本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
受管網域清單
受管網域清單包含與惡意活動或其他潛在威脅相關聯的網域名稱。 AWS 會維護這些清單,讓 Route 53 Resolver 客戶在使用 DNS 防火牆時免費檢查傳出 DNS 查詢。
為了保持在最新狀態以了解不斷變化的威脅趨勢,不僅費時而且耗錢。受管網域清單可以節省您實作和使用 DNS Firewall 的時間。當出現新的漏洞和威脅時 AWS , 會自動更新清單。在公開揭露之前, AWS 通常會收到新漏洞的通知,因此 DNS Firewall 可以在新威脅變得廣為人知之前,經常為您部署緩解措施。
受管網域清單是用來協助您防範常見的 Web 威脅,並為您的應用程式增加另一層安全性。 AWS 受管網域清單會同時從內部 AWS 來源和 RecordedFuture
最佳實務是在生產環境中使用受管網域清單之前,先在非生產環境中進行測試,並將規則動作設定為 Alert。使用 Amazon CloudWatch 指標結合 Route 53 Resolver DNS 防火牆取樣請求或 DNS 防火牆日誌來評估規則。當您對規則執行所需的動作感到滿意時,請視需要變更動作設定。
可用的 AWS 受管網域清單
本節說明目前可用的 受管網域清單。您在位於支援這些清單的區域時,如果您管理網域清單以及指定規則的網域清單,就會在主控台上看到這些清單。在日誌中,網域清單會記錄在 firewall_domain_list_id field 內。
AWS 為 Route 53 Resolver DNS 防火牆的所有使用者,在可用的區域中提供下列受管網域清單。
-
AWSManagedDomainsMalwareDomainList– – 與傳送惡意軟體、託管惡意軟體或散佈惡意軟體相關聯的網域。 -
AWSManagedDomainsBotnetCommandandControl- 與控制受到垃圾郵件惡意程式碼感染的電腦網路相關聯的網域。 -
AWSManagedDomainsAggregateThreatList– 與多個 DNS 威脅類別相關聯的網域,包括惡意軟體、勒索軟體、殭屍網路、間諜軟體和 DNS 通道,以協助封鎖多種類型的威脅。AWSManagedDomainsAggregateThreatList包含此處列出的其他 AWS 受管網域清單中的所有網域。 -
AWSManagedDomainsAmazonGuardDutyThreatList:與 Amazon GuardDuty DNS 安全調查結果相關聯的網域。這些網域僅來自 GuardDuty 的威脅情報系統,不包含來自外部第三方來源的網域。更具體地說,目前此清單只會封鎖在 GuardDuty 中內部產生並用於下列偵測的網域:Impact:EC2/AbusedDomainRequest.Reputation,Impact:EC2/BitcoinDomainRequest.Reputation,Impact:EC2/MaliciousDomainRequest.Reputation,Impact:Runtime/AbusedDomainRequest.Reputation,Impact:Runtime/BitcoinDomainRequest.Reputation,和 Impact:Runtime/MaliciousDomainRequest.Reputation.如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的調查結果類型。
AWS 無法下載或瀏覽受管網域清單。為了保護智慧財產權,您無法檢視或編輯 AWS 受管網域清單中的個別網域規格。此限制也有助於防止惡意使用者設計可專門規避發佈的清單的威脅。
測試受管網域清單
我們提供以下網域集來測試受管網域清單:
- AWSManagedDomainsBotnetCommandandControl
-
controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsMalwareDomainList
-
controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsAggregateThreatList 和 AWSManagedDomainsAmazonGuardDutyThreatList
-
controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
如果這些網域未遭到封鎖,則會解析為 1.2.3.4。如果您在 VPC 中使用受管網域清單,查詢這些網域會傳回規則中封鎖動作設定為的回應 (例如 NODATA)。
如需受管網域清單的詳細資訊,請聯絡 AWS 支援 中心
下表列出 AWS 受管網域清單的區域可用性。
| 區域 | 受管網域清單是否可用? |
|---|---|
|
非洲 (開普敦) |
是 |
|
亞太區域 (香港) |
是 |
|
亞太區域 (海德拉巴) |
是 |
|
亞太區域 (雅加達) |
是 |
|
亞太地區 (馬來西亞) |
是 |
|
亞太區域 (墨爾本) |
是 |
|
亞太區域 (孟買) |
是 |
|
亞太 (大阪) 區域 |
是 |
|
亞太區域 (首爾) |
是 |
亞太區域 (新加坡) |
是 |
|
亞太區域 (悉尼) |
是 |
|
亞太區域 (東京) |
是 |
|
加拿大 (中部) 區域 |
是 |
|
加拿大西部 (卡加利) |
是 |
|
歐洲 (法蘭克福) 區域 |
是 |
|
歐洲 (愛爾蘭) 區域 |
是 |
|
歐洲 (倫敦) 區域 |
是 |
|
歐洲 (米蘭) |
是 |
|
歐洲 (巴黎) 區域 |
是 |
|
歐洲 (西班牙) |
是 |
|
歐洲 (斯德哥爾摩) |
是 |
|
歐洲 (蘇黎世) |
是 |
|
以色列 (特拉維夫) |
是 |
|
Middle East (Bahrain) |
是 |
|
中東 (阿拉伯聯合大公國) |
是 |
|
南美洲 (聖保羅) |
是 |
|
美國東部 (維吉尼亞北部) |
是 |
|
美國東部 (俄亥俄) |
是 |
|
美國西部 (加利佛尼亞北部) |
是 |
|
美國西部 (奧勒岡) |
是 |
|
中國 (北京) |
是 |
|
中國 (寧夏) |
是 |
|
AWS GovCloud (US) |
是 |
其他安全考慮事項
AWS 受管網域清單旨在協助保護您免受常見的 Web 威脅。根據文件使用時,這些清單會為您的應用程式增加另一層安全性。不過,受管網域清單並非要用來取代其他安全性控制措施,這是由您選取的 AWS
資源決定的。為了確保您在 中的資源 AWS 受到適當保護,請參閱 共同責任模型
減少誤判案例
如果您在規則中遇到使用 受管網域清單封鎖查詢的誤判案例,請執行下列步驟:
-
在 Resolver 日誌中,識別造成誤判的規則群組和受管網域清單。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。該日誌記錄會列出規則群組、規則動作和受管清單。如需有關日誌的資訊,請參閱 出現在 Resolver 查詢日誌中的值。
-
在規則群組中建立明確允許封鎖的查詢通過的新規則。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 建立規則群組和規則 中涉及規則群組和規則管理的指引。
-
在規則群組內排定新規則的優先順序,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。
當您更新規則群組時,新規則會明確允許封鎖規則執行前要允許的網域名稱。
