Route 53 Resolver DNS 防火墻的運作方式 - Amazon Route 53
DNS 防火牆元件和設定Route 53 Resolver DNS 防火墻如何篩選 DNS 查詢使用 DNS 防火墻的高階步驟在多個區域中使用 DNS 防火牆規則群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Route 53 Resolver DNS 防火墻的運作方式

Route 53 Resolver DNS 防火牆可讓您控制網站的存取,並針對透過 Route 53 Resolver 從 VPC 傳出的 DNS 查詢,封鎖 DNS 層級的威脅。使用 DNS 防火牆,您可以在與 VPC 關聯的規則群組中定義網域名稱篩選規則。您可以指定要允許或封鎖的網域名稱清單,或 Route 53 Resolver DNS Firewall Advanced 規則,以提供對 DNS 通道和網域產生演算法 (DGA) 型威脅的保護。您可以自訂所封鎖 DNS 查詢的回應。對於包含網域清單的規則,您也可以微調規則,以允許特定查詢類型,例如 MX 記錄。

DNS 防火牆只會篩選網域名稱。它不會將該名稱解析為要封鎖的 IP 地址。此外,DNS 防火牆會篩選 DNS 流量,但不會篩選其他應用程式層通訊協定,例如 HTTPS、SSH、TLS、FTP 等。

Route 53 Resolver DNS 防火墻的元件和設定

您可以使用下列中央元件和設定來管理 DNS 防火墻。

DNS 防火墻規則群組

定義具名、可重複使用的 DNS 防火墻規則集合,用於篩選 DNS 查詢。您可以使用篩選規則填入規則群組,然後將規則群組與一或多個 VPC 建立關聯。當您將規則群組與 VPC 建立關聯時,即啟用 VPC 的 DNS Firewall 篩選。然後,當 Resolver 收到具有與其相關聯的規則群組的 VPC 的 DNS 查詢時,Resolver 會將查詢傳遞至 DNS Firewall 進行篩選。

如果您將多個規則群組與單一 VPC 相關聯,則可以透過每個關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。

如需詳細資訊,請參閱DNS 防火墻規則群組與規則

DNS 防火牆規則

為 DNS 防火牆規則群組中的 DNS 查詢定義篩選規則。每個規則都會指定一個網域清單或 DNS 防火牆保護,以及針對網域符合規則中網域規格的 DNS 查詢所採取的動作。您可以允許 (僅限網域清單規則)、封鎖或提醒相符的查詢。在具有網域清單的規則中,您也可以指定清單中網域的查詢類型,例如,您可以封鎖或允許特定網域或網域的 MX 查詢類型。您也可以為封鎖的查詢定義自訂回應。

對於 DNS 防火牆規則,您只能封鎖或提醒相符的查詢。

規則群組中的每個規則都有該群組內唯一的優先順序設定。DNS 防火牆從最低數值優先順序開始處理規則群組中的規則。

DNS 防火牆規則只存在於定義這些規則群組的內容中。您無法重複使用規則,也無法獨立於規則群組參考規則。

如需詳細資訊,請參閱DNS 防火墻規則群組與規則

網域清單

定義用於 DNS 篩選的具名、可重複使用的網域規格集合。規則群組中的每個規則都需要單一網域清單。您可以選擇指定要允許存取的網域、要拒絕存取的網域或兩者的組合。您可以建立自己的網域清單,也可以使用為您 AWS 管理的網域清單。

如需詳細資訊,請參閱Route 53 Resolver DNS 防火墻網域清單

網域重新導向設定 (僅限網域清單)

網域重新導向設定可讓您設定 DNS 防火牆規則,以檢查 DNS 重新導向鏈中的所有網域 (預設),例如 CNAME、DNAME 等,或僅第一個網域並信任其餘網域。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至規則中設定為允許的網域清單。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至網域清單,並設定為您希望規則採取的動作,即 ALLOW、BLOCK 或 ALERT。

如需詳細資訊,請參閱DNS 防火牆中的規則設定

查詢類型 (僅限網域清單)

