选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

Route 53 Resolver DNS Firewall 的工作原理

PDF
RSS
聚焦模式
Route 53 Resolver DNS Firewall 的工作原理 - Amazon Route 53
DNS Firewall 组件和设置Route 53 Resolver DNS Firewall 如何筛选 DNS 查询使用 DNS Firewall 的概括步骤在多个区域中使用 DNS Firewall 规则组

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Route 53 Resolver DNS Firewall 允许您控制对站点的访问,并阻止 DNS 查询通过 Route 53 Resolver 从 VPC 发出的 DNS 查询的 DNS 级威胁。使用 DNS Firewall,您可以在与您的防火墙关联的规则组中定义域名过滤规则 VPCs。您可以指定要允许或阻止的域名列表,也可以指定 Route 53 Resolver DNS Firewall 高级规则,这些规则提供保护,抵御基于 DNS 隧道和域生成算法 (DGA) 的威胁。您可以自定义您屏蔽的 DNS 查询的响应。对于包含域名列表的规则,您还可以微调规则,以允许某些查询类型(例如 MX-Records)通过。

DNS Firewall 仅筛选域名。它不会将该名称解析为要阻止的 IP 地址。此外,DNS Firewall 筛选 DNS 流量,但不筛选其它应用层协议,如 HTTPS、SSH、TLS、FTP 等。

Route 53 Resolver DNS Firewall 组件和设置

您可以使用以下中央组件和设置管理 DNS Firewall。

DNS Firewall 规则组

DNS Firewall 规则组是用于筛选 DNS 查询的 DNS Firewall 规则的已命名、可重复使用的集合。使用过滤规则填充规则组,然后将该规则组与一个或多个 VPCs规则组相关联。当您关联规则组与 VPC 时,您可以为 VPC 启用 DNS Firewall 过滤。然后,当 Resolver 收到与其关联的规则组的 VPC 的 DNS 查询时,Resolver 将该查询传递给 DNS Firewall 进行过滤。

如果您将多个规则组与单个 VPC 关联,则通过每个关联中的优先级设置来指明它们的处理顺序。DNS Firewall 从最低数值优先级设置向上处理 VPC 的规则组。

有关更多信息,请参阅 DNS Firewall 规则组和规则

DNS Firewall 规则

为 DNS Firewall 规则组中的 DNS 查询定义筛选规则。每条规则都指定一个域列表或 DNS 防火墙保护,以及对域名符合规则中域规格的 DNS 查询要采取的操作。您可以允许(仅包含域列表的规则)、阻止或提醒匹配的查询。在包含域列表的规则中,您还可以为列表中的域名指定查询类型,例如,您可以屏蔽或允许特定域名的 MX 查询类型。您还可以为阻挡的查询定义自定义响应。

对于 DNS 防火墙规则,您只能在匹配的查询时阻止或发出警报。

规则组中的每个规则都有一个在规则组中唯一的优先级设置。DNS Firewall 将从最低设置开始,按优先级顺序处理规则组中的规则。

DNS Firewall 规则仅存在于定义这些规则的规则组上下文中。您不能独立于规则组重复使用或引用规则。

有关更多信息,请参阅 DNS Firewall 规则组和规则

域列表

定义用于 DNS 筛选的已命名、可重复使用的域规范集合。规则组中的每个规则都需要单一的域列表。您可以选择指定要允许访问的域、要拒绝访问的域或两者的组合。您可以创建自己的域名列表,也可以使用为您 AWS 管理的域名列表。

有关更多信息,请参阅 Route 53 Resolver DNS Firewall 域列表

域重定向设置(仅限域列表)

通过域重定向设置,您可以配置 DNS Firewall 规则来检查 DNS 重定向链中的所有域(默认),例如 CNAME、DNAME 等,或者只检查第一个域并信任其余域。如果选择检查整个 DNS 重定向链,则必须将后续域添加到规则中设置为“ALLOW ”的域列表中。如果选择检查整个 DNS 重定向链,则必须将后续域添加到域列表中,并将其设置为需要规则采取的行动,即 ALLOW、BLOCK 或 ALERT。

