本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 解析器 DNS 防火墙高级 DNS Firewall Advanced 根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以指定规则中的威胁类型,在规则组内的 DNS Firewall 规则中使用该类型。当您关联规则组与 VPC 时,DNS Firewall 会将您的 DNS 查询与规则中标记的域进行比较。如果找到匹配项,则会根据匹配规则的操作处理 DNS 查询。 DNS Firewall Advanced 的工作原理是通过检查 DNS 有效载荷中的一系列关键标识符来识别可疑的 DNS 威胁特征,包括请求的时间戳、请求和响应的频率、DNS 查询字符串以及出站和入站 DNS 查询的长度、类型或大小。根据威胁签名的类型,您可以配置要阻止的策略,或者直接对查询进行记录和提醒。通过使用一组扩展的威胁标识符,您可以防范来自域来源的 DNS 威胁,这些域来源可能尚未被更广泛的安全社区维护的威胁情报源分类。 目前,DNS Firewall Advanced 提供以下保护: + 域生成算法 (DGAs) DGAs 被攻击者用来生成大量域来发起恶意软件攻击。 + DNS 隧道 DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。 + DGA 字典 攻击 DGAs 者使用字典通过字典单词生成域名,以逃避恶意软件 command-and-control通信中的检测。 要了解如何创建规则,请参阅 [创建规则组和规则](resolver-dns-firewall-rule-group-adding.md) 和 [DNS Firewall 中的规则设置](resolver-dns-firewall-rule-settings.md)。 **减少误报情况** 如果您在使用 DNS Firewall Advanced 保护阻止查询的规则中遇到误报情况,请执行以下步骤: 1. 在 VPC 解析器日志中,确定导致误报的规则组和 DNS 防火墙高级保护。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了规则组、规则操作和 DNS Firewall Advanced 保护。有关日志的更多信息,请参阅 [VPC 解析器查询日志中显示的值](resolver-query-logs-format.md)。 1. 在规则组中创建一个新规则,明确允许被阻止的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。要遵循有关规则组和规则管理的指导,请访问 [创建规则组和规则](resolver-dns-firewall-rule-group-adding.md)。 1. 确定规则组内新规则的优先级,使其在使用托管列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。 更新了规则组后,新规则将在阻止规则运行之前明确允许您希望允许使用的域名。