As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Uso do DNS Firewall para filtrar tráfego de DNS de entrada
Com o Resolver DNS Firewall, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente.
O Firewall DNS fornece proteção para solicitações de DNS de saída do seu. VPCs Essas solicitações são roteadas por meio do VPC Resolver para resolução de nomes de domínio. Um uso principal das proteções do Firewall DNS é ajudar a impedir a exfiltração de DNS de seus dados. A exfiltração de DNS pode ocorrer quando um ator proibido compromete uma instância da aplicação em sua VPC e, em seguida, usa a pesquisa DNS para enviar dados da VPC para um domínio que eles controlam. Com o Firewall DNS, você pode monitorar e controlar os domínios que as aplicações podem consultar. Você pode negar acesso aos domínios que você sabe que são incorretos e permitir que todas as outras consultas passem. Como alternativa, você pode negar acesso a todos os domínios, exceto aqueles em que você confia explicitamente.
Você também pode usar o Firewall DNS para bloquear solicitações de resolução para recursos em zonas hospedadas privadas (compartilhadas ou locais), incluindo nomes de endpoint da VPC. Ele também pode bloquear solicitações de nomes de instâncias públicas ou privadas do Amazon EC2.
O Firewall DNS é um recurso do Route 53 VPC Resolver e não requer nenhuma configuração adicional do VPC Resolver para ser usado.
**AWS Firewall Manager suporta DNS Firewall**
Você pode usar o Firewall Manager para configurar e gerenciar centralmente suas associações de grupos de regras do Firewall DNS para VPCs todas as suas contas em. AWS Organizations O Firewall Manager adiciona automaticamente associações para VPCs que entrem no escopo de sua política de firewall DNS do Firewall Manager. Para obter mais informações, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)no *AWS WAF AWS Firewall Manager, e no Guia AWS Shield Advanced do desenvolvedor*.
**Como o DNS Firewall funciona com AWS Network Firewall**
O Firewall DNS e o Network Firewall oferecem filtragem de nomes de domínio, mas para diferentes tipos de tráfego. Com o Firewall DNS e o Network Firewall juntos, você pode configurar a filtragem baseada em domínio para o tráfego da camada de aplicação em dois caminhos de rede diferentes.
+ O DNS Firewall fornece filtragem para consultas DNS de saída que passam pelo Route 53 VPC Resolver a partir de aplicativos dentro do seu. VPCs Você também pode configurar o Firewall DNS para enviar respostas personalizadas para consultas a nomes de domínio bloqueados.
+ O Network Firewall fornece filtragem para o tráfego da camada de rede e do aplicativo, mas não tem visibilidade das consultas feitas pelo Resolvedor de VPC do Route 53.
Para obter mais informações sobre Network Firewall, consulte o [Guia do desenvolvedor do Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
# Como funciona o Resolver DNS Firewall
O Resolver DNS Firewall permite controlar o acesso a sites e bloquear ameaças no nível de DNS para consultas de DNS que saem da sua VPC por meio do Route 53 VPC Resolver. Com o Firewall DNS, você define regras de filtragem de nomes de domínio em grupos de regras que você associa ao seu. VPCs Você pode especificar listas de nomes de domínio para permitir ou bloquear, ou resolver regras avançadas do firewall DNS que oferecem proteção contra o tunelamento de DNS e ameaças baseadas no algoritmo de geração de domínio (DGA). É possível personalizar as respostas para as consultas ao DNS que você bloqueia. Para regras que contêm uma lista de domínios, você também pode ajustar a regra para permitir determinados tipos de consulta, como registros MX.
O Firewall DNS filtra apenas o nome de domínio. Ele não resolve esse nome para um endereço IP a ser bloqueado. Além disso, o DNS Firewall filtra tráfego de DNS, mas não filtra outros protocolos da camada de aplicação, como HTTPS, SSH, TLS, FTP etc.
## Componentes e configurações do Resolver DNS Firewall
Você gerencia o Firewall DNS com os seguintes componentes centrais e configurações.
**Grupo de regras do Firewall DNS**
Define uma coleção nomeada e reutilizável de regras de Firewall DNS para filtrar consultas de DNS. Você preenche o grupo de regras com as regras de filtragem e associa o grupo de regras a uma ou mais. VPCs Quando você associa um grupo de regras a uma VPC, você habilita a filtragem do Firewall DNS para a VPC. Então, quando o VPC Resolver recebe uma consulta DNS para um VPC que tem um grupo de regras associado a ele, o VPC Resolver passa a consulta para o DNS Firewall para filtragem.
Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade em cada associação. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.
Para obter mais informações, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
**Regra do Firewall DNS**
Define uma regra de filtragem para consultas de DNS em um grupo de regras do Firewall DNS. Cada regra especifica uma lista de domínios ou proteção do Firewall de DNS e uma ação a ser tomada em consultas ao DNS cujos domínios correspondam às especificações de domínio na regra. Você pode permitir (apenas regras com listas de domínios), bloquear ou alertar sobre consultas correspondentes. Nas regras com listas de domínios, também é possível especificar tipos de consulta para os domínios da lista. Por exemplo, você pode bloquear ou permitir um tipo de consulta MX para um ou mais domínios específicos. Você também pode definir respostas personalizadas para consultas bloqueadas.
Para regras do Firewall de DNS, você pode apenas bloquear ou alertar sobre consultas correspondentes.
Cada regra em um grupo de regras tem uma configuração de prioridade exclusiva dentro do grupo de regras. O Firewall DNS processa as regras em um grupo de regras por ordem de prioridade, começando pela configuração mais baixa.
As regras do Firewall DNS existem apenas no contexto do grupo de regras no qual estão definidas. Não é possível reutilizar uma regra ou referenciá-la independentemente do grupo de regras.
Para obter mais informações, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
**Lista de domínios**
Define uma coleção nomeada e reutilizável de especificações de domínio para uso na filtragem DNS. Cada regra em um grupo de regras requer uma única lista de domínios. Você pode optar por especificar os domínios aos quais deseja permitir acesso, os domínios aos quais deseja negar acesso ou uma combinação de ambos. Você pode criar suas próprias listas de domínios e usar listas de domínios que AWS gerenciam para você.
Para obter mais informações, consulte [Listas de domínios do DNS Firewall do Resolver](resolver-dns-firewall-domain-lists.md).
**Configuração do redirecionamento do domínio (apenas listas de domínios)**
A configuração de redirecionamento de domínio permite que você configure uma regra do DNS Firewall para inspecionar todos os domínios na cadeia de redirecionamento de DNS (padrão), como CNAME, DNAME etc., ou para inspecionar apenas o primeiro domínio e confiar no resto. Se você optar por inspecionar toda a cadeia de redirecionamento de DNS, deverá adicionar os domínios subsequentes a uma lista de domínios definida como PERMITIR na regra. Se optar por inspecionar toda a cadeia de redirecionamento de DNS, você deverá adicionar os domínios subsequentes a uma lista de domínios e definir a ação que deseja que a regra aplique, PERMITIR, BLOQUEAR ou ALERTAR.
Para obter mais informações, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
**Tipo de consulta (apenas listas de domínios)**
Definir o tipo de consulta permite que você configure uma regra do DNS Firewall para filtrar um determinado tipo de consulta ao DNS. Se você não selecionar um tipo de consulta, a regra será aplicada a todos os tipos de consulta ao DNS. Por exemplo, talvez você queira bloquear todos os tipos de consulta de um domínio específico, mas permitir registros MX.
Para obter mais informações, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
**Proteção do Firewall de DNS Avançado.**
Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. Cada regra em um grupo de regras precisa de uma única configuração de proteção do Firewall de DNS Avançado. É possível escolher proteção contra:
+ Algoritmos de geração de domínio (DGAs)
DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Tunelamento de DNS
O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
+ Dicionário DGA
DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control
Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça. Os algoritmos de proteção contra ameaças são gerenciados e atualizados pelo AWS.
Para obter mais informações, consulte [Resolver DNS Firewall Avançado](firewall-advanced.md).
