Route 53 Resolver DNS Firewall 的運作方式

定義用於篩選DNS查詢的已命名、可重複使用的DNS防火牆規則集合。您可以將篩選規則填入規則群組，然後將規則群組與一或多個 建立關聯VPCs。當您將規則群組與 建立關聯時VPC，您可以啟用 的DNS防火牆篩選VPC。然後，當 Resolver 收到具有與其相關聯之規則群組的 VPC DNS查詢時，Resolver 會將查詢傳遞至DNS防火牆進行篩選。

如果您將多個規則群組與單一 建立關聯VPC，您可以透過每個關聯的優先順序設定來指示其處理順序。DNS 防火牆VPC會從上的最低數值優先順序設定來處理 的規則群組。

如需詳細資訊，請參閱DNS 防火牆規則群組和規則。

定義DNS防火牆規則群組中DNS查詢的篩選規則。每個規則都會指定一個網域清單，以及要針對網域符合清單中網域規格的DNS查詢採取的動作。您可以允許、封鎖或提醒比對查詢，或清單中網域的查詢類型，例如，您可以封鎖或允許特定網域或網域的 MX 查詢類型。您也可以為封鎖的查詢定義自訂回應。

規則群組中的每個規則都有該群組內唯一的優先順序設定。DNS 防火牆會從上的最低數值優先順序設定來處理規則群組中的規則。

DNS 防火牆規則僅在定義規則群組的內容中存在。您無法重複使用規則，也無法獨立於規則群組參考規則。

如需詳細資訊，請參閱DNS 防火牆規則群組和規則。

定義具名、可重複使用的網域規格集合，用於DNS篩選。規則群組中的每個規則都需要單一網域清單。您可以選擇指定要允許存取的網域、要拒絕存取的網域或兩者的組合。您可以建立自己的網域清單，也可以使用為您 AWS 管理的網域清單。

如需詳細資訊，請參閱Route 53 Resolver DNS Firewall 網域清單。

網域重新導向設定可讓您設定DNS防火牆規則，以檢查DNS重新導向鏈中的所有網域 （預設）DNAME，例如 CNAME、 等，或僅第一個網域並信任其餘網域。如果您選擇檢查整個DNS重新導向鏈，則必須將後續網域新增至規則ALLOW中設定的網域清單。如果您選擇檢查整個DNS重新導向鏈，則必須將後續網域新增至網域清單，並設定為您希望規則採取的動作，可以是 ALLOW、 BLOCK或 ALERT。

如需詳細資訊，請參閱DNS 防火牆中的規則設定。

查詢類型設定可讓您設定DNS防火牆規則來篩選特定DNS查詢類型。如果您未選取查詢類型，則規則會套用至所有DNS查詢類型。例如，您可能想要封鎖特定網域的所有查詢類型，但允許 MX 記錄。

如需詳細資訊，請參閱DNS 防火牆中的規則設定。

VPC 使用DNS防火牆規則群組定義 的保護，並啟用 的解析器DNS防火牆組態VPC。

如果您將多個規則群組與單一 建立關聯VPC，您可以透過關聯中的優先順序設定來指示其處理順序。DNS 防火牆VPC會從上的最低數值優先順序設定來處理 的規則群組。

如需詳細資訊，請參閱為您的 啟用 Route 53 Resolver DNS Firewall 保護 VPC。

指定 Resolver 應如何處理VPC層級的DNS防火牆保護。每當您有至少一個與 相關聯的DNS防火牆規則群組時，此組態就會生效VPC。

此組態指定 Route 53 Resolver 在DNS防火牆無法篩選查詢時如何處理查詢。根據預設，如果 Resolver 未收到來自DNS防火牆的查詢回應，則會關閉並封鎖查詢。

如需詳細資訊，請參閱DNS 防火牆VPC組態。

您可以使用 Amazon CloudWatch 來監控依DNS防火牆規則群組篩選的DNS查詢數量。CloudWatch 會收集原始資料並將其處理為可讀取、近乎即時的指標。

如需詳細資訊，請參閱使用 Amazon 監控 Route 53 Resolver DNS Firewall 規則群組 CloudWatch。

您可以使用 Amazon EventBridge，這是一種無伺服器服務，使用事件將應用程式元件連接在一起，以建置可擴展的事件驅動應用程式。

如需詳細資訊，請參閱使用 管理 Route 53 Resolver DNS Firewall 事件 Amazon EventBridge。