本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Route 53 Global Resolver 保護用戶端的 DNS
<a name="gr-securing-dns"></a>

下列各節說明如何建立規則來保護用戶端所提出的 DNS 查詢。

**Topics**
+ [設定和管理 DNS 防火牆規則](gr-configure-manage-firewall-rules.md)
+ [受管網域清單](gr-managed-domain-lists.md)
+ [建置網域清單](gr-build-domain-lists.md)
+ [DNS 防火牆進階保護](gr-dns-firewall-advanced-protections.md)
+ [管理安全政策](gr-manage-dns-security-policies.md)

# 設定和管理 DNS 防火牆規則
<a name="gr-configure-manage-firewall-rules"></a>

## 建立和檢視防火牆規則
<a name="gr-creating-viewing-firewall-rules"></a>

防火牆規則定義 Route 53 Global Resolver 如何處理根據網域清單、受管網域清單、內容類別或進階威脅防護的 DNS 查詢。每個規則都會指定優先順序、目標網域和要採取的動作。

**規則優先順序的最佳實務：**
+ 將優先順序 100-999 用於高優先順序允許規則 （受信任網域）
+ 針對區塊規則 （已知威脅） 使用優先順序 1000-4999 
+ 針對警示規則使用優先順序 5000-9999 （監控和分析）
+ 在優先順序之間保留差距，以允許未來規則插入

**建立 DNS 防火牆規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇**防火牆規則**索引標籤。

1. 選擇**建立防火牆規則**。

1. 在**規則詳細資訊**區段中：

   1. 針對**規則名稱**，輸入規則的描述性名稱 （最多 128 個字元）。

   1. （選用） 針對**規則描述**，輸入規則的描述 （最多 255 個字元）。

1. 在**規則組態**區段中，選擇**規則組態類型**：
   + **客戶受管網域清單** - 使用您建立和管理的網域清單
   + **AWS 受管網域清單** - 使用 Amazon 提供的網域清單，供您使用
   + **DNS Firewall Advanced 保護** - 從一系列受管保護中選擇並指定可信度閾值

1. 針對**規則動作**，選擇規則符合時要採取的動作：
   + **允許** - DNS 查詢已解析
   + **提醒** - 允許 DNS 查詢，但會建立提醒
   + **封鎖** - DNS 查詢遭到封鎖

1. 選擇**建立防火牆規則**。

使用下列程序來檢視指派給他們的規則。您也可以更新規則和規則設定。

**檢視和更新規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇 **DNS 防火牆規則**索引標籤。

1. 選擇您要檢視或編輯的規則，然後選擇**編輯**。

1. 在**規則**頁面中，您可以檢視和編輯設定。

如需有關規則值的資訊，請參閱 [DNS 防火牆中的規則設定](#gr-rule-settings-dns-firewall)。

**刪除規則**

1. 在 Route 53 全域解析程式主控台中，導覽至您的 DNS 檢視。

1. 選擇 **DNS 防火牆規則**索引標籤。

1. 選擇您要刪除的規則，然後選擇**刪除**，然後確認刪除。

## DNS 防火牆中的規則設定
<a name="gr-rule-settings-dns-firewall"></a>

當您在 DNS 檢視中建立或編輯 DNS 防火牆規則時，您可以指定下列值：

名稱  
DNS 檢視中規則的唯一識別符。

(選用) 說明  
提供規則詳細資訊的簡短說明。

網域清單  
規則檢查的網域清單。您可以建立和管理自己的網域清單，也可以訂閱為您 AWS 管理的網域清單。  
規則可以包含網域清單或 DNS Firewall Advanced 保護，但不能同時包含兩者。