**Limiar de confiança (apenas proteção do Firewall de DNS Avançado)**
O limiar de confiança para proteção contra ameaças ao DNS. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:
+ Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.
+ Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.
+ Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.
Para obter mais informações, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
**Associação entre um grupo de regras do Firewall DNS e uma VPC**
Define uma proteção para uma VPC usando um grupo de regras do DNS Firewall e ativa a configuração do VPC Resolver DNS Firewall para a VPC.
Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade nas associações. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.
Para obter mais informações, consulte [Ativando as proteções do Resolver DNS Firewall para sua VPC](resolver-dns-firewall-vpc-protections.md).
**Configuração do firewall DNS para uma VPC**
Especifica como o VPC Resolver deve lidar com as proteções do DNS Firewall no nível da VPC. Essa configuração terá efeito sempre que você tiver pelo menos um grupo de regras do Firewall DNS associado à VPC.
Essa configuração especifica como o Route 53 VPC Resolver lida com consultas quando o DNS Firewall não consegue filtrá-las. Por padrão, se o VPC Resolver não receber uma resposta do Firewall DNS para uma consulta, ele falhará ao fechar e bloqueará a consulta.
Para obter mais informações, consulte [Configuração da VPC do Firewall DNS](resolver-dns-firewall-vpc-configuration.md).
**Monitoramento de ações do DNS Firewall**
Você pode usar CloudWatch a Amazon para monitorar o número de consultas de DNS que são filtradas por grupos de regras do DNS Firewall. CloudWatch coleta e processa dados brutos em métricas legíveis e quase em tempo real.
Para obter mais informações, consulte [Monitorando grupos de regras do Resolver DNS Firewall com a Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).
Você pode usar a Amazon EventBridge, um serviço sem servidor que usa eventos para conectar componentes do aplicativo e criar aplicativos escaláveis orientados por eventos.
Para obter mais informações, consulte [Gerenciando eventos do Resolver DNS Firewall usando Amazon EventBridge](dns-firewall-eventbridge-integration.md).
## Como o Resolver DNS Firewall filtra as consultas de DNS
Quando um grupo de regras do DNS Firewall é associado ao Route 53 VPC Resolver da sua VPC, o tráfego a seguir é filtrado pelo firewall:
+ Consultas ao DNS que são originadas nessa VPC e passam pelo DNS da VPC.
+ Consultas de DNS que passam por endpoints do Resolver de recursos on-premises para a mesma VPC que tem o DNS Firewall associado ao seu resolvedor.
Quando o DNS Firewall recebe uma consulta de DNS, ele filtra a consulta usando os grupos de regras, as regras e outras configurações que você definiu e envia os resultados de volta para o VPC Resolver:
+ O Firewall DNS avalia a consulta de DNS usando os grupos de regras associados à VPC até encontrar uma correspondência ou esgotar todos os grupos de regras. O Firewall DNS avalia os grupos de regras na ordem da prioridade que você definiu na associação, começando com a configuração numérica mais baixa. Para obter mais informações, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md) e [Ativando as proteções do Resolver DNS Firewall para sua VPC](resolver-dns-firewall-vpc-protections.md).
+ Dentro de cada grupo de regras, o Firewall DNS avalia a consulta de DNS em relação à lista de domínios de cada regra ou a proteções do Firewall de DNS Avançado até encontrar uma correspondência ou esgotar todas as regras. O DNS Firewall avalia as regras em ordem de prioridade, começando com a configuração numérica mais baixa. Para obter mais informações, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
+ Quando o DNS Firewall encontra uma correspondência com a lista de domínios de uma regra ou anomalias identificadas pelas proteções de regras avançadas do Firewall DNS, ele encerra a avaliação da consulta e responde ao VPC Resolver com o resultado. Se a ação for`alert`, o DNS Firewall também enviará um alerta para os registros configurados do VPC Resolver. Para obter mais informações, consulte [Ações de regra no Firewall DNS](resolver-dns-firewall-rule-actions.md), [Listas de domínios do DNS Firewall do Resolver](resolver-dns-firewall-domain-lists.md) e [Resolver DNS Firewall Avançado](firewall-advanced.md).
+ Se o Firewall DNS avaliar todos os grupos de regras sem encontrar uma correspondência, ele responderá à consulta normalmente.
O VPC Resolver roteia a consulta de acordo com a resposta do DNS Firewall. No caso improvável de o Firewall DNS falhar em responder, o VPC Resolver aplica o modo de falha do Firewall DNS configurado da VPC. Para obter mais informações, consulte [Configuração da VPC do Firewall DNS](resolver-dns-firewall-vpc-configuration.md).
## Etapas de alto nível para usar o Resolver DNS Firewall
Para implementar a filtragem do Resolver DNS Firewall em sua VPC da Amazon Virtual Private Cloud, você executa as seguintes etapas de alto nível.
+ **Defina sua abordagem de filtragem, suas listas de domínios ou proteções do Firewall de DNS**: decida como deseja filtrar as consultas, identifique as especificações de domínio necessárias e defina a lógica que você usará para avaliar as consultas. Por exemplo, talvez você queira permitir todas as consultas, exceto aquelas que estão em uma lista de domínios inválidos conhecidos. Ou você pode querer fazer o oposto e bloquear todos, exceto uma lista aprovada de domínios, no que é conhecido como uma abordagem de jardim murado. Você pode criar e gerenciar suas próprias listas de especificações de domínio aprovadas ou bloqueadas e usar listas de domínios que AWS gerenciam para você. Para proteções do DNS Firewall, você pode filtrar as consultas bloqueando todas elas ou pode alertar sobre qualquer tráfego de consulta suspeito para domínios que possam conter anomalias associadas a ameaças (DGA, tunelamento de DNS, Dicionário DGA) para testar suas configurações de firewall de DNS. Para obter mais informações, consulte [Listas de domínios do DNS Firewall do Resolver](resolver-dns-firewall-domain-lists.md) e [Resolver DNS Firewall Avançado](firewall-advanced.md).
+ **Criar um grupo de regras de firewall**: no Firewall DNS, crie um grupo de regras para filtrar consultas de DNS para sua VPC. Você deve criar um grupo de regras em cada região onde deseja usá-lo. Talvez você também queira separar seu comportamento de filtragem em mais de um grupo de regras para reutilização em vários cenários de filtragem diferentes. VPCs Para obter informações sobre grupos de regras, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
+ **Adicionar e configurar suas regras**: adicione uma regra ao grupo de regras para cada lista de domínios e comportamento de filtragem que você deseja que o grupo de regras forneça. Defina as configurações de prioridade para suas regras para que elas sejam processadas na ordem correta dentro do grupo de regras, dando a prioridade mais baixa à regra que você deseja avaliar primeiro. Para obter mais informações sobre regras, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
+ **Associar o grupo de regras à sua VPC**: para começar a usar o grupo de regras do Firewall DNS, associe-o à sua VPC. Se você estiver usando mais de um grupo de regras para sua VPC, defina a prioridade de cada associação para que os grupos de regras sejam processados na ordem correta, dando a prioridade mais baixa ao grupo de regras que você deseja avaliar primeiro. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Opcional) Altere a configuração do firewall para a VPC** — Se você quiser que o Route 53 VPC Resolver bloqueie as consultas quando o DNS Firewall falhar em enviar uma resposta para elas, no VPC Resolver, altere a configuração do Firewall DNS da VPC. Para obter mais informações, consulte [Configuração da VPC do Firewall DNS](resolver-dns-firewall-vpc-configuration.md).
## Usando grupos de regras do Resolver DNS Firewall em várias regiões
O Resolver DNS Firewall é um serviço regional, portanto, os objetos que você cria em uma AWS região estão disponíveis somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.
A AWS conta que criou um grupo de regras pode compartilhá-lo com outras AWS contas. Para obter mais informações, consulte [Compartilhando grupos de regras do Resolver DNS Firewall entre contas AWS](resolver-dns-firewall-rule-group-sharing.md).