有关更多信息,请参阅 DNS Firewall 中的规则设置

查询类型(仅限域列表)

通过查询类型设置,您可以配置 DNS Firewall 规则来筛选特定的 DNS 查询类型。如果未选择查询类型,则该规则应用于所有 DNS 查询类型。例如,您可能想要阻止特定域的所有查询类型,但允许 MX 记录。

有关更多信息,请参阅 DNS Firewall 中的规则设置

DNS 防火墙高级防护

根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。规则组中的每条规则都需要一个 DNS 防火墙高级保护设置。您可以从以下选项中选择保护:

  • 域生成算法 (DGAs)

    DGAs 被攻击者用来生成大量域来发起恶意软件攻击。

  • DNS 隧道传输

    攻击者使用 DNS 隧道通过使用 DNS 隧道从客户端泄露数据,而无需与客户端建立网络连接。

在 DNS 防火墙高级规则中,您可以选择屏蔽或提醒与威胁匹配的查询。威胁防护算法由管理和更新 AWS。

有关更多信息,请参阅 Route 53 解析器 DNS 防火墙高级

置信阈值(仅限 DNS 防火墙高级防护)

DNS 威胁防护的可信度阈值。创建 DNS 防火墙高级规则时必须提供此值。置信度值意味着:

  • 高 — 仅检测最确凿且误报率较低的威胁。

  • 中 — 在检测威胁和误报之间取得平衡。

  • 低 — 提供最高的威胁检测率,但也会增加误报。

有关更多信息,请参阅 DNS Firewall 中的规则设置

DNS Firewall 规则组与 VPC 之间的关联

使用 DNS Firewall 规则组为 VPC 定义保护,并为 VPC 启用 Resolver DNS Firewall 配置。

如果您将多个规则组与单个 VPC 关联,则可通过关联中的优先级设置来指明它们的处理顺序。DNS Firewall 从最低数值优先级设置向上处理 VPC 的规则组。

有关更多信息,请参阅 为您的 VPC 启用 Route 53 Resolver DNS Firewall 保护

VPC 的 Resolver DNS Firewall 配置

指定 Resolver 应如何在 VPC 级别处理 DNS Firewall 保护。只要您至少有一个与 VPC 关联的 DNS Firewall 规则组,此配置就会生效。

此配置指定当 DNS Firewall 无法筛选查询时 Route 53 Resolver 会如何处理查询。预设情况下,如果 Resolver 没有收到来自 DNS Firewall 的响应,则会失败导致关闭,并阻止查询。

有关更多信息,请参阅 DNS Firewall VPC 配置

监控 DNS Firewall 操作

您可以使用 Amazon CloudWatch 来监控由 DNS 防火墙规则组筛选的 DNS 查询数量。 CloudWatch 收集原始数据并将其处理为可读的、近乎实时的指标。

有关更多信息,请参阅 使用 Amazon 监控 Route 53 解析器 DNS 防火墙规则组 CloudWatch

您可以使用 Amazon EventBridge(一种使用事件将应用程序组件连接在一起的无服务器服务)来构建可扩展的事件驱动应用程序。

有关更多信息,请参阅 使用管理 Route 53 解析器 DNS 防火墙事件 Amazon EventBridge

Route 53 Resolver DNS Firewall 如何筛选 DNS 查询

当 DNS Firewall 规则组与 VPC 的 Route 53 Resolver 相关联时,以下流量将被防火墙筛选:

  • 源于该 VPC 内并通过 VPC DNS 传递的 DNS 查询。

  • 通过 Resolver 端点从本地部署资源传递到具有与其解析程序关联的 DNS Firewall 的同一 VPC 的 DNS 查询。

当 DNS Firewall 收到 DNS 查询时,它会使用您配置的规则组、规则和其它设置筛选查询,并将结果发送回 Resolver:

  • DNS Firewall 使用与 VPC 关联的规则组评估 DNS 查询,直到找到匹配项或用尽所有规则组。DNS Firewall 按照您在关联中设置的优先级顺序评估规则组,从最低的数字设置开始。有关更多信息,请参阅DNS Firewall 规则组和规则为您的 VPC 启用 Route 53 Resolver DNS Firewall 保护

