DNS防火墙中的规则设置 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNS防火墙中的规则设置

在DNS防火墙规则组中创建或编辑规则时,需要指定以下值:

名称

用于规则组中规则的唯一标识符。

(可选)描述

提供有关规则的更多信息的简短描述。

域列表

规则检查的域列表。您可以创建和管理自己的域列表,也可以订阅 AWS 为您管理的域列表。有关更多信息,请参阅 Route 53 解析器DNS防火墙域列表

域名重定向设置

您可以选择DNS防火墙规则仅检查DNS重定向链中的第一个域或所有(默认)域,例如CNAMEDNAME、等。如果您选择检查所有域,则必须将DNS重定向链中的后续域添加到域列表中,并设置为您希望规则执行的操作,即ALLOWBLOCK、或ALERT。有关更多信息,请参阅 Route 53 解析器DNS防火墙组件和设置

查询类型

规则检查的DNS查询类型列表。以下是有效值:

  • 答:返回IPv4地址。

  • AAAA: 返回 IPv6 地址。

  • CAA: CAs 可以为域名创建SSL/TLS认证的限制。

  • CNAME: 返回另一个域名。

  • DS:标识委派区域DNSSEC签名密钥的记录。

  • MX:指定邮件服务器。

  • NAPTR: Regular-expression-based 重写域名。

  • NS:权威域名服务器。

  • PTR:将 IP 地址映射到域名。

  • SOA: 该区域的权限记录的开始。

  • SPF:列出有权从某个域发送电子邮件的服务器。

  • SRV:用于标识服务器的应用程序特定值。

  • TXT:验证电子邮件发件人和应用程序特定的值。

  • 使用类型 ID 定义的查询DNS类型,例如 28 为AAAA。这些值必须定义为 TYPENUMBER,其中 NUMBER 例如,可以是 1-65334。TYPE28有关更多信息,请参阅DNS记录类型列表

    您可以为每条规则创建一个查询类型。

    注意

    如果您设置了NXDOMAIN对查询类型等于的操作的防火墙BLOCK规则AAAA,则此操作将不会应用DNS64于启用时生成的合成IPv6地址。

操作

您希望 Fi DNS rewall 如何处理域名与规则域列表中的规范相匹配的DNS查询。有关更多信息,请参阅 DNS防火墙中的规则操作

优先级

规则组中唯一确定处理顺序的正整数设置。DNSFirewall 根据规则组中的规则检查DNS查询,从最低的数字优先级设置开始,然后向上移动。您可以随时更改规则的优先级,例如更改处理顺序或为其它规则留出空间。