# Disponibilidade regional para o Resolver DNS Firewall
O firewall DNS está disponível no seguinte: Regiões da AWS
+ Africa (Cape Town)
+ Ásia-Pacífico (Hong Kong)
+ Ásia-Pacífico (Hyderabad)
+ Ásia-Pacífico (Jacarta)
+ Ásia-Pacífico (Malásia)
+ Ásia-Pacífico (Melbourne)
+ Ásia-Pacífico (Mumbai)
+ Região Ásia-Pacífico (Osaka)
+ Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Singapura)
+ Ásia-Pacífico (Sydney)
+ Ásia-Pacífico (Tailândia)
+ Ásia-Pacífico (Tóquio)
+ Região Canadá (Central)
+ Oeste do Canadá (Calgary)
+ Região Europa (Frankfurt)
+ Região Europa (Irlanda)
+ Região Europa (Londres)
+ Europa (Milão)
+ Região Europa (Paris)
+ Europa (Espanha)
+ Europa (Estocolmo)
+ Europa (Zurique)
+ Israel (Tel Aviv)
+ México (Centro)
+ Oriente Médio (Bahrein)
+ Oriente Médio (Emirados Árabes Unidos)
+ América do Sul (São Paulo)
+ Leste dos EUA (Norte da Virgínia)
+ Leste dos EUA (Ohio)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
+ China (Pequim)
+ China (Ningxia)
+ AWS GovCloud (US)
# Introdução ao Resolver DNS Firewall
O console do Firewall DNS inclui um assistente que orienta você durante as etapas a seguir para começar a usar o Firewall DNS:
+ Crie grupos de regras para cada conjunto de regras que você deseja usar.
+ Para cada regra, preencha a lista de domínios que você deseja inspecionar. Você pode criar suas próprias listas de domínios e usar listas de domínios AWS gerenciados.
+ Associe seus grupos de regras ao VPCs local em que você deseja usá-los.
## Exemplo de jardim murado do Resolver DNS Firewall
Neste tutorial, você criará um grupo de regras que bloqueia todos, exceto um grupo selecionado, de domínios nos quais você confia. Isso é chamado de plataforma fechada, ou abordagem de jardim murado.
**Para configurar um grupo de regras do Firewall DNS usando o assistente de console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.
- OU -
Faça login no Console de gerenciamento da AWS e abra o
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Na página **Rule groups** (Grupos de regras), escolha **Add rule group** (Adicionar grupo de regras).
1. Para o nome do grupo de regras, insira **WalledGardenExample**.
Na seção **Tags**, você tem a opção de inserir um par chave-valor para a tag. As tags ajudam você a organizar e gerenciar seus recursos do AWS . Para obter mais informações, consulte [Marcação de recursos do Amazon Route 53](tagging-resources.md).
1. Escolha **Adicionar grupo de regras**.
1. Na página de **WalledGardenExample**detalhes, escolha a **guia Regras** e, em seguida, **Adicionar regra**.
1. No painel **Detalhes da regra**, insira o nome da regra ** BlockAll**.
1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios).
1. Em **Choose or create a new domain list** (Escolher ou criar uma lista de domínios) escolha **Create new domain list** (Criar nova lista de domínios).
1. Insira o nome da lista de domínios e**AllDomains**, na caixa de texto **Inserir um domínio por linha**, insira um asterisco:**\$1**.
1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.
1. Em **Ação**, selecione **BLOQUEAR** e deixe a resposta a ser enviada na configuração padrão de **NODATA**.
1. Escolha **Adicionar regra**. Sua regra **BlockAll**é exibida na guia **Regras** da **WalledGardenExample**página.
1. Na **WalledGardenExample**página, escolha **Adicionar regra** para adicionar uma segunda regra ao seu grupo de regras.
1. No painel **Detalhes da regra**, insira o nome da regra ** AllowSelectDomains**.
1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios).
1. Em **Choose or create a new domain list** (Escolher ou criar uma nova lista de domínios), selecione **Create new domain list** (Criar nova lista de domínios).
1. Insira um nome de lista de domínios **ExampleDomains**.
1. Na caixa de texto **Inserir um domínio por linha**, na primeira linha, insira **example.com** e na segunda linha, insira **example.org**.
**nota**
Se você quiser que a regra se aplique a subdomínios também, você precisa adicionar esses domínios à lista também. Por exemplo, para adicionar todos os subdomínios do example.com, adicione **\$1.example.com** à lista.
1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.
1. Em **Ação**, selecione **PERMITIR**.
1. Escolha **Adicionar regra**. Suas regras são exibidas na guia **Regras** da **WalledGardenExample**página.
1. Na guia **Regras** da **WalledGardenExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada. Para este exemplo, queremos que o Firewall DNS primeiro identifique e permita consultas de DNS para a lista selecionada de domínios e, em seguida, bloqueie todas as consultas restantes.
Ajuste a prioridade da regra para que ela **AllowSelectDomains**tenha uma prioridade menor.
Agora você tem um grupo de regras que permite apenas consultas de domínio específicas. Para começar a usá-lo, você o associa ao VPCs local em que deseja usar o comportamento de filtragem. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
## Exemplo de lista de bloqueios do Resolver DNS Firewall
Neste tutorial, você criará um grupo de regras que bloqueia domínios que você sabe que são maliciosos. Você também adicionará um tipo de consulta ao DNS que é permitido para os domínios da lista bloqueada. O grupo de regras permite todas as outras solicitações de DNS de saída pelo VPC Resolver.
**Para configurar uma lista de bloqueios do Firewall DNS utilizando o assistente do console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.
- OU -
Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Na página **Rule groups** (Grupos de regras), escolha **Add rule group** (Adicionar grupo de regras).
1. Para o nome do grupo de regras, insira **BlockListExample**.
Na seção **Tags**, você tem a opção de inserir um par chave-valor para a tag. As tags ajudam você a organizar e gerenciar seus recursos do AWS . Para obter mais informações, consulte [Marcação de recursos do Amazon Route 53](tagging-resources.md).
1. Na página de **BlockListExample**detalhes, escolha a guia **Regras** e, em seguida, **Adicionar regra**.
1. No painel **Detalhes da regra**, insira o nome da regra ** BlockList**.
1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios).
1. Em **Choose or create a new domain list** (Escolher ou criar uma nova lista de domínios), selecione **Create new domain list** (Criar nova lista de domínios).
1. Insira um nome de lista de domínios **MaliciousDomains**, em seguida, na caixa de texto, insira os domínios que você deseja bloquear. Por exemplo, .** example.org** Insira um domínio por linha.
**nota**
Se você quiser que a regra se aplique a subdomínios também, você deve adicionar esses domínios à lista também. Por exemplo, para adicionar todos os subdomínios do example.org, adicione**\$1.example.org** à lista.
1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.
1. Para a ação, selecione **BLOCK** (Bloquear) e, em seguida, deixe a resposta para enviar na configuração padrão de **NODATA**.
1. Escolha **Adicionar regra**. Sua regra é exibida na guia **Regras** na **BlockListExample**página
1. na guia **Regras** da **BlockedListExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada.
Selecione e ajuste a prioridade da regra para que ela **BlockList**seja avaliada antes ou depois de qualquer outra regra que você possa ter. Na maioria das vezes, domínios maliciosos conhecidos devem ser bloqueados primeiro. Ou seja, as regras associadas a elas devem ter o número de prioridade mais baixo.
1. Para adicionar uma regra que permita registros MX para os BlockList domínios, na página de **BlockedListExample**detalhes na guia **Regras**, escolha **Adicionar** regra.
1. No painel **Detalhes da regra**, insira o nome da regra ** BlockList-allowMX**.
1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios).
1. Em **Escolher ou criar uma nova lista de domínios**, selecione ** MaliciousDomains**.
1. Em **Configuração de redirecionamento de domínio**, aceite o padrão.
1. Na lista **Tipo de consulta ao DNS**, selecione **MX: especifica servidores de e-mail**.
1. Para a ação, selecione **ALLOW** (Permitir).
1. Escolha **Adicionar regra**.
1. na guia **Regras** da **BlockedListExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada.