查詢類型設定可讓您設定 DNS 防火牆規則來篩選特定的 DNS 查詢類型。如果您未選取查詢類型,則規則會套用至所有 DNS 查詢類型。例如,您可能想要封鎖特定網域的所有查詢類型,但允許 MX 記錄。

如需詳細資訊,請參閱DNS 防火牆中的規則設定

DNS Firewall Advanced 保護

根據 DNS 查詢中的已知威脅簽章偵測可疑的 DNS 查詢。規則群組中的每個規則都需要單一 DNS Firewall Advanced 保護設定。您可以選擇以下保護:

  • 網域產生演算法 (DGAs)

    攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。

  • DNS 通道

    攻擊者使用 DNS 通道,無需與用戶端建立網路連線,即可使用 DNS 通道從用戶端竊取資料。

在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。威脅防護演算法由 管理和更新 AWS。

如需詳細資訊,請參閱Route 53 Resolver DNS Firewall Advanced

可信度閾值 (僅限 DNS 防火牆進階保護)

DNS 威脅防護的可信度閾值。建立 DNS Firewall Advanced 規則時,您必須提供此值。可信度層級值表示:

  • 高 – 僅偵測誤報率較低的最良好確證威脅。

  • 中 – 在偵測威脅和誤報之間取得平衡。

  • 低 - 為威脅提供最高的偵測率,但也會增加誤報。

如需詳細資訊,請參閱DNS 防火牆中的規則設定

DNS 防火墻規則群組與 VPC 之間的關聯

使用 DNS 防火牆規則群組定義對 VPC 的保護,並啟用 VPC 的 Resolver DNS 防火牆設定。

如果您將多個規則群組與單一 VPC 相關聯,則可以透過關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。

如需詳細資訊,請參閱為 VPC 啟用 Route 53 Resolver DNS 防火墻保護

VPC 的 Resolver DNS 防火牆設定

Resolver 解析程式在 VPC 層級處理 DNS 防火牆保護的方式。每當您至少有一個與 VPC 相關聯的 DNS 防火牆規則群組時,此設定就會生效。

此設定會指定當 DNS 防火牆無法篩選查詢時,Route 53 Resolver 如何處理查詢。根據預設,如果 Resolver 未收到來自 DNS 防火牆的查詢回應,則其會失敗關閉並封鎖查詢。

如需詳細資訊,請參閱DNS 防火墻 VPC 組態

監控 DNS 防火牆動作

您可以使用 Amazon CloudWatch 來監控依 DNS 防火牆規則群組篩選的 DNS 查詢數量。CloudWatch 會收集原始資料並將其處理為可讀取、近乎即時的指標。

如需詳細資訊,請參閱使用 Amazon CloudWatch 監控 Route 53 Resolver DNS 防火墻規則群組

您可以使用 Amazon EventBridge,這是一種無伺服器服務,使用事件將應用程式元件連接在一起,以建置可擴展的事件驅動型應用程式。

如需詳細資訊,請參閱使用 管理 Route 53 Resolver DNS 防火牆事件 Amazon EventBridge

Route 53 Resolver DNS 防火墻如何篩選 DNS 查詢

當 DNS 防火牆規則群組與 VPC 的 Route 53 Resolver 相關聯時,防火牆會篩選下列流量:

  • 源自該 VPC 並通過 VPC DNS 的 DNS 查詢。

  • 將 Resolver 端點從內部部署資源傳遞至具有與其解析程式相關聯的 DNS 防火牆相同 VPC 的 DNS 查詢。

當 DNS 防火牆收到 DNS 查詢時,它會使用您已設定的規則群組、規則和其他設定來篩選查詢,並將結果傳回 Resolver:

  • DNS 防火牆會使用與 VPC 相關聯的規則群組來評估 DNS 查詢,直到找到相符項目或篩選所有規則群組為止。DNS 防火牆會根據您在關聯中設定的優先順序評估規則群組,從最低的數值設定開始。如需詳細資訊,請參閱 DNS 防火墻規則群組與規則為 VPC 啟用 Route 53 Resolver DNS 防火墻保護

  • 在每個規則群組中,DNS 防火牆會根據每個規則的網域清單或 DNS Firewall Advanced 保護來評估 DNS 查詢,直到找到相符項目或耗盡所有規則為止。DNS 防火墻從最低數值設定開始,依照優先順序評估規則。如需詳細資訊,請參閱DNS 防火墻規則群組與規則