  • 在每个规则组中,DNS Firewall 会根据每个规则的域列表或 DNS 防火墙高级保护来评估 DNS 查询,直到找到匹配的规则或用尽所有规则。DNS Firewall 从最低数值设置开始,按优先级顺序评估规则。有关更多信息,请参阅 DNS Firewall 规则组和规则

  • 当 DNS Firewall 发现与规则的域列表匹配或 DNS Firewall 高级规则保护所识别的异常时,它会终止查询评估并向解析器返回结果。如果操作是 alert,DNS Firewall 还会向已配置的 Resolver 日志发送提示。有关更多信息,请参阅DNS Firewall 中的规则操作Route 53 Resolver DNS Firewall 域列表Route 53 解析器 DNS 防火墙高级

  • 如果 DNS Firewall 在没有找到匹配项的情况下评估所有规则组,它会照常响应查询。

Resolver 根据 DNS Firewall 的响应路由查询。如果 DNS Firewall 无法响应,则 Resolver 应用 VPC 经过配置的 DNS Firewall 故障模式。有关更多信息,请参阅 DNS Firewall VPC 配置

使用 Route 53 Resolver DNS Firewall 的概括步骤

要在您的 Amazon Virtual Private Cloud VPC 中实施 Route 53 Resolver DNS Firewall 筛选,请执行以下概括步骤。

  • 定义您的筛选方法、域名列表或 DNS 防火墙保护 — 决定如何筛选查询,确定所需的域名规范,并定义用于评估查询的逻辑。例如,您可能希望允许除已知坏域列表中的查询之外的所有查询。或者您可能想要做相反的事情,即阻止所有出批准域列表以外的域,也就是所谓的围墙花园法。您可以创建和管理自己的已批准或屏蔽域名规范列表,也可以使用为您 AWS 管理的域名列表。对于 DNS 防火墙保护,您可以通过屏蔽所有查询来筛选查询,也可以提醒可能包含与威胁相关的异常(DGA、DNS 隧道)的域名的任何可疑查询流量,以测试您的 DNS 防火墙设置。有关更多信息,请参阅Route 53 Resolver DNS Firewall 域列表Route 53 解析器 DNS 防火墙高级

  • 创建防火墙规则组 — 在 DNS Firewall 中,创建一个规则组来筛选 VPC 的 DNS 查询。您必须在要使用规则组的每个区域中创建规则组。您可能还想将过滤行为分成多个规则组,以便在不同的 VPCs过滤场景中重复使用。有关规则组的信息,请参阅DNS Firewall 规则组和规则

  • 添加和配置规则 — 为您希望规则组提供的每个域列表和筛选行为添加规则到规则组。设置规则的优先级设置,以便它们在规则组中以正确的顺序进行处理,请为要首先评估的规则赋予最低的优先级。有关规则的信息,请参阅 DNS Firewall 规则组和规则

  • 将规则组关联到您的 VPC — 要开始使用您的 DNS Firewall 规则组,请将其与您的 VPC 关联。如果您要为 VPC 使用多个规则组,请设置每个关联的优先级,以便按正确的顺序处理规则组,请为您要首先评估的规则组提供最低的优先级。有关更多信息,请参阅 管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联

  • (可选)更改 VPC 的防火墙配置 — 如果您希望 Route 53 Resolver 在 DNS Firewall 无法向查询发送响应时阻止查询,请在 Resolver 中更改 VPC 的 DNS Firewall 配置。有关更多信息,请参阅 DNS Firewall VPC 配置

在多个区域中使用 Route 53 Resolver DNS Firewall 规则组

Route 53 Resolver DNS 防火墙是一项区域服务,因此您在一个 AWS 区域中创建的对象仅在该区域可用。要在多个区域中使用同一个规则,您必须在各个区域中创建该规则。

创建规则组的 AWS 账户可以与其他 AWS 账户共享该规则组。有关更多信息,请参阅 在账户之间 AWS 共享 Route 53 解析器 DNS 防火墙规则组

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。