Selecione e ajuste a prioridade da regra para que **BlockList-allowMx** seja avaliado antes ou depois de qualquer outra regra que você possa ter. Como você deseja permitir consultas MX, certifique-se de que a regra **BlockList-allowMx** tenha uma prioridade menor que a. **BlockList**
Agora você tem um grupo de regras que bloqueia determinadas consultas de domínio mal-intencionadas, mas permite um tipo específico de consulta ao DNS. Para começar a usá-lo, você o associa ao VPCs local em que deseja usar o comportamento de filtragem. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
# Regras e grupos de regras do Firewall DNS
Esta seção descreve as configurações que você pode definir para seus grupos de regras e regras do Firewall DNS, para definir o comportamento do Firewall DNS para seu. VPCs Ela também descreve como gerenciar as configurações para seus grupos de regras e regras.
Quando você tiver seus grupos de regras configurados da maneira desejada, você os usa diretamente e poderá compartilhá-los e gerenciá-los entre contas e em toda a organização no AWS Organizations.
+ Você pode associar um grupo de regras a vários VPCs para fornecer um comportamento consistente em toda a organização. Para mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Você pode compartilhar grupos de regras entre contas, para gerenciamento consistente de consultas de DNS em toda a organização. Para mais informações, consulte [Compartilhando grupos de regras do Resolver DNS Firewall entre contas AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Você pode usar grupos de regras em toda a sua organização AWS Organizations gerenciando-os em AWS Firewall Manager políticas. Para obter informações sobre o Firewall Manager, consulte [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)o *AWS WAF AWS Firewall Manager, e o Guia AWS Shield Advanced do Desenvolvedor*.
# Configurações de grupo de regras no Firewall DNS
Ao criar ou editar um grupo de regras do Firewall DNS, especifique os seguintes valores:
**Nome**
Um nome exclusivo que permite encontrar facilmente um grupo de regras no painel.
**Descrição (opcional)**
Uma descrição curta que fornece mais contexto para o grupo de regras.
**Região**
A AWS região que você escolhe ao criar o grupo de regras. Um grupo de regras que você cria em uma região está disponível somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.
**Regras**
O comportamento de filtragem do grupo de regras está contido em suas regras. Para obter mais informações, consulte a seção a seguir.
**Tags**
Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o **Cost center (Centro de custo)** para **Key (Chave)** e especificar **456** para **Value (Valor)**.
Essas são as etiquetas Gerenciamento de Faturamento e Custos da AWS que permitem organizar sua AWS fatura. Para obter mais informações sobre como usar tags para alocação de custos, consulte [Como usar tags de alocação de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Manual do usuário do AWS Billing *.
# Configurações de regra no Firewall DNS
Ao criar ou editar uma regra em um grupo de regras do Firewall DNS, especifique os seguintes valores:
**Nome**
O identificador exclusivo da regra a ser excluída do grupo de regras.
**Descrição (opcional)**
Uma breve descrição que fornece mais informações sobre a regra.
**Lista de domínios**
A lista de domínios que a regra inspeciona. Você pode criar e gerenciar sua própria lista de domínios ou pode se inscrever em uma lista de domínios que a AWS gerencia para você. Para obter mais informações, consulte [Listas de domínios do DNS Firewall do Resolver](resolver-dns-firewall-domain-lists.md).
Uma regra pode conter uma lista de domínios ou uma proteção do Firewall de DNS Avançado, mas não ambas.
**Configuração do redirecionamento do domínio (apenas listas de domínios)**
Você pode escolher se a regra do DNS Firewall inspecionará apenas o primeiro domínio ou todos (padrão) os domínios na cadeia de redirecionamento de DNS, como CNAME, DNAME etc. Se optar por inspecionar todos os domínios, deverá adicionar os domínios subsequentes na cadeia de direcionamento de DNS a uma lista de domínios e definir a ação que deseja que a regra aplique, PERMITIR, BLOQUEAR ou ALERTAR. Para obter mais informações, consulte [Componentes e configurações do Resolver DNS Firewall](resolver-dns-firewall-overview.md#resolver-dns-firewall-components).
**Tipo de consulta (apenas listas de domínios)**
A lista de tipos de consulta ao DNS que a regra inspeciona. Os valores válidos são os seguintes:
+ R: Retorna um IPv4 endereço.
+ AAAA: retorna um endereço IPv6.
+ CAA: restrições CAs que podem criar SSL/TLS certificações para o domínio.
+ CNAME: retorna outro nome de domínio.
+ DS: registro que identifica a chave de assinatura DNSSEC de uma zona delegada.
+ MX: especifica servidores de e-mail.
+ NAPTR: Regular-expression-based reescrita de nomes de domínio.
+ NS: servidores de nomes legítimos.
+ PTR: mapeia um endereço IP para um nome de domínio.
+ SOA: início do registo de autoridade (SOA) para a zona.
+ SPF: lista os servidores autorizados a enviar e-mails de um domínio.
+ SRV: valores específicos da aplicação que identificam servidores.
+ TXT: verifica os remetentes de e-mail e os valores específicos da aplicação.
+ Um tipo de consulta que você define usando o ID de tipo de DNS, por exemplo, 28 para AAAA. Os valores devem ser definidos como TYPE* NUMBER*, onde *NUMBER* podem ser 1-65334, por exemplo,. TYPE28 Para obter mais informações, consulte [List of DNS record types](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
Você pode criar um único tipo de consulta por regra.
**nota**
Se você configurar uma regra BLOCK de firewall com a ação NXDOMAIN no tipo de consulta igual a AAAA, essa ação não será aplicada aos IPv6 endereços sintéticos gerados quando ativada. DNS64
**Proteção do Firewall de DNS Avançado.**
Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível escolher proteção contra:
+ Algoritmos de geração de domínio (DGAs)
DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Tunelamento de DNS
O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
+ Dicionário DGA
DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control
Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça.
Para obter mais informações, consulte [Resolver DNS Firewall Avançado](firewall-advanced.md).
Uma regra pode conter uma proteção do Firewall de DNS Avançado ou uma lista de domínios, mas não ambos.
**Limiar de confiança (apenas Firewall de DNS Avançado)**
O limite de confiança do DNS Firewall Advanced. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:
+ Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.
+ Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.
+ Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.
Para obter mais informações, consulte [Configurações de regra no Firewall DNS](#resolver-dns-firewall-rule-settings).
**Ação**
Como você deseja que o Firewall DNS manipule uma consulta de DNS cujo nome de domínio corresponda às especificações na lista de domínios da regra. Para obter mais informações, consulte [Ações de regra no Firewall DNS](resolver-dns-firewall-rule-actions.md).
**Prioridade**
A configuração de inteiro positivo exclusivo para a regra no grupo de regras que determina a ordem de processamento. O DNS Firewall inspeciona consultas de DNS contra as regras em um grupo de regras começando com a configuração de prioridade numérica mais baixa e indo para cima. Você pode alterar a prioridade de uma regra a qualquer momento, por exemplo, para alterar a ordem de processamento ou abrir espaço para outras regras.
# Ações de regra no Firewall DNS
Quando o Firewall DNS localiza uma correspondência entre uma consulta de DNS e uma especificação de domínio em uma regra, ele aplica a ação especificada na regra à consulta.
Você tem que especificar uma das seguintes opções em cada regra criada:
+ **Allow**— Pare de inspecionar a consulta e permita que ela seja processada. Não disponível para o Firewall de DNS Avançado.
+ **Alert**— Pare de inspecionar a consulta, permita que ela continue e registre um alerta para a consulta nos registros do Route 53 VPC Resolver.
+ **Block**— Interrompa a inspeção da consulta, impeça que ela vá para o destino pretendido e registre a ação de bloqueio da consulta nos registros do Route 53 VPC Resolver.
