enviar e-mails de um domínio.

  • SRV: valores específicos da aplicação que identificam servidores.

  • TXT: verifica os remetentes de e-mail e os valores específicos da aplicação.

  • Um tipo de consulta que você define usando o ID de tipo de DNS, por exemplo, 28 para AAAA. Os valores devem ser definidos como TYPENUMBER, onde NUMBER podem ser 1-65334, por exemplo,. TYPE28 Para obter mais informações, consulte List of DNS record types.

    Você pode criar um único tipo de consulta por regra.

    nota

    Se você configurar uma regra BLOCK de firewall com a ação NXDOMAIN no tipo de consulta igual a AAAA, essa ação não será aplicada aos IPv6 endereços sintéticos gerados quando ativada. DNS64

Proteção avançada do firewall DNS

Detecta consultas suspeitas de DNS com base em assinaturas de ameaças conhecidas em consultas de DNS. Você pode escolher a proteção de:

  • Algoritmos de geração de domínio (DGAs)

    DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.

  • Tunelamento de DNS

    O tunelamento DNS é usado por invasores para exfiltrar dados do cliente usando o túnel DNS sem fazer uma conexão de rede com o cliente.

Em uma regra avançada de firewall de DNS, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça.

Para obter mais informações, consulte Route 53 Resolver DNS Firewall Avançado.

Uma regra pode conter uma proteção avançada de firewall de DNS ou uma lista de domínios, mas não ambas.

Limite de confiança (somente DNS Firewall Advanced)

O limite de confiança para o DNS Firewall Advanced. Você deve fornecer esse valor ao criar uma regra avançada de firewall de DNS. Os valores do nível de confiança significam:

  • Alto — Detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.

  • Médio — Proporciona um equilíbrio entre a detecção de ameaças e falsos positivos.

  • Baixo — fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.

Para obter mais informações, consulte Configurações de regra no Firewall DNS.

Ação

Como você deseja que o Firewall DNS manipule uma consulta de DNS cujo nome de domínio corresponda às especificações na lista de domínios da regra. Para obter mais informações, consulte Ações de regra no Firewall DNS.

Prioridade

A configuração de inteiro positivo exclusivo para a regra no grupo de regras que determina a ordem de processamento. O DNS Firewall inspeciona consultas de DNS contra as regras em um grupo de regras começando com a configuração de prioridade numérica mais baixa e indo para cima. Você pode alterar a prioridade de uma regra a qualquer momento, por exemplo, para alterar a ordem de processamento ou abrir espaço para outras regras.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.