本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Resolver DNS 防火牆的運作方式
Resolver DNS Firewall 可讓您控制對網站的存取,並封鎖透過 Route 53 VPC Resolver 從 VPC 傳出的 DNS 查詢的 DNS 層級威脅。使用 DNS 防火牆,您可以在與 VPC 關聯的規則群組中定義網域名稱篩選規則。您可以指定要允許或封鎖的網域名稱清單,或是提供 DNS 通道和網域產生演算法 (DGA) 型威脅保護的解析程式 DNS 防火牆進階規則。您可以自訂所封鎖 DNS 查詢的回應。對於包含網域清單的規則,您也可以微調規則以允許特定查詢類型,例如 MX 記錄。
DNS 防火牆只會篩選網域名稱。它不會將該名稱解析為要封鎖的 IP 地址。此外,DNS 防火牆會篩選 DNS 流量,但不會篩選其他應用程式層通訊協定,例如 HTTPS、SSH、TLS、FTP 等。
## 解析程式 DNS 防火牆元件和設定
您可以使用下列中央元件和設定來管理 DNS 防火墻。
**DNS 防火墻規則群組**
定義具名、可重複使用的 DNS 防火墻規則集合,用於篩選 DNS 查詢。您可以使用篩選規則填入規則群組,然後將規則群組與一或多個 VPC 建立關聯。當您將規則群組與 VPC 建立關聯時,即啟用 VPC 的 DNS Firewall 篩選。然後,當 VPC Resolver 收到具有與其相關聯規則群組之 VPC 的 DNS 查詢時,VPC Resolver 會將查詢傳遞至 DNS 防火牆進行篩選。
如果您將多個規則群組與單一 VPC 相關聯,則可以透過每個關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。
如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
**DNS 防火牆規則**
為 DNS 防火牆規則群組中的 DNS 查詢定義篩選規則。每項規則都會指定一個網域清單,或是 DNS 防火牆保護,以及對網域符合規則中網域規格的 DNS 查詢採取的動作。您可以允許 (僅限有網域清單的規則)、封鎖或警示相符的查詢。在有網域清單的規則中,您也可以針對清單中的網域指定查詢類型,例如,您可以針對特定網域封鎖或允許 MX 查詢類型。您也可以為封鎖的查詢定義自訂回應。
對於 DNS 防火牆規則,您只能封鎖或提醒相符的查詢。
規則群組中的每個規則都有該群組內唯一的優先順序設定。DNS 防火牆從最低數值優先順序開始處理規則群組中的規則。
DNS 防火牆規則只存在於定義這些規則群組的內容中。您無法重複使用規則,也無法獨立於規則群組參考規則。
如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
**網域清單**
定義用於 DNS 篩選的具名、可重複使用的網域規格集合。規則群組中的每個規則都需要單一網域清單。您可以選擇指定要允許存取的網域、要拒絕存取的網域或兩者的組合。您可以建立自己的網域清單,也可以使用 為您 AWS 管理的網域清單。
如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)。
**網域重新導向設定 (僅限網域清單)**
網域重新導向設定可讓您設定 DNS 防火牆規則,以檢查 DNS 重新導向鏈中的所有網域 (預設),例如 CNAME、DNAME 等,或僅檢查第一個網域並信任其餘網域。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至規則中設定為允許的網域清單。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至網域清單,並將 設定為您希望規則採取的動作,包括 ALLOW、BLOCK 或 ALERT。
網域重新導向設定的信任行為僅適用於單一 DNS 查詢交易。如果主機上的 DNS 用戶端分別查詢出現在 DNS 重新導向鏈中的網域 (例如,直接查詢重新導向目標),DNS 防火牆會將其評估為獨立查詢,而原始查詢沒有信任內容。若要允許此類查詢,請將重新導向目標網域新增至您的網域清單。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**查詢類型 (僅限網域清單)**
查詢類型設定可讓您設定 DNS 防火牆規則來篩選特定的 DNS 查詢類型。如果您未選取查詢類型,則規則會套用至所有 DNS 查詢類型。例如,您可能想要封鎖特定網域的所有查詢類型,但允許 MX 記錄。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**DNS 防火牆進階保護**
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。規則群組中的每個規則都需要單一 DNS Firewall Advanced 保護設定。您可以選擇來自以下項目的保護:
+ 網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
+ 字典 DGA
攻擊者會使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。
在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。威脅防護演算法由 管理和更新 AWS。
如需詳細資訊,請參閱[解析程式 DNS 防火牆進階](firewall-advanced.md)。
**可信度閾值 (僅限 DNS 防火牆進階保護)**
DNS 威脅防護的可信度閾值。建立進階的 DNS 防火牆規則時,必須提供此值。安心程度值,意即:
+ 高 — 僅偵測得到最充分證實的威脅,誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率,但也會增加誤報。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**DNS 防火墻規則群組與 VPC 之間的關聯**
使用 DNS 防火牆規則群組定義 VPC 的保護,並啟用 VPC 的 VPC Resolver DNS 防火牆組態。
如果您將多個規則群組與單一 VPC 相關聯,則可以透過關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。
如需詳細資訊,請參閱[為您的 VPC 啟用解析程式 DNS 防火牆保護](resolver-dns-firewall-vpc-protections.md)。
**VPC 的 DNS 防火牆組態**
指定 VPC Resolver 應如何處理 VPC 層級的 DNS 防火牆保護。每當您至少有一個與 VPC 相關聯的 DNS 防火牆規則群組時,此設定就會生效。