Responda com a resposta de bloco configurada, a partir do seguinte:
+ **NODATA**— Responder indicando que a consulta foi bem-sucedida, mas nenhuma resposta está disponível para ela.
+ **NXDOMAIN**— Responda indicando que o nome de domínio da consulta não existe.
+ **OVERRIDE**— Forneça uma substituição personalizada na resposta. Além disso, essa instrução requer as seguintes configurações:
+ **Record value**— O registro DNS personalizado a ser enviado de volta em resposta à consulta.
+ **Record type**— O tipo do registro DNS. Isso determina o formato do valor do registro. Deve ser `CNAME`.
+ **Time to live in seconds**— O tempo recomendado para o resolvedor de DNS ou o navegador da Web armazenar em cache o registro de substituição e usá-lo em resposta a essa consulta, caso ele seja recebido novamente. Por padrão, isso é zero e o registro não está armazenado em cache.
Para obter mais informações sobre a configuração dos logs de consulta e o conteúdo, consulte [Log de consultas do Resolver](resolver-query-logs.md) e [Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md).
**Usar Alert para testar regras de bloqueio**
Quando você cria uma regra de bloqueio pela primeira vez, pode testá-la configurando-a com a ação definida como Alert. Em seguida, você pode examinar o número de consultas nas quais os alertas de regra para ver quantas seriam bloqueadas se você definir a ação como Block.
# Como gerenciar grupos de regras e regras no Firewall DNS
Para gerenciar grupos de regras e regras no console, siga as orientações desta seção.
Quando você faz alterações em entidades do Firewall DNS, como regras e listas de domínios, o Firewall DNS propaga as alterações em todos os lugares em que as entidades são armazenadas e usadas. Suas alterações são aplicadas em segundos, mas pode haver um breve período de inconsistência quando as alterações chegam em alguns lugares e não em outros. Assim, por exemplo, se você adicionar um domínio a uma lista de domínios referenciada por uma regra de bloqueio, o novo domínio poderá ser brevemente bloqueado em uma área da VPC, enquanto ainda é permitido em outra. Essa inconsistência temporária pode ocorrer quando você configura pela primeira vez suas associações de grupo de regras e VPC e quando você altera as configurações existentes. Geralmente, quaisquer inconsistências deste tipo duram apenas alguns segundos.
# Criar um grupo de regras e regras
Para criar um grupo de regras e adicionar regras a ele, siga as etapas deste procedimento.
**Para criar um grupo de regras e suas regras**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.
- OU -
Faça login no Console de gerenciamento da AWS e abra
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Escolha **Add rule group** (Adicionar grupo de regras) e siga as orientações do assistente para especificar o grupo de regras e as configurações de regras.
Para obter informações sobre os valores dos grupos de regras, consulte [Configurações de grupo de regras no Firewall DNS](resolver-dns-firewall-rule-group-settings.md).
Para obter informações sobre os valores das regras, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
# Como exibir e atualizar um grupo de regras e regras
Use o procedimento a seguir para visualizar os grupos de regras e as regras a eles atribuídas. Você também pode atualizar o grupo de regras e as configurações das regras.
**Para exibir e atualizar um grupo de regras**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.
- OU -
Faça login no Console de gerenciamento da AWS e abra
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Selecione o grupo de regras que você deseja exibir ou editar e escolha **View details** (Exibir detalhes).
1. Na página do grupo de regras, é possível exibir e editar configurações.
Para obter informações sobre os valores dos grupos de regras, consulte [Configurações de grupo de regras no Firewall DNS](resolver-dns-firewall-rule-group-settings.md).
Para obter informações sobre os valores das regras, consulte [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
# Excluir um grupo de regras
Para excluir um grupo de regras, execute o procedimento a seguir.
**Importante**
Se você excluir um grupo de regras associado a uma VPC, o Firewall DNS removerá a associação e interromperá as proteções que o grupo de regras estava fornecendo à VPC.
**Como excluir entidades do Firewall DNS**
Quando você exclui uma entidade que pode usar no Firewall DNS, como uma lista de domínios que pode estar em uso em um grupo de regras ou um grupo de regras que possa estar associado a uma VPC, o Firewall DNS verifica se a entidade está sendo usada no momento. Se ele descobrir que ela está sendo usada, o Firewall DNS avisa. O Firewall DNS quase sempre é capaz de determinar se uma entidade está sendo usada. No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique nas configurações do Firewall DNS antes de excluí-lo. Se a entidade for uma lista de domínios referenciada, verifique se nenhum grupo de regras está utilizando-a. Se a entidade for um grupo de regras, verifique se ela não está associada a nenhum VPCs.
**Para excluir um grupo de regras**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.
- OU -
Faça login no Console de gerenciamento da AWS e abra
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Selecione o grupo de regras que você deseja excluir, escolha **Excluir** e confirme a exclusão.
# Listas de domínios do DNS Firewall do Resolver
Uma *lista de domínios* é um conjunto reutilizável de especificações de domínios que você usa em uma regra do DNS Firewall, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com as listas de domínios usadas nas regras. Se encontrar uma correspondência, ele manipula a consulta de DNS de acordo com a ação da regra correspondente. Para obter mais informações sobre regras e grupos de regras, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
As listas de domínios permitem que você separe suas especificações de domínio explícitas das ações que você deseja executar sobre elas. Você pode usar uma única lista de domínios em várias regras e todas as atualizações feitas na lista de domínios afetam automaticamente todas as regras que a usam.
As listas de domínios se enquadram em duas categorias principais:
+ Listas de domínios gerenciados, que AWS criam e mantêm para você.
+ Suas próprias listas de domínios, que você cria e mantém.
Esta seção descreve os tipos de grupos de regras gerenciadas que estão disponíveis para você e fornece orientações para criar e gerenciar seus próprios grupos de regras, se você optar por fazê-lo.
# Listas de domínios gerenciados
As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outras ameaças em potencial. AWS mantém essas listas para permitir que os clientes do Route 53 VPC Resolver verifiquem consultas de DNS de saída com eles gratuitamente ao usar o DNS Firewall.
Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. As listas de domínios gerenciados podem economizar seu tempo ao implementar e usar o Firewall DNS. AWS atualiza automaticamente as listas quando surgem novas vulnerabilidades e ameaças. AWS geralmente é notificado sobre novas vulnerabilidades antes da divulgação pública, portanto, o DNS Firewall pode implantar mitigações para você com frequência antes que uma nova ameaça se torne amplamente conhecida.
As listas de domínios gerenciados destinam-se a ajudar a proteger você contra ameaças comuns da Web e elas adicionam mais uma camada de segurança para as suas aplicações. As listas de domínios AWS gerenciados obtêm seus dados tanto de AWS fontes internas quanto de fontes internas e são atualizadas continuamente. [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) No entanto, as listas de domínios AWS gerenciados não substituem outros controles de segurança Amazon GuardDuty, como os determinados pelos AWS recursos que você seleciona.
Como prática recomendada, antes de usar uma lista de domínios gerenciada na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como `Alert`. Avalie a regra usando CloudWatch métricas da Amazon combinadas com amostras de solicitações do Resolver DNS Firewall ou registros do DNS Firewall. Quando você estiver satisfeito de que a regra faz o que você deseja, altere a configuração de ação, conforme necessário.
**Listas de domínios AWS gerenciados disponíveis**
Esta seção descreve as Listas de domínios gerenciados pela que estão disponíveis atualmente. Quando estiver em uma região compatível com essas listas de domínios, você as verá no console quando gerenciar listas de domínios e quando especificar a lista de domínios para uma regra. Nos logs, a lista de domínios é registrada dentro do`firewall_domain_list_id field`.
AWS fornece as seguintes listas de domínios gerenciados, nas regiões em que estão disponíveis, para todos os usuários do Resolver DNS Firewall.
+ `AWSManagedDomainsMalwareDomainList`: domínios associados ao envio de malware, hospedagem de malware ou distribuição de malware.
+ `AWSManagedDomainsBotnetCommandandControl`: domínios associados ao controle de redes de computadores infectados com malware de spam.
