本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # DNS 防火牆中的規則設定 當您建立或編輯 DNS 防火墻規則群組中的規則時,請指定下列值: **名稱** 規則群組中規則的唯一識別符。 **(選用) 說明** 提供規則詳細資訊的簡短說明。 **網域清單** 規則檢查的網域清單。您可以建立和管理自己的網域清單,也可以訂閱 AWS 會為您管理的網域清單。如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)。 規則可以包含網域清單或 DNS Firewall Advanced 保護,但不能同時包含兩者。 **網域重新導向設定 (僅限網域清單)** 您可以選擇讓 DNS 防火牆規則僅檢查 DNS 重新導向鏈中的第一個網域或所有網域 (預設),例如 CNAME、DNAME 等。如果您選擇檢查所有網域,則必須將 DNS 重新導向鏈中的後續網域新增至網域清單,並將 設定為您希望規則採取的動作,包括 ALLOW、BLOCK 或 ALERT。如需詳細資訊,請參閱[解析程式 DNS 防火牆元件和設定](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)。 網域重新導向設定的信任行為僅適用於單一 DNS 查詢交易。如果主機上的 DNS 用戶端分別查詢出現在 DNS 重新導向鏈中的網域 (例如,直接查詢重新導向目標),DNS 防火牆會將其評估為獨立查詢,而原始查詢沒有信任內容。若要允許此類查詢,請將重新導向目標網域新增至您的網域清單。 **查詢類型 (僅限網域清單)** 規則檢查的 DNS 查詢類型清單。以下是有效值: + 答:傳回 IPv4 地址。 + AAAA:傳回 Ipv6 地址。 + CAA:限制可建立網域 SSL/TLS 憑證的 CAs。 + CNAME:傳回另一個網域名稱。 + DS:識別委派區域的 DNSSEC 簽署金鑰的記錄。 + MX:指定郵件伺服器。 + NAPTR:以Regular-expression-based網域名稱重寫。 + NS:授權名稱伺服器。 + PTR:將 IP 地址映射至網域名稱。 + SOA:區域的授權記錄開始。 + SPF:列出授權從網域傳送電子郵件的伺服器。 + SRV:識別伺服器的應用程式特定值。 + TXT:驗證電子郵件寄件者和應用程式特定值。 + 您使用 DNS 類型 ID 定義的查詢類型,例如 28 for AAAA。這些值必須定義為 TYPE* NUMBER*,其中 *NUMBER* 可以是 1-65334,例如 TYPE28。如需詳細資訊,請參閱 [DNS 記錄類型的清單](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。 您可以為每個規則建立一個查詢類型。 **注意** 如果您在查詢類型上設定具有動作 NXDOMAIN 的防火牆 BLOCK 規則等於 AAAA,則此動作不會套用至啟用 DNS64 時產生的合成 IPv6 地址。 DNS64 **DNS 防火牆進階保護** 根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護: + 網域產生演算法 (DGAs) 攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。 + DNS 通道 攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。 + 字典 DGA 攻擊者會使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。 在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。 如需詳細資訊,請參閱 [解析程式 DNS 防火牆進階](firewall-advanced.md)。 規則可以包含 DNS Firewall Advanced 保護或網域清單,但不能同時包含兩者。 **可信度閾值 (僅限 DNS Firewall Advanced)** 進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時,必須提供此值。安心程度值,意即: + 高 — 僅偵測得到最充分證實的威脅,誤報率較低。 + 中 — 在偵測威脅和誤報之間取得平衡。 + 低 — 提供最高的威脅偵測率,但也會增加誤報。 如需詳細資訊,請參閱[DNS 防火牆中的規則設定](#resolver-dns-firewall-rule-settings)。 **Action** 您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊,請參閱[DNS 防火牆中的規則動作](resolver-dns-firewall-rule-actions.md)。 **Priority** 在規則群組中決定處理順序的唯一正整數規則設定。DNS 防火墻會根據規則群組中的規則檢查 DNS 查詢,從最低數值優先順序設定開始處理。您可以隨時變更規則的優先順序,例如變更處理順序或為其他規則騰出空間。