使用 DNS 防火牆篩選傳出的 DNS 流量

透過 Route 53 Resolver DNS Firewall，您可以篩選和調節虛擬私有雲端 (DNS) 的傳出 VPC 流量。若要這麼做，您可以在 DNS Firewall 規則群組中建立可重複使用的篩選規則集合，將規則群組與 VPC 建立關聯，然後監控 DNS Firewall 日誌和指標中的活動。根據活動，您可以相應地調整 DNS Firewall 的行為。

DNS Firewall 為來自 DNS 的傳出 VPCs 請求提供保護。這些要求會透過 Resolver 路由以進行網域名稱解析。DNS 防火牆保護的主要用途是協助防止 DNS 洩漏您的資料。當不良行為者入侵 VPC 中的應用程式執行個體，然後使用 DNS 查詢將資料從 VPC 傳送至他們控制的網域時，可能會發生字詞DNS外傳。使用 DNS Firewall，您可以監控和控制應用程式可以查詢的網域。您可以拒絕存取您已知行為不良的網域，並允許所有其他查詢通過。或者，您可以拒絕對除明確信任網域之外的所有網域的存取。

您也可以使用 DNS Firewall 來封鎖對私有託管區域 （共用或本機） 中資源的解析請求，包括 VPC 端點名稱。它也可以封鎖公有或私有 Amazon EC2 執行個體名稱的請求。

DNS Firewall 是 Route 53 Resolver 的一項功能，不需要任何其他 Resolver 設定即可使用。

AWS Firewall Manager 支援 DNS Firewall

您可以使用 Firewall Manager 集中設定和管理 DNS 跨您 帳戶的 VPCs 防火牆規則群組關聯 AWS Organizations。Firewall Manager 會自動新增 VPCs 的關聯，而這些關聯屬於 Firewall Manager DNS Firewall 政策的範圍。如需詳細資訊，請參閱 AWS Firewall Manager 中的 AWS WAF AWS Firewall Manager和 AWS Shield Advanced 開發人員指南。

DNS Firewall 如何使用 AWS Network Firewall

DNS Firewall 和 Network Firewall 都提供網域名稱篩選，但適用於不同類型的流量。將 DNS Firewall 和 Network Firewall 結合在一起，您就可以為透過兩個不同網路路徑的應用程式層流量設定網域型篩選。

如需詳細資訊，請參閱 Network Firewall 開發人員指南。