+ `AWSManagedDomainsAggregateThreatList`— Domínios associados a várias categorias de ameaças de DNS, incluindo malware, ransomware, botnet, spyware e tunelamento de DNS para ajudar a bloquear vários tipos de ameaças. `AWSManagedDomainsAggregateThreatList`inclui todos os domínios nas outras listas de domínios AWS gerenciados listadas aqui.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domínios associados às descobertas de segurança do Amazon GuardDuty DNS. Os domínios são provenientes apenas dos sistemas de inteligência GuardDuty de ameaças da empresa e não contêm domínios provenientes de fontes externas de terceiros. Mais especificamente, atualmente essa lista bloqueará somente domínios que são gerados internamente e usados para as seguintes detecções em GuardDuty: Impact:EC2/ AbusedDomainRequest .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, BitcoinDomainRequest Impact: .Reputation. MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest
Para obter mais informações, consulte [Como encontrar tipos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) no *Guia GuardDuty do usuário da Amazon*.
AWS As listas de domínios gerenciados não podem ser baixadas nem pesquisadas. Para proteger a propriedade intelectual, você não pode visualizar nem editar as especificações de domínio individuais em uma lista de domínios AWS gerenciados. Essa restrição também ajuda a impedir que usuários mal-intencionados criem ameaças que contornem especificamente as regras publicadas.
**Para testar as listas de domínios gerenciados**
Fornecemos o seguinte conjunto de domínios para testar as listas de domínios gerenciados:
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList e AWSManaged DomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
Esses domínios serão resolvidos para 1.2.3.4 se eles não estiverem bloqueados. Se você estiver usando as listas de domínios gerenciados em uma VPC, a consulta desses domínios retornará a resposta para a qual uma ação de bloqueio na regra está definida (por exemplo, NODATA).
Para obter mais informações sobre listas de domínios gerenciados, entre em contato com a [AWS Support Center](https://console.aws.amazon.com/support/home#/).
A tabela a seguir lista a disponibilidade da região para listas de domínios AWS gerenciados.
**Disponibilidade da região da lista de domínios gerenciado**
| Região | Listas de domínios gerenciados disponíveis? |
| --- | --- |
| África (Cidade do Cabo) | Sim |
| Ásia-Pacífico (Hong Kong) | Sim |
| Ásia-Pacífico (Hyderabad) | Sim |
| Ásia-Pacífico (Jacarta) | Sim |
| Ásia-Pacífico (Malásia) | Sim |
| Ásia-Pacífico (Melbourne) | Sim |
| Ásia-Pacífico (Mumbai) | Sim |
| Região Ásia-Pacífico (Osaka) | Sim |
| Ásia-Pacífico (Seul) | Sim |
| Ásia-Pacífico (Singapura) | Sim |
| Ásia-Pacífico (Sydney) | Sim |
| Ásia-Pacífico (Tailândia) | Sim |
| Ásia-Pacífico (Tóquio) | Sim |
| Região Canadá (Central) | Sim |
| Oeste do Canadá (Calgary) | Sim |
| Região Europa (Frankfurt) | Sim |
| Região Europa (Irlanda) | Sim |
| Região Europa (Londres) | Sim |
| Europa (Milão) | Sim |
| Região Europa (Paris) | Sim |
| Europa (Espanha) | Sim |
| Europa (Estocolmo) | Sim |
| Europa (Zurique) | Sim |
| Israel (Tel Aviv) | Sim |
| Oriente Médio (Bahrein) | Sim |
| Oriente Médio (Emirados Árabes Unidos) | Sim |
| América do Sul (São Paulo) | Sim |
| Leste dos EUA (Norte da Virgínia) | Sim |
| Leste dos EUA (Ohio) | Sim |
| Oeste dos EUA (N. da Califórnia) | Sim |
| Oeste dos EUA (Oregon) | Sim |
| China (Pequim) | Sim |
| China (Ningxia) | Sim |
| AWS GovCloud (US) | Sim |
**Considerações adicionais sobre segurança**
AWS As listas de domínios gerenciados foram projetadas para ajudar a protegê-lo contra ameaças comuns na Web. Quando usadas de acordo com a documentação, essas listas adicionam outra camada de segurança para as aplicações. Porém, as listas de domínios gerenciados não se destinam a substituir outros controles de segurança, que são determinadas pelos recursos da AWS que você seleciona. Para garantir que seus recursos AWS estejam protegidos adequadamente, consulte a orientação no [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/).
**Como atenuar cenários falsos positivos**
Se você estiver encontrando cenários falsos positivos em regras que usam Listas de domínios gerenciados pela para bloquear consultas, execute as seguintes etapas:
1. Nos registros do VPC Resolver, identifique o grupo de regras e a lista de domínios gerenciados que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a lista de domínios gerenciados. Para obter mais informações sobre logs, consulte ([Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md)).
1. Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em [Criar um grupo de regras e regras](resolver-dns-firewall-rule-group-adding.md).
1. Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.
Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.
# Como gerenciar suas próprias listas de domínios
Você pode criar suas próprias listas de domínios para especificar categorias de domínio que você não encontra nas ofertas de lista de domínios gerenciados ou que você mesmo prefere manipular.
Além dos procedimentos descritos nesta seção, no console, você pode criar uma lista de domínios no contexto do gerenciamento de regras do Resolver DNS Firewall, ao criar ou atualizar uma regra.
Cada especificação de domínio na lista de domínios deve atender aos seguintes requisitos:
+ Ela pode, opcionalmente, começar com `*` (asterisco).
+ Com exceção do asterisco inicial opcional e de um ponto, como delimitador entre rótulos, ele deve conter somente os seguintes caracteres:,`A-Z`, `a-z``0-9`, `-` (hífen).
+ Deve ter de 1 a 255 caracteres.
Quando você faz alterações em entidades do Firewall DNS, como regras e listas de domínios, o Firewall DNS propaga as alterações em todos os lugares em que as entidades são armazenadas e usadas. Suas alterações são aplicadas em segundos, mas pode haver um breve período de inconsistência quando as alterações chegam em alguns lugares e não em outros. Assim, por exemplo, se você adicionar um domínio a uma lista de domínios referenciada por uma regra de bloqueio, o novo domínio poderá ser brevemente bloqueado em uma área da VPC, enquanto ainda é permitido em outra. Essa inconsistência temporária pode ocorrer quando você configura pela primeira vez suas associações de grupo de regras e VPC e quando você altera as configurações existentes. Geralmente, quaisquer inconsistências deste tipo duram apenas alguns segundos.
**Teste sua lista de domínios antes de usá-la em produção**
Como prática recomendada, antes de usar uma lista de domínios na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como `Alert`. Avalie a regra usando CloudWatch as métricas da Amazon e os registros do VPC Resolver. Os logs fornecem o nome da lista de domínios para todos os alertas e ações de bloqueio. Quando você estiver satisfeito de que a lista de domínios está correspondendo às consultas de DNS da maneira que você deseja, altere a configuração de ação da regra, conforme necessário. Para obter informações sobre CloudWatch métricas e registros de consulta[Monitorando grupos de regras do Resolver DNS Firewall com a Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md), consulte[Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md), [Como gerenciar configurações de log de consultas do Resolver](resolver-query-logging-configurations-managing.md) e.
**Para adicionar uma lista de domínios**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 2.
- OU -
Faça login no Console de gerenciamento da AWS e abra
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **DNS Firewall**, escolha **Listas de domínios**. Na página **Domain lists** (Listas de domínios) você pode selecionar e editar listas de domínios existentes e adicionar suas próprias.
1. Para adicionar uma lista de domínios, selecione **Add domain list** (Adicionar lista de domínios).
1. Forneça um nome para sua lista de domínios e insira suas especificações de domínio na caixa de texto, um por linha.
Se você deslizar a opção **Switch to bulk upload** (Alternar para carga em massa) para **on** (ativado), insira o URI do bucket do Amazon S3 onde você criou uma lista de domínios. Esta lista de domínios deve ter um nome de domínio por linha.