查詢類型 （僅限網域清單）  
規則檢查的 DNS 查詢類型清單。以下是有效值：  
+ 答：傳回 IPv4 地址。
+ AAAA：傳回 Ipv6 地址。
+ CAA：限制可建立網域 SSL/TLS 憑證的 CAs。
+ CNAME：傳回另一個網域名稱。
+ DS：識別委派區域的 DNSSEC 簽署金鑰的記錄。
+ MX：指定郵件伺服器。
+ NAPTR：以Regular-expression-based網域名稱重寫。
+ NS：授權名稱伺服器。
+ PTR：將 IP 地址映射至網域名稱。
+ SOA：區域的授權記錄開始。
+ SPF：列出授權從網域傳送電子郵件的伺服器。
+ SRV：識別伺服器的應用程式特定值。
+ TXT：驗證電子郵件寄件者和應用程式特定值。
您使用 DNS 類型 ID 定義的查詢類型，例如 28 for AAAA。這些值必須定義為 TYPE`NUMBER`，其中 `NUMBER`可以是 1-65334，例如 TYPE28。如需詳細資訊，請參閱 [DNS 記錄類型的清單](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。  
您可以為每個規則建立一個查詢類型。

DNS Firewall Advanced 保護  
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護：  
+ 網域產生演算法 (DGAs)

  攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道

  攻擊者會使用 DNS 通道，透過使用 DNS 通道從用戶端洩漏資料，而無需與用戶端建立網路連線。
在 DNS Firewall Advanced 規則中，您可以選擇封鎖或提醒符合威脅的查詢。  
如需詳細資訊，請參閱 DNS Firewall Advanced 保護。  
規則可以包含 DNS Firewall Advanced 保護或網域清單，但不能同時包含兩者。

可信度閾值 （僅限 DNS Firewall Advanced)  
進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時，必須提供此值。安心程度值，意即：  
+ 高 — 僅偵測得到最充分證實的威脅，誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率，但也會增加誤報。
如需詳細資訊，請參閱 DNS 防火牆中的規則設定。

Action  
您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊，請參閱[DNS 防火牆中的規則動作](#gr-rule-actions-dns-firewall)。

Priority  
DNS 檢視中決定處理順序之規則的唯一正整數設定。DNS 防火牆會針對 DNS 檢視中的規則檢查 DNS 查詢，從最低的數值優先順序設定開始。您可以隨時變更規則的優先順序，例如變更處理順序或為其他規則騰出空間。

## DNS 防火牆中的規則動作
<a name="gr-rule-actions-dns-firewall"></a>

當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時，它會將規則中指定的動作套用至查詢。

您需要在建立的每個規則中指定下列其中一個選項：
+ **允許** - 停止檢查查詢並允許其通過。不適用於 DNS 防火牆進階。
+ **警示** - 停止檢查查詢、允許其通過，並在 Route 53 Resolver 日誌中記錄查詢的警示。
+ **封鎖** - 停止檢查查詢、封鎖查詢前往其預定目的地，並在 Route 53 Resolver 日誌中記錄查詢的封鎖動作。

  使用已設定的封鎖回應進行回覆，從下列選項中進行選擇：
  + **NODATA** - 回應表示查詢成功，但沒有可用的回應。
  + **NXDOMAIN** – 回應，指出查詢的網域名稱不存在。
  + **OVERRIDE** – 在回應中提供自訂覆寫。此選項需要下列額外的設定：
    + **記錄值** - 要傳回以回應查詢的自訂 DNS 記錄。
    + **記錄類型** – DNS 記錄的類型。這會決定記錄值的格式。這必須是 `CNAME`。
    + 以**秒為單位的存留時間** – DNS 解析程式或 Web 瀏覽器快取覆寫記錄的建議時間，如果再次收到，請使用它來回應此查詢。預設情況下，時間為零，而且不會快取記錄。

# Route 53 Global Resolver 的受管網域清單
<a name="gr-managed-domain-lists"></a>

受管網域清單包含與惡意活動或其他潛在威脅相關聯的網域名稱。 會 AWS 維護這些清單，讓 Route 53 Global Resolver 客戶在使用 DNS 防火牆時檢查網際網路繫結的 DNS 查詢。

為了保持在最新狀態以了解不斷變化的威脅趨勢，不僅費時而且耗錢。當您在 Global Resolver 上實作和使用 DNS 防火牆時，受管網域清單可以節省您的時間。當出現新的漏洞和威脅時， AWS 會自動更新清單。

