本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # DNS 防火牆中的規則動作 當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時,它會將規則中指定的動作套用至查詢。 您需要在建立的每個規則中指定下列其中一個選項: + ** Allow ** – 停止檢查查詢並允許其通過。不適用於 DNS 防火牆進階。 + ** Alert ** – 停止檢查查詢,允許其通過,並在 Route 53 VPC Resolver 日誌中記錄查詢的提醒。 + ** Block ** – 停止查詢的檢查、封鎖查詢前往其預期目的地,並在 Route 53 VPC Resolver 日誌中記錄查詢的封鎖動作。 以如下內容回覆設定的封鎖回應: + ** NODATA ** – 回應指出查詢成功,但沒有可用的回應。 + ** NXDOMAIN **– 回應表示查詢的網域名稱不存在。 + ** OVERRIDE **– 在回應中提供自訂覆寫。此選項需要下列附加設定: + ** Record value ** – 要傳回以回應查詢的自訂 DNS 記錄。 + ** Record type **– DNS 記錄的類型。這會決定記錄值的格式。這必須是 `CNAME`。 + ** Time to live in seconds **– DNS 解析程式或 Web 瀏覽器快取覆寫記錄的建議時間長度,如果再次收到,請使用它來回應此查詢。預設情況下,時間為零,而且不會快取記錄。 如需查詢日誌組態和內容的詳細資訊,請參閱 [解析程式查詢日誌記錄](resolver-query-logs.md) 和 [出現在 VPC Resolver 查詢日誌中的值](resolver-query-logs-format.md)。 **使用 Alert 來測試封鎖規則** 當您第一次建立封鎖規則時,可以對其進行測試,方法是以設為 Alert 的動作設定該罪責。然後,您可以查看開啟規則提醒的查詢數目,以瞭解在將動作設定為 Block 時會封鎖的查詢數。