**nota**
Nomes de domínio duplicados causarão falha na importação em massa.
1. Escolha **Add domain list** (Adicionar lista de domínios). A página **Domain lists** (Listas de domínios) lista sua nova lista de domínios.
Depois de criar a lista de domínios, pode referenciá-la por nome a partir das regras do Firewall DNS.
**Como excluir entidades do Firewall DNS**
Quando você exclui uma entidade que pode usar no Firewall DNS, como uma lista de domínios que pode estar em uso em um grupo de regras ou um grupo de regras que possa estar associado a uma VPC, o Firewall DNS verifica se a entidade está sendo usada no momento. Se ele descobrir que ela está sendo usada, o Firewall DNS avisa. O Firewall DNS quase sempre é capaz de determinar se uma entidade está sendo usada. No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique nas configurações do Firewall DNS antes de excluí-lo. Se a entidade for uma lista de domínios referenciada, verifique se nenhum grupo de regras está utilizando-a. Se a entidade for um grupo de regras, verifique se ela não está associada a nenhum VPCs.
**Para excluir uma lista de domínios**
1. No painel de navegação, escolha **Domain lists** (Listas de domínios).
1. Na barra de navegação, escolha a região da lista de domínios.
1. Selecione a lista de domínios que você deseja excluir, escolha **Excluir** e confirme a exclusão.
# Resolver DNS Firewall Avançado
O Firewall de DNS Avançado detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível especificar um tipo de ameaça em uma regra que você utiliza em uma regra do Firewall de DNS, dentro de um grupo de regras. Quando um grupo de regras está associado a uma VPC, o Firewall de DNS compara as consultas ao DNS com os domínios sinalizados nas regras. Se encontrar uma correspondência, ele manipula a consulta de DNS de acordo com a ação da regra correspondente.
O Firewall de DNS Avançado funciona identificando assinaturas de ameaças de DNS suspeitas, inspecionando uma série de identificadores-chave na carga útil do DNS, incluindo o carimbo de data/hora das solicitações, a frequência das solicitações e respostas, as string de consulta ao DNS e o comprimento, tipo ou tamanho das consultas ao DNS de saída e de entrada. Com base no tipo de assinatura de ameaça, você pode configurar políticas para bloquear ou simplesmente registrar em log e alertar sobre a consulta. Ao usar um conjunto expandido de identificadores de ameaças, você pode se proteger contra ameaças de DNS de origens de domínio que ainda podem não estar classificadas pelos feeds de inteligência de ameaças mantidos pela comunidade de segurança mais ampla.
Atualmente, o Firewall de DNS Avançado oferece proteções contra:
+ Algoritmos de geração de domínio (DGAs)
DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Tunelamento de DNS
O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
+ Dicionário DGA
DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control
Para saber como criar regras, consulte [Criar um grupo de regras e regras](resolver-dns-firewall-rule-group-adding.md) e [Configurações de regra no Firewall DNS](resolver-dns-firewall-rule-settings.md).
**Como atenuar cenários falsos positivos**
Se você estiver enfrentando cenários de falsos positivos em regras que usam proteções do Firewall de DNS Avançado para bloquear consultas, execute as seguintes etapas:
1. Nos registros do VPC Resolver, identifique o grupo de regras e as proteções avançadas do firewall DNS que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a proteção do Firewall de DNS Avançado. Para obter mais informações sobre logs, consulte ([Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md)).
1. Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em [Criar um grupo de regras e regras](resolver-dns-firewall-rule-group-adding.md).
1. Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.
Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.
# Configurar o registro para Firewall DNS
Você pode avaliar suas regras de firewall de DNS usando as CloudWatch métricas da Amazon e os registros de consulta do Resolver. Os logs fornecem o nome da lista de domínios para todos os alertas e ações de bloqueio. Para obter mais informações sobre a Amazon CloudWatch, consulte[Monitorando grupos de regras do Resolver DNS Firewall com a Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).
Quando você habilitar o Firewall DNS, associe-o a uma VPC à qual habilitou o registro, ` firewall_rule_group_id` , `firewall_rule_action` e ` firewall_domain_list_id` são os campos específicos do Firewall DNS fornecidos em seus logs.
**nota**
Os logs de consultas mostrarão campos adicionais do DNS Firewall somente para as consultas bloqueadas pelas regras do DNS Firewall.
Para começar a registrar as consultas de DNS que são filtradas pelas regras de firewall de DNS originadas em você VPCs, você executa as seguintes tarefas no console do Amazon Route 53:
**Para configurar o log de consulta do Resolver para o DNS Firewall**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais (![\[Menu icon\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. No menu Resolver, escolha **Query logging** (Log de consultas).
1. No seletor de região, escolha a AWS região em que você deseja criar a configuração de registro de consultas.
Essa deve ser a mesma região em VPCs que você criou as associadas ao Firewall DNS para as quais você deseja registrar as consultas. Se você tiver VPCs em várias regiões, deverá criar pelo menos uma configuração de registro de consultas para cada região.
1. Escolha **Configure query logging** (Configurar log de consultas).
1. Especifique os seguintes valores:
**Nome da configuração do log de consultas**
Insira um nome para sua configuração do log de consultas. O nome é exibido no console na lista de configurações do log de consultas. Insira um nome que o ajudará a encontrar essa configuração posteriormente.
**Destino dos logs de consulta**
Escolha o tipo de AWS recurso para o qual você deseja que o VPC Resolver envie registros de consulta. Para obter informações sobre como escolher entre as opções (grupo de CloudWatch registros de registros, bucket do S3 e stream de entrega do Firehose), consulte. [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Depois de escolher o tipo de recurso, você pode criar outro recurso desse tipo ou escolher um recurso existente criado pela AWS conta atual.
Você pode escolher somente recursos criados na caixa de diálogo região da AWS escolhida na etapa 4, a região onde você está criando a configuração de log de consultas. Se você optar por criar um novo recurso, esse recurso será criado na mesma região.
**VPCs para registrar consultas para**
Essa configuração de registro de consultas registrará as consultas DNS originadas no VPCs que você escolher. **Marque a caixa de seleção de cada VPC na região atual para a qual você deseja que o VPC Resolver registre consultas e escolha Escolher.**
A entrega de log da VPC pode ser habilitada apenas uma vez para um tipo de destino específico. Os logs não podem ser entregues a vários destinos do mesmo tipo. Por exemplo, os logs da VPC não podem ser entregues a dois destinos do Amazon S3.
1. Escolha **Configure query logging** (Configurar log de consultas).
**nota**
Você deve começar a ver consultas de DNS feitas por recursos em sua VPC nos logs em alguns minutos após a criação bem-sucedida da configuração do log de consultas.
# Compartilhando grupos de regras do Resolver DNS Firewall entre contas AWS
Você pode compartilhar grupos de regras do DNS Firewall entre AWS contas. Para compartilhar grupos de regras, você usa AWS Resource Access Manager (AWS RAM). O console do DNS Firewall se integra ao AWS RAM console. Para obter mais informações sobre AWS RAM, consulte o [Guia do Usuário do Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Observe o seguinte:
**Associando grupos de regras compartilhados com VPCs**
Se outra AWS conta tiver compartilhado um grupo de regras com sua conta, você poderá associá-lo VPCs à sua da mesma forma que associa grupos de regras que você criou. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
**Exclusão ou interrupção do compartilhamento de um grupo de regras**
Se você compartilhar um grupo de regras com outras contas e, em seguida, excluir o grupo de regras ou parar de compartilhá-lo, o Firewall do DNS removerá todas as associações que as outras contas criaram entre o grupo de regras e as delas VPCs.
**Configurações máximas para grupos de regras e associações**
Os grupos de regras compartilhados e suas associações VPCs são incluídos nas contagens das contas com as quais os grupos de regras são compartilhados.
Para as cotas do Firewall DNS atuais, consulte [Cotas no Resolver DNS Firewall](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).
**Permissões**
Para compartilhar um grupo de regras com outra AWS conta, você deve ter permissão para usar a [PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)ação.
