本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 受管網域清單 受管網域清單包含與惡意活動或其他潛在威脅相關聯的網域名稱。 AWS 會維護這些清單,讓 Route 53 VPC Resolver 客戶在使用 DNS 防火牆時免費檢查傳出 DNS 查詢。 為了保持在最新狀態以了解不斷變化的威脅趨勢,不僅費時而且耗錢。當您實作和使用 DNS Firewall 時,受管網域清單可以節省您的時間。當新漏洞和威脅出現時 AWS , 會自動更新清單。在公開揭露之前, AWS 通常會收到新漏洞的通知,因此 DNS Firewall 可以在新威脅廣為人知之前,經常為您部署緩解措施。 受管網域清單是用來協助您防範常見的 Web 威脅,並為您的應用程式增加另一層安全性。 AWS 受管網域清單會從內部 AWS 來源和 [ RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) 取得其資料,並持續更新。不過, AWS 受管網域清單並非用來取代其他安全控制,例如 Amazon GuardDuty,其取決於您選取的 AWS 資源。 最佳實務是在生產環境中使用受管網域清單之前,先在非生產環境中進行測試,並將規則動作設定為 `Alert`。使用結合解析程式 DNS 防火牆取樣請求或 DNS 防火牆日誌的 Amazon CloudWatch 指標來評估規則。當您對規則執行所需的動作感到滿意時,請視需要變更動作設定。 **可用的 AWS 受管網域清單** 本節說明目前可用的 受管網域清單。您在位於支援這些清單的區域時,如果您管理網域清單以及指定規則的網域清單,就會在主控台上看到這些清單。在日誌中,網域清單會記錄在 `firewall_domain_list_id field` 內。 AWS 在可用的區域中,為解析程式 DNS 防火牆的所有使用者提供下列受管網域清單。 + `AWSManagedDomainsMalwareDomainList` – – 與傳送惡意軟體、託管惡意軟體或散佈惡意軟體相關聯的網域。 + `AWSManagedDomainsBotnetCommandandControl` - 與控制受到垃圾郵件惡意程式碼感染的電腦網路相關聯的網域。 + `AWSManagedDomainsAggregateThreatList` – 與多個 DNS 威脅類別相關聯的網域,包括惡意軟體、勒索軟體、殭屍網路、間諜軟體和 DNS 通道,以協助封鎖多種類型的威脅。 `AWSManagedDomainsAggregateThreatList`包含此處列出的其他 AWS 受管網域清單中的所有網域。 + `AWSManagedDomainsAmazonGuardDutyThreatList`:與 Amazon GuardDuty DNS 安全調查結果相關聯的網域。這些網域僅來自 GuardDuty 的威脅情報系統,不包含來自外部第三方來源的網域。更具體地說,目前此清單只會封鎖在 GuardDuty 中內部產生並用於下列偵測的網域:Impact:EC2/AbusedDomainRequest.Reputation,Impact:EC2/BitcoinDomainRequest.Reputation,Impact:EC2/MaliciousDomainRequest.Reputation,Impact:Runtime/AbusedDomainRequest.Reputation,Impact:Runtime/BitcoinDomainRequest.Reputation,和 Impact:Runtime/MaliciousDomainRequest.Reputation. 如需詳細資訊,請參閱《*Amazon GuardDuty 使用者指南*》中的[問題清單類型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)。 AWS 無法下載或瀏覽受管網域清單。為了保護智慧財產權,您無法檢視或編輯 AWS 受管網域清單中的個別網域規格。此限制也有助於防止惡意使用者設計可專門規避發佈的清單的威脅。 **測試受管網域清單** 我們提供以下網域集來測試受管網域清單: **AWSManagedDomainsBotnetCommandandControl** + controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsMalwareDomainList** + controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsAggregateThreatList 和 AWSManagedDomainsAmazonGuardDutyThreatList** + controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com 如果這些網域未遭到封鎖,則會解析為 1.2.3.4。如果您在 VPC 中使用受管網域清單,查詢這些網域會傳回規則中封鎖動作設定為的回應 (例如 NODATA)。 如需受管網域清單的詳細資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 下表列出 AWS 受管網域清單的區域可用性。 **受管網域清單的區域可用性** | 區域 | 受管網域清單是否可用? | | --- | --- | | 非洲 (開普敦) | 是 | | 亞太地區 (香港) | 是 | | 亞太地區 (海德拉巴) | 是 | | 亞太地區 (雅加達) | 是 | | 亞太地區 (馬來西亞) | 是 | | 亞太地區 (墨爾本) | 是 | | 亞太地區 (孟買) | 是 | | 亞太 (大阪) 區域 | 是 | | 亞太地區 (首爾) | 是 | | 亞太地區 (新加坡) | 是 | | 亞太地區 (悉尼) | 是 | | 亞太區域 (泰國) | 是 | | 亞太地區 (東京) | 是 | | 加拿大 (中部) 區域 | 是 | | 加拿大西部 (卡加利) | 是 | | 歐洲 (法蘭克福) 區域 | 是 | | 歐洲 (愛爾蘭) 區域 | 是 | | 歐洲 (倫敦) 區域 | 是 | | 歐洲 (米蘭) | 是 | | 歐洲 (巴黎) 區域 | 是 | | 歐洲 (西班牙) | 是 | | 歐洲 (斯德哥爾摩) | 是 | | 歐洲 (蘇黎世) | 是 | | 以色列 (特拉維夫) | 是 | | Middle East (Bahrain) | 是 | | 中東 (阿拉伯聯合大公國) | 是 | | 南美洲 (聖保羅) | 是 | | 美國東部 (維吉尼亞北部) | 是 | | 美國東部 (俄亥俄) | 是 | | 美國西部 (加利佛尼亞北部) | 是 | | 美國西部 (奧勒岡) | 是 | | 中國 (北京) | 是 | | 中國 (寧夏) | 是 | | AWS GovCloud (US) | 是 | **其他安全考慮事項** AWS 受管網域清單旨在協助保護您免受常見的 Web 威脅。根據文件使用時,這些清單會為您的應用程式增加另一層安全性。不過,受管網域清單並非要用來取代其他安全性控制措施,這是由您選取的 AWS 資源決定的。為了確保您在 中的資源 AWS 受到適當保護,請參閱[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)中的指引。 **減少誤判案例** 如果您在規則中遇到使用 受管網域清單封鎖查詢的誤判案例,請執行下列步驟: 1. 在 VPC Resolver 日誌中,識別導致誤報的規則群組和受管網域清單。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。該日誌記錄會列出規則群組、規則動作和受管清單。如需有關日誌的資訊,請參閱 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。 1. 在規則群組中建立明確允許封鎖的查詢通過的新規則。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 [建立規則群組和規則](resolver-dns-firewall-rule-group-adding.md) 中涉及規則群組和規則管理的指引。 1. 在規則群組內排定新規則的優先順序,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。 當您更新規則群組時,新規則會明確允許封鎖規則執行前要允許的網域名稱。