本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# DNS 防火墻 VPC 組態
<a name="resolver-dns-firewall-vpc-configuration"></a>

VPC 的 DNS 防火牆組態會判斷 Route 53 VPC Resolver 是否允許在失敗期間透過 查詢或封鎖查詢，例如當 DNS 防火牆受損、無回應或無法在區域中使用時。每當您有一或多個與 VPC 相關聯的 DNS 防火牆規則群組時，VPC Resolver 就會強制執行 VPC 的防火牆組態。

您可以將 VPC 設定為開啟失敗或關閉失敗。
+ 根據預設，失敗模式會關閉，這表示 VPC Resolver 會封鎖未收到 DNS 防火牆回覆的任何查詢，並傳送 ` SERVFAIL` DNS 回應。這種方法有利於安全性，而不是可用性。
+ 如果您啟用失敗開啟，VPC Resolver 會在未收到 DNS 防火牆的回覆時允許透過 進行查詢。這種方法有利於可用性，而不是安全性。

**若要變更 VPC (主控台) 的 DNS 防火牆組態**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) 開啟 VPC Resolver 主控台。

1. 在**解析程式**下的導覽窗格中，選擇 ** VPCs**。

1. 在 **VPCs** 頁面上，找出並編輯 VPC。視需要將 DNS 防火牆組態變更為開啟失敗或關閉失敗。

**若要變更 VPC (API) 的 DNS 防火牆行為**
+ 呼叫 [ UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html) 並啟用或停用 ，以更新您的 VPC 防火牆組態` FirewallFailOpen`。

您可以透過 API 呼叫 [ ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html) 來擷取 VPC 防火牆組態的清單。