**Restrições na AWS conta com a qual um grupo de regras é compartilhado**
A conta com a qual um grupo de regras é compartilhado não pode alterar ou excluir o grupo de regras.
**Tags**
Somente a conta que criou um grupo de regras pode adicionar, excluir ou consultar tags no grupo de regras.
Para visualizar o status de compartilhamento atual de um grupo de regras (incluindo a conta que compartilhou o grupo de regras ou a conta com a qual um grupo de regras é compartilhado) e para compartilhar grupos de regras com outra conta, realize o procedimento a seguir.
**Para ver o status de compartilhamento e compartilhar grupos de regras com outra AWS conta**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região onde o grupo de regras foi criado.
A coluna **Sharing status** (Status de compartilhamento) mostra o status de compartilhamento atual dos grupos de regras criados pela conta atual ou que foram compartilhados com a conta atual:
+ **Não compartilhado**: a AWS conta atual criou o grupo de regras e o grupo de regras não é compartilhado com nenhuma outra conta.
+ **Shared by me** (Compartilhada por mim): a conta atual criou o grupo de regras e compartilhou com uma ou mais contas.
+ **Shared with me** (Compartilhada comigo): outra conta de criou o grupo de regras e o compartilhou com a conta atual.
1. Escolha o nome do grupo de regras para o qual você deseja exibir informações de compartilhamento ou deseja compartilhar com outra conta.
Na *rule group name* página **Grupo de regras:**, o valor em **Proprietário** exibe a ID da conta que criou o grupo de regras. Essa é a conta atual, a menos que o valor do **Sharing status (Status de compartilhamento)** seja **Shared with me (Compartilhada comigo)**. Nesse caso, **Proprietário** é a conta que criou o grupo de regras e o compartilhou com a conta atual.
1. Escolha **Share** (Compartilhar) para visualizar informações adicionais ou para compartilhar o grupo de regras com outra conta. Uma página no AWS RAM console é exibida, dependendo do valor do **status de compartilhamento**:
+ **Não compartilhada**: a página **Create resource share (Criar compartilhamento de recurso)** é exibida. Para obter informações sobre como compartilhar o grupo de regras com outra conta, unidade organizacional (OU) ou organização, vá para a etapa que se segue a essa.
+ **Shared by me** (Compartilhada por mim): a página **Shared resources** (Recursos compartilhados) mostra os grupos de regras e outros recursos de propriedade da conta atual e compartilhados com outras contas.
+ **Shared with me** (Compartilhada comigo): a página **Shared resources** (Recursos compartilhados) mostra os grupos de regras e outros recursos de propriedade de outras contas e compartilhados com a conta atual.
1. Para compartilhar um grupo de regras com outra AWS conta, OU ou organização, especifique os seguintes valores.
**nota**
Não é possível atualizar as configurações de compartilhamento. Se quiser alterar qualquer uma das configurações a seguir, é necessário compartilhar um grupo de regras novamente com as novas configurações e, em seguida, remover as configurações de compartilhamento antigas.
**Description**
Insira uma breve descrição que ajude a lembrar o motivo do compartilhamento do grupo de regras.
**Recursos**
Marque a caixa de seleção do grupo de regras que deseja compartilhar.
**Entidades principais**
Insira o número da AWS conta, nome da OU ou nome da organização.
**Tags**
Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar **Centro de custos** para **Chave** e especificar **456** para **Valor**.
Essas são as tags que Gerenciamento de Faturamento e Custos da AWS permitem organizar sua AWS fatura; você também pode usar tags para outros fins. Para obter mais informações sobre como usar tags para alocação de custos, consulte [Como usar tags de alocação de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Manual do usuário do AWS Billing *.
# Ativando as proteções do Resolver DNS Firewall para sua VPC
Você habilita as proteções do Firewall DNS para sua VPC associando um ou mais grupos de regras à VPC. Sempre que uma VPC é associada a um grupo de regras do DNS Firewall, o Route 53 VPC Resolver fornece as seguintes proteções do DNS Firewall:
+ O VPC Resolver encaminha as consultas DNS de saída da VPC por meio do DNS Firewall, e o DNS Firewall filtra as consultas usando os grupos de regras associados.
+ O VPC Resolver impõe as configurações do Firewall DNS da VPC.
Para fornecer proteções de DNS Firewall à sua VPC, faça o seguinte:
+ Crie e gerencie associações entre seus grupos de regras do Firewall DNS e sua VPC. Para obter informações sobre grupos de regras, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
+ Configure como você deseja que o VPC Resolver processe consultas de DNS para a VPC durante uma falha, por exemplo, se o Firewall DNS não fornecer uma resposta para uma consulta de DNS.
# Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall
**Para exibir as associações de VPC de um grupo de regras**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC.
- OU -
Faça login no Console de gerenciamento da AWS e abra
o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.
1. Na barra de navegação, escolha a região do grupo de regras.
1. Selecione o grupo de regras que você deseja associar.
1. Escolha **Exibir detalhes**. A página do grupo de regras será exibida.
1. Na parte inferior, você pode ver uma área de detalhes com guias que inclui regras e associadas VPCs. Escolha a guia **Associado VPCs**.
**Para associar um grupo de regras a uma VPC**
1. Localize as associações de VPC do grupo de regras seguindo as instruções no [procedimento anterior](resolver-dns-firewall-rule-group-sharing.md) **para exibir as associações de VPC de um grupo de regras**.
1. Na VPCs guia **Associado**, escolha **Associar VPC**.
1. Localize a VPC que você deseja associar ao grupo de regras no menu suspenso. Selecione-a e escolha **Associate** (Associar).
Na página do grupo de regras, sua VPC está listada na guia **VPCsAssociado**. Em primeiro lugar, **Status** reporta **Updating** (Atualizando). Quando a associação for concluída, o status será alterado para **Complete** (Concluído).
**Para remover uma associação entre um grupo de regras e uma VPC**
1. Localize as associações de VPC do grupo de regras seguindo as instruções no [procedimento anterior](resolver-dns-firewall-rule-group-sharing.md) **para exibir as associações de VPC de um grupo de regras**.
1. **Selecione a VPC que você deseja remover da lista e escolha Dissociar.** Verifique e confirme a ação.
**Na página do grupo de regras, sua VPC está listada na VPCs guia **Associada** com o status de Desassociação.** Quando a operação for concluída, o Firewall DNS atualizará a lista para remover a VPC.
# Configuração da VPC do Firewall DNS
A configuração do DNS Firewall para sua VPC determina se o Route 53 VPC Resolver permite consultas ou as bloqueia durante falhas, por exemplo, quando o Firewall DNS está comprometido, não responde ou não está disponível na zona. O VPC Resolver aplica a configuração de firewall de uma VPC sempre que você tem um ou mais grupos de regras de firewall de DNS associados à VPC.
Você pode configurar uma VPC para não abrir ou fechar.
+ Por padrão, o modo de falha é fechado, o que significa que o VPC Resolver bloqueia todas as consultas para as quais não recebe uma resposta do DNS Firewall e envia uma resposta DNS. ` SERVFAIL` Essa abordagem favorece a segurança, em vez da disponibilidade.
+ Se você habilitar a abertura de falhas, o VPC Resolver permitirá a realização de consultas caso não receba uma resposta do Firewall DNS. Essa abordagem favorece a disponibilidade, em vez da segurança.
**Para alterar a configuração do Firewall DNS para uma VPC (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do VPC Resolver em. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)
1. No painel de navegação, em **Resolvedores, escolha**. **VPCs**
1. Na **VPCs**página, localize e edite a VPC. Altere a configuração do Firewall DNS para não abrir ou fechar, conforme necessário.
**Para alterar o comportamento do Firewall DNS para uma VPC (API)**
+ Atualize a configuração do firewall da VPC chamando, ativando ou [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)desativando. ` FirewallFailOpen`
Você pode recuperar uma lista das configurações de firewall da VPC por meio da API chamando. [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)