本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定和管理 DNS 防火牆規則
<a name="gr-configure-manage-firewall-rules"></a>

## 建立和檢視防火牆規則
<a name="gr-creating-viewing-firewall-rules"></a>

防火牆規則定義 Route 53 Global Resolver 如何處理根據網域清單、受管網域清單、內容類別或進階威脅防護的 DNS 查詢。每個規則都會指定優先順序、目標網域和要採取的動作。

**規則優先順序的最佳實務：**
+ 將優先順序 100-999 用於高優先順序允許規則 （受信任網域）
+ 針對區塊規則 （已知威脅） 使用優先順序 1000-4999 
+ 針對警示規則使用優先順序 5000-9999 （監控和分析）
+ 在優先順序之間保留差距，以允許未來規則插入

**建立 DNS 防火牆規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇**防火牆規則**索引標籤。

1. 選擇**建立防火牆規則**。

1. 在**規則詳細資訊**區段中：

   1. 針對**規則名稱**，輸入規則的描述性名稱 （最多 128 個字元）。

   1. （選用） 針對**規則描述**，輸入規則的描述 （最多 255 個字元）。

1. 在**規則組態**區段中，選擇**規則組態類型**：
   + **客戶受管網域清單** - 使用您建立和管理的網域清單
   + **AWS 受管網域清單** - 使用 Amazon 提供的網域清單，供您使用
   + **DNS Firewall Advanced 保護** - 從一系列受管保護中選擇並指定可信度閾值

1. 針對**規則動作**，選擇規則符合時要採取的動作：
   + **允許** - DNS 查詢已解析
   + **提醒** - 允許 DNS 查詢，但會建立提醒
   + **封鎖** - DNS 查詢遭到封鎖

1. 選擇**建立防火牆規則**。

使用下列程序來檢視指派給他們的規則。您也可以更新規則和規則設定。

**檢視和更新規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇 **DNS 防火牆規則**索引標籤。

1. 選擇您要檢視或編輯的規則，然後選擇**編輯**。

1. 在**規則**頁面中，您可以檢視和編輯設定。

如需有關規則值的資訊，請參閱 [DNS 防火牆中的規則設定](#gr-rule-settings-dns-firewall)。

**刪除規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇 **DNS 防火牆規則**索引標籤。

1. 選擇您要刪除的規則，然後選擇**刪除**，然後確認刪除。

## DNS 防火牆中的規則設定
<a name="gr-rule-settings-dns-firewall"></a>

當您在 DNS 檢視中建立或編輯 DNS 防火牆規則時，您可以指定下列值：

名稱  
DNS 檢視中規則的唯一識別符。

(選用) 說明  
提供規則詳細資訊的簡短說明。

網域清單  
規則檢查的網域清單。您可以建立和管理自己的網域清單，也可以訂閱為您 AWS 管理的網域清單。  
規則可以包含網域清單或 DNS Firewall Advanced 保護，但不能同時包含兩者。

查詢類型 （僅限網域清單）  
規則檢查的 DNS 查詢類型清單。以下是有效值：  
+ 答：傳回 IPv4 地址。
+ AAAA：傳回 Ipv6 地址。
+ CAA：限制可建立網域 SSL/TLS 憑證的 CAs。
+ CNAME：傳回另一個網域名稱。
+ DS：識別委派區域的 DNSSEC 簽署金鑰的記錄。
+ MX：指定郵件伺服器。
+ NAPTR：以Regular-expression-based網域名稱重寫。
+ NS：授權名稱伺服器。
+ PTR：將 IP 地址映射至網域名稱。
+ SOA：區域的授權記錄開始。
+ SPF：列出授權從網域傳送電子郵件的伺服器。
+ SRV：識別伺服器的應用程式特定值。
+ TXT：驗證電子郵件寄件者和應用程式特定值。
您使用 DNS 類型 ID 定義的查詢類型，例如 28 for AAAA。這些值必須定義為 TYPE`NUMBER`，其中 `NUMBER`可以是 1-65334，例如 TYPE28。如需詳細資訊，請參閱 [DNS 記錄類型的清單](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。  
您可以為每個規則建立一個查詢類型。

DNS Firewall Advanced 保護  
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護：  
+ 網域產生演算法 (DGAs)

  攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道

  攻擊者會使用 DNS 通道，透過使用 DNS 通道從用戶端洩漏資料，而無需與用戶端建立網路連線。
在 DNS Firewall Advanced 規則中，您可以選擇封鎖或提醒符合威脅的查詢。  
如需詳細資訊，請參閱 DNS Firewall Advanced 保護。  
規則可以包含 DNS Firewall Advanced 保護或網域清單，但不能同時包含兩者。

可信度閾值 （僅限 DNS Firewall Advanced)  
進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時，必須提供此值。安心程度值，意即：  
+ 高 — 僅偵測得到最充分證實的威脅，誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率，但也會增加誤報。
如需詳細資訊，請參閱 DNS 防火牆中的規則設定。

Action  
您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊，請參閱[DNS 防火牆中的規則動作](#gr-rule-actions-dns-firewall)。

Priority  
DNS 檢視中決定處理順序之規則的唯一正整數設定。DNS 防火牆會針對 DNS 檢視中的規則檢查 DNS 查詢，從最低的數值優先順序設定開始。您可以隨時變更規則的優先順序，例如變更處理順序或為其他規則騰出空間。

## DNS 防火牆中的規則動作
<a name="gr-rule-actions-dns-firewall"></a>

當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時，它會將規則中指定的動作套用至查詢。

您需要在建立的每個規則中指定下列其中一個選項：
+ **允許** - 停止檢查查詢並允許其通過。不適用於 DNS 防火牆進階。
+ **警示** - 停止檢查查詢、允許其通過，並在 Route 53 Resolver 日誌中記錄查詢的警示。
+ **封鎖** - 停止檢查查詢、封鎖查詢前往其預定目的地，並在 Route 53 Resolver 日誌中記錄查詢的封鎖動作。

  使用已設定的封鎖回應進行回覆，從下列選項中進行選擇：
  + **NODATA** - 回應表示查詢成功，但沒有可用的回應。
  + **NXDOMAIN** – 回應，指出查詢的網域名稱不存在。
  + **OVERRIDE** – 在回應中提供自訂覆寫。此選項需要下列額外的設定：
    + **記錄值** - 要傳回以回應查詢的自訂 DNS 記錄。
    + **記錄類型** – DNS 記錄的類型。這會決定記錄值的格式。這必須是 `CNAME`。
    + 以**秒為單位的存留時間** – DNS 解析程式或 Web 瀏覽器快取覆寫記錄的建議時間，如果再次收到，請使用它來回應此查詢。預設情況下，時間為零，而且不會快取記錄。