  • 當 DNS Firewall 找到與規則的網域清單相符,或 DNS Firewall Advanced 規則保護所識別的異常時,它會終止查詢評估,並回應解析程式結果。如果相關動作是 alert,則 DNS 防火牆也會傳送警示至設定的 Resolver 日誌。如需詳細資訊,請參閱DNS 防火牆中的規則動作Route 53 Resolver DNS 防火墻網域清單Route 53 Resolver DNS Firewall Advanced

  • 如果 DNS 防火牆在未找到相符項目的情況下評估所有規則群組,它會正常回應該查詢。

Resolver 會根據來自 DNS 防火牆的回應路由查詢。在 DNS 防火牆無法回應的少見情況下,Resolver 會套用 VPC 設定的 DNS 防火牆失敗模式。如需詳細資訊,請參閱DNS 防火墻 VPC 組態

使用 Route 53 Resolver DNS 防火墻的高階步驟

若要在 Amazon Virtual Private Cloud VPC 中實作 Route 53 Resolver DNS 防火牆篩選,請執行以下高階步驟。

  • 定義您的篩選方法、網域清單或 DNS 防火牆保護 – 決定您要如何篩選查詢、識別您需要的網域規格,以及定義您將用來評估查詢的邏輯。例如,您可能想要允許除在已知惡意網域清單中的查詢外的所有查詢。或者,您可能想要執行相反操作,並封鎖除核准網域清單之外的所有查詢,這就是所謂的圍牆花園方法。您可以建立和管理自己的已核准或封鎖網域規格清單,也可以使用為您 AWS 管理的網域清單。對於 DNS 防火牆保護,您可以封鎖所有查詢來篩選查詢,或者您可以提醒任何可疑查詢流量到可能包含與威脅相關的異常 (DGA、DNS 通道) 的網域,以測試您的 DNS 防火牆設定。如需詳細資訊,請參閱 Route 53 Resolver DNS 防火墻網域清單Route 53 Resolver DNS Firewall Advanced

  • 建立防火牆規則群組 - 在 DNS 防火牆中,建立規則群組以篩選 VPC 的 DNS 查詢。您必須在想要使用規則群組的每個區域中建立規則群組。您也可能想要將篩選行為分成多個規則群組,以便在不同 VPC 的多個篩選案例中重複使用。如需規則群組的詳細資訊,請參閱 DNS 防火墻規則群組與規則

  • 新增和設定您的規則 - 針對您希望規則群組提供的每個網域清單和篩選行為,將規則新增至規則群組。設定規則的優先順序設定,以便它們在規則群組中以正確的順序得到處理,同時為您要先評估的規則提供最低的優先順序。如需規則的詳細資訊,請參閱 DNS 防火墻規則群組與規則

  • 將規則群組與 VPC 產生關聯 - 若要開始使用 DNS 防火牆規則群組,請將其與 VPC 產生關聯。如果您針對 VPC 使用多個規則群組,請設定每個關聯的優先順序,以便以正確的順序處理規則群組,同時為您要先評估的規則群組提供最低的優先順序。如需詳細資訊,請參閱管理 VPC 與 Route 53 Resolver DNS 防火牆規則群組之間的關聯

  • (選用) 變更 VPC 的防火牆組態 - 如果您想要 Route 53 Resolver 在 DNS 防火牆無法傳回回應時封鎖查詢,請在 Resolver 中變更 VPC 的 DNS 防火牆設定。如需詳細資訊,請參閱DNS 防火墻 VPC 組態

在多個區域中使用 Route 53 Resolver DNS 防火墻規則群組

Route 53 Resolver DNS Firewall 是一項區域性服務,因此您在一個 AWS 區域中建立的物件只能在該區域中使用。若要在多個區域中使用相同的規則群組,您必須在每個區域中建立該規則。

建立規則群組 AWS 的帳戶可以與其他 AWS 帳戶共用。如需詳細資訊,請參閱在 AWS 帳戶之間共用 Route 53 Resolver DNS 防火牆規則群組