受管網域清單分為威脅和內容類別，旨在協助保護您免受常見的 Web 威脅，並封鎖對不safe-for-work查詢解析。

最佳實務是在生產環境中使用受管網域清單之前，先在非生產環境中進行測試，並將規則動作設定為 `Alert`。使用結合 DNS 防火牆取樣請求或全域解析程式日誌的 Amazon CloudWatch 指標來評估規則。當您對規則執行所需的動作感到滿意時，請視需要變更動作設定。

## 可用的 AWS 受管網域清單
<a name="gr-available-managed-domain-lists"></a>

本節說明目前可供全域解析程式使用的受管網域清單。 為全域解析程式的所有使用者 AWS 提供下列受管網域清單，依**威脅**或**內容**類型分類。


**威脅類別**  

|  | 
| --- |
| 惡意軟體 | 
| 殭屍網路/命令和控制 | 
| 彙總威脅清單 | 
| Amazon GuardDuty 威脅清單 | 
| 網路釣魚 | 
| 垃圾郵件 | 


**內容類別**  

|  | 
| --- |
| 暴力和仇恨說話 | 
| 適用於兒童 | 
| 線上廣告 | 
| 科學 | 
| 家庭和親子教育 | 
| Pets | 
| 職業和工作搜尋 | 
| 宗教 | 
| 生活方式 | 
| 首頁和花園 | 
| 刑事和非法活動 | 
| 運動和娛樂 | 
| 車輛 | 
| 金融服務 | 
| 房地產 | 
| 興趣和興趣 | 
| 行程 | 
| 食品和餐飲 | 
| 政府和法律 | 
| 教育 | 
| 時尚 | 
| 運作狀態 | 
| 購物 | 
| 成人和成熟內容 | 
| 技術和網際網路 | 
| 商業和經濟 | 
| 新聞 | 
| 搜尋引擎和入口網站 | 
| 藝術與文化 | 
| 娛樂 | 
| 軍事 | 
| 社交網路 | 
| Proxy 迴避 | 
| 重新導向 | 
| Email | 
| 翻譯 | 
| 子濫用 | 
| 中止 | 
| 賭博 | 
| 駭客入侵 | 
| 大麻 | 
| 加密貨幣 | 
| 約會 | 
| 人工智慧和Machine Learning | 
| 停駐網域 | 
| 私有 IP 地址 | 

無法下載或瀏覽受管網域清單。為了保護智慧財產權，您無法檢視或編輯受管網域清單中的個別網域規格。此限制也有助於防止惡意使用者設計可專門規避發佈的清單的威脅。

# 建置要封鎖或允許的網域清單
<a name="gr-build-domain-lists"></a>

您可以建立自己的網域清單，以指定在受管網域清單提供項目中無法找到或您偏好自行處理的網域類別。

除了本節所述的程序之外，在主控台中，您可以在建立或更新規則時，在 DNS 防火牆規則管理的內容中建立網域清單。

您網域清單中的每個網域規格都必須符合以下要求：
+ 它可以選擇性地以 `*` (星號) 開頭。
+ 除了選用的起始星號和句號之外，作為標籤之間的分隔符號，它只能包含下列字元：`A-Z`、`a-z`、`0-9`、`-` (連字號)。
+ 長度必須為 1-255 個字元。

**建立網域清單**

1. 在 Route 53 全域解析程式主控台中，導覽至您的全域解析程式。

1. 選擇**網域清單**索引標籤。

1. 選擇**建立網域清單**。

1. 為您的網域清單提供名稱和選用描述，以及任何標籤，然後選取**建立網域清單**。

1. 建立並運作後，您可以選取新增網域，開始將網域**新增至您的網域**清單。

1. 如果您選擇**從 Amazon S3 儲存貯體上傳網域清單**，請輸入您建立網域清單的 Amazon S3 儲存貯體的 URI。此網域清單中每行應有一個網域名稱。