此組態指定當 DNS 防火牆無法篩選查詢時,Route 53 VPC Resolver 如何處理查詢。根據預設,如果 VPC Resolver 未收到來自 DNS 防火牆的查詢回應,則會失敗關閉並封鎖查詢。
如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
**監控 DNS 防火牆動作**
您可以使用 Amazon CloudWatch 來監控依 DNS 防火牆規則群組篩選的 DNS 查詢數量。CloudWatch 會收集原始資料並將其處理為可讀且幾近即時的指標。
如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組](monitoring-resolver-dns-firewall-with-cloudwatch.md)。
您可以使用 Amazon EventBridge,這是一種無伺服器服務,使用事件將應用程式元件連接在一起,以建置可擴展的事件驅動型應用程式。
如需詳細資訊,請參閱[使用 管理解析程式 DNS 防火牆事件 Amazon EventBridge](dns-firewall-eventbridge-integration.md)。
## Resolver DNS Firewall 如何篩選 DNS 查詢
當 DNS 防火牆規則群組與 VPC 的 Route 53 VPC Resolver 建立關聯時,防火牆會篩選下列流量:
+ 源自該 VPC 並通過 VPC DNS 的 DNS 查詢。
+ 將 Resolver 端點從內部部署資源傳遞至具有與其解析程式相關聯的 DNS 防火牆相同 VPC 的 DNS 查詢。
當 DNS 防火牆收到 DNS 查詢時,它會使用您已設定的規則群組、規則和其他設定來篩選查詢,並將結果傳回 VPC Resolver:
+ DNS 防火牆會使用與 VPC 相關聯的規則群組來評估 DNS 查詢,直到找到相符項目或篩選所有規則群組為止。DNS 防火牆會根據您在關聯中設定的優先順序評估規則群組,從最低的數值設定開始。如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)及[為您的 VPC 啟用解析程式 DNS 防火牆保護](resolver-dns-firewall-vpc-protections.md)。
+ 在每個規則群組中,DNS 防火牆會根據每個規則的網域清單或 DNS Firewall Advanced 保護來評估 DNS 查詢,直到找到相符項目或耗盡所有規則為止。DNS 防火墻從最低數值設定開始,依照優先順序評估規則。如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ 當 DNS 防火牆找到與規則的網域清單相符,或 DNS 防火牆進階規則保護識別的異常時,它會終止查詢評估,並使用結果回應 VPC 解析程式。如果動作為 `alert`,DNS 防火牆也會將警示傳送至設定的 VPC Resolver 日誌。如需詳細資訊,請參閱[DNS 防火牆中的規則動作](resolver-dns-firewall-rule-actions.md)、[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)及[解析程式 DNS 防火牆進階](firewall-advanced.md)。
+ 如果 DNS 防火牆在未找到相符項目的情況下評估所有規則群組,它會正常回應該查詢。
VPC Resolver 會根據 DNS 防火牆的回應路由查詢。萬一 DNS 防火牆無法回應,VPC Resolver 會套用 VPC 設定的 DNS 防火牆失敗模式。如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
## 使用 Resolver DNS 防火牆的高階步驟
若要在 Amazon Virtual Private Cloud VPC 中實作解析程式 DNS 防火牆篩選,請執行下列高階步驟。
+ **定義您的篩選方法、網域清單或 DNS 防火牆保護** – 決定如何篩選查詢、識別您需要的網域規格,以及定義您將用來評估查詢的邏輯。例如,您可能想要允許除在已知惡意網域清單中的查詢外的所有查詢。或者,您可能想要執行相反操作,並封鎖除核准網域清單之外的所有查詢,這就是所謂的圍牆花園方法。您可以建立和管理自己的已核准或封鎖網域規格清單,也可以使用 為您 AWS 管理的網域清單。對於 DNS 防火牆保護,您可以透過封鎖所有查詢來篩選查詢,或者您可以對可能包含與威脅 (DGA、DNS 通道、字典 DGA) 相關聯之網域的任何可疑查詢流量發出提醒,以測試您的 DNS 防火牆設定。如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)及[解析程式 DNS 防火牆進階](firewall-advanced.md)。
+ **建立防火牆規則群組** - 在 DNS 防火牆中,建立規則群組以篩選 VPC 的 DNS 查詢。您必須在想要使用規則群組的每個區域中建立規則群組。您也可能想要將篩選行為分成多個規則群組,以便在不同 VPC 的多個篩選案例中重複使用。如需規則群組的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ **新增和設定您的規則** - 針對您希望規則群組提供的每個網域清單和篩選行為,將規則新增至規則群組。設定規則的優先順序設定,以便它們在規則群組中以正確的順序得到處理,同時為您要先評估的規則提供最低的優先順序。如需規則的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ **將規則群組與 VPC 產生關聯** - 若要開始使用 DNS 防火牆規則群組,請將其與 VPC 產生關聯。如果您針對 VPC 使用多個規則群組,請設定每個關聯的優先順序,以便以正確的順序處理規則群組,同時為您要先評估的規則群組提供最低的優先順序。如需詳細資訊,請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
+ **(選用) 變更 VPC 的防火牆組態** – 如果您希望 Route 53 VPC Resolver 在 DNS 防火牆無法傳回回應時封鎖查詢,請在 VPC Resolver 中變更 VPC 的 DNS 防火牆組態。如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
## 在多個區域中使用解析程式 DNS 防火牆規則群組
Resolver DNS Firewall 是一項區域服務,因此您在一個區域中建立的物件只能在該區域中 AWS 使用。若要在多個區域中使用相同的規則群組,您必須在每個區域中建立該規則。
建立規則群組 AWS 的帳戶可以與其他 AWS 帳戶共用。如需詳細資訊,請參閱[在 AWS 帳戶之間共用解析程式 DNS 防火牆規則群組](resolver-dns-firewall-rule-group-sharing.md)。