1. 否則，請在文字方塊中輸入網域規格，每行一個。

1. 選擇**新增網域**。

**刪除網域清單**

1. 在 Route 53 全域解析程式主控台中，導覽至您的全域解析程式。

1. 選擇**網域清單**索引標籤。

1. 選取您要刪除的網域清單，然後選擇 **Delete (刪除)** 並確認刪除。

# DNS 防火牆進階保護
<a name="gr-dns-firewall-advanced-protections"></a>

DNS Firewall Advanced 根據 DNS 查詢中的已知威脅簽章來偵測可疑的 DNS 查詢。您可以在與 DNS 檢視相關聯的 DNS 防火牆規則中使用的規則中指定威脅類型。

DNS Firewall Advanced 透過檢查 DNS 承載中的一系列金鑰識別符來識別可疑 DNS 威脅簽章，包括請求的時間戳記、請求和回應的頻率、DNS 查詢字串，以及傳出和傳入 DNS 查詢的長度、類型或大小。根據威脅簽章的類型，您可以設定要封鎖的政策，或直接在查詢上記錄和提醒。透過使用一組擴充的威脅識別符，您可以防止來自網域來源的 DNS 威脅，這些來源可能尚未由更廣泛的安全社群維護的威脅情報摘要進行分類。

目前，DNS Firewall Advanced 提供以下保護：
+ 網域產生演算法 (DGAs)

  攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ 字典 DGA

  偵測 DGA 攻擊，這些攻擊使用與大量字典單字相關聯的網域名稱來執行惡意命令並控制 DNS 通訊。
+ DNS 通道

  攻擊者會使用 DNS 通道，透過使用 DNS 通道從用戶端洩漏資料，而無需與用戶端建立網路連線。

若要了解如何建立規則，請參閱 [設定和管理 DNS 防火牆規則](gr-configure-manage-firewall-rules.md)。

## 減少誤判案例
<a name="gr-mitigating-false-positives"></a>

如果您在使用 DNS Firewall Advanced 保護封鎖查詢的規則中遇到誤判案例，請執行下列步驟：

1. 在全域解析程式日誌中，識別導致誤報的規則和 DNS Firewall Advanced 保護。為此，您可以尋找日下查詢的日誌：其封鎖 DNS 防火牆，但您想要允許通過。日誌記錄會列出 DNS 檢視、規則、規則動作和 DNS Firewall Advanced 保護。

1. 在 DNS 檢視中建立新的規則，明確允許封鎖的查詢通過。建立規則時，您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 的規則管理指引[設定和管理 DNS 防火牆規則](gr-configure-manage-firewall-rules.md)。

1. 優先考慮規則內的新規則，使其在使用受管清單的規則之前執行。為此，請將新規則指定為較低的數值優先順序設定。

當您更新規則時，新規則會明確允許您想要在封鎖規則執行之前允許的網域名稱。

# 在 Route 53 Global Resolver 中管理 DNS 安全政策
<a name="gr-manage-dns-security-policies"></a>

## 管理全域解析程式
<a name="gr-managing-resolvers"></a>

建立全域解析程式之後，您可以從全域解析程式頁面檢視其詳細資訊、編輯其組態，以及管理相關聯的資源。

### 檢視解析程式詳細資訊
<a name="gr-viewing-resolver-details"></a>

全域解析程式頁面會顯示所有解析程式的清單，其中包含解析程式名稱、部署區域、關聯的 DNS 檢視、可觀測性區域和操作狀態等重要資訊。

### 編輯全域解析程式
<a name="gr-editing-resolvers"></a>

您可以在建立之後修改解析程式名稱和描述。您無法修改建立全域解析程式後部署的區域。

## 管理防火牆規則
<a name="gr-managing-firewall-rules"></a>

建立防火牆規則之後，您可以視需要修改其優先順序、更新其組態或刪除它們。

### 規則優先順序和評估順序
<a name="gr-rule-priority"></a>

防火牆規則會依優先順序進行評估，先處理較低的數字。當查詢符合多個規則時，只會套用第一個相符規則的動作。

### 更新防火牆規則
<a name="gr-updating-rules"></a>

您可以在建立後更新防火牆規則的大部分層面，包括其優先順序、動作和目標網域。