本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 DNS 防火牆篩選傳出 DNS 流量
透過解析程式 DNS 防火牆,您可以篩選和規範虛擬私有雲端 (VPC) 的傳出 DNS 流量。為此,您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合、將規則群組與 VPC 產生關聯,然後監控 DNS 防火牆日誌和指標中的活動。根據活動,您可以相應地調整 DNS 防火牆的行為。
DNS 防火牆為來自 VPC 的傳出 DNS 要求提供保護。這些請求會透過 VPC Resolver 路由以進行網域名稱解析。DNS 防火牆保護的主要用途是協助防止 DNS 洩漏您的資料。當不良執行者危害 VPC 中的應用程式執行個體,然後使用 DNS 查詢將資料從 VPC 傳送到其控制的網域時,就可能發生 DNS 洩漏。透過 DNS 防火牆,您可以監控和控制應用程式可查詢的網域。您可以拒絕存取您已知行為不良的網域,並允許所有其他查詢通過。或者,您可以拒絕對除明確信任網域之外的所有網域的存取。
您也可以使用 DNS 防火牆來封鎖對私人託管區域 (共用或本機) 中資源 (包括 VPC 端點名稱) 的解析要求。它也可以封鎖對公有或私有 Amazon EC2 執行個體名稱的要求。
DNS 防火牆是 Route 53 VPC Resolver 的一項功能,不需要任何其他 VPC Resolver 設定即可使用。
**AWS Firewall Manager 支援 DNS 防火牆**
您可以使用 Firewall Manager,集中設定和管理 AWS Organizations中各個賬戶的 VPC 的 DNS 防火墻規則群組關聯。Firewall Manager 會自動為歸屬於 Firewall Manager DNS 防火牆政策範圍的 VPC 新增關聯。如需詳細資訊,請參閱《、》和 開發人員指南[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)》中的 。 *AWS WAF AWS Firewall Manager AWS Shield Advanced *
**DNS 防火牆如何使用 AWS Network Firewall**
DNS 防火牆和 Network Firewall 都提供網域名稱篩選功能,但是針對不同類型的流量。透過 DNS 防火牆和 Network Firewall,您可以針對兩個不同的網路路徑上的應用程式層流量設定網域型篩選。
+ DNS 防火牆為從 VPC 內的應用程式傳遞 Route 53 VPC Resolver VPCs傳出 DNS 查詢提供篩選。您也可以設定 DNS 防火牆,將查詢的自訂回應傳送至封鎖的網域名稱。
+ Network Firewall 為網路和應用程式層流量提供篩選,但無法查看 Route 53 VPC Resolver 提出的查詢。
如需詳細資訊,請參閱 [Network Firewall 開發人員指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。
# Resolver DNS 防火牆的運作方式
Resolver DNS Firewall 可讓您控制對網站的存取,並封鎖透過 Route 53 VPC Resolver 從 VPC 傳出的 DNS 查詢的 DNS 層級威脅。使用 DNS 防火牆,您可以在與 VPC 關聯的規則群組中定義網域名稱篩選規則。您可以指定要允許或封鎖的網域名稱清單,或是提供 DNS 通道和網域產生演算法 (DGA) 型威脅保護的解析程式 DNS 防火牆進階規則。您可以自訂所封鎖 DNS 查詢的回應。對於包含網域清單的規則,您也可以微調規則以允許特定查詢類型,例如 MX 記錄。
DNS 防火牆只會篩選網域名稱。它不會將該名稱解析為要封鎖的 IP 地址。此外,DNS 防火牆會篩選 DNS 流量,但不會篩選其他應用程式層通訊協定,例如 HTTPS、SSH、TLS、FTP 等。
## 解析程式 DNS 防火牆元件和設定
您可以使用下列中央元件和設定來管理 DNS 防火墻。
**DNS 防火墻規則群組**
定義具名、可重複使用的 DNS 防火墻規則集合,用於篩選 DNS 查詢。您可以使用篩選規則填入規則群組,然後將規則群組與一或多個 VPC 建立關聯。當您將規則群組與 VPC 建立關聯時,即啟用 VPC 的 DNS Firewall 篩選。然後,當 VPC Resolver 收到具有與其相關聯之規則群組的 VPC 的 DNS 查詢時,VPC Resolver 會將查詢傳遞至 DNS 防火牆以進行篩選。
如果您將多個規則群組與單一 VPC 相關聯,則可以透過每個關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。
如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
**DNS 防火牆規則**
為 DNS 防火牆規則群組中的 DNS 查詢定義篩選規則。每項規則都會指定一個網域清單,或是 DNS 防火牆保護,以及對網域符合規則中網域規格的 DNS 查詢採取的動作。您可以允許 (僅限有網域清單的規則)、封鎖或警示相符的查詢。在有網域清單的規則中,您也可以針對清單中的網域指定查詢類型,例如,您可以針對特定網域封鎖或允許 MX 查詢類型。您也可以為封鎖的查詢定義自訂回應。
對於 DNS 防火牆規則,您只能封鎖或提醒相符的查詢。
規則群組中的每個規則都有該群組內唯一的優先順序設定。DNS 防火牆從最低數值優先順序開始處理規則群組中的規則。
DNS 防火牆規則只存在於定義這些規則群組的內容中。您無法重複使用規則,也無法獨立於規則群組參考規則。
如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
**網域清單**
定義用於 DNS 篩選的具名、可重複使用的網域規格集合。規則群組中的每個規則都需要單一網域清單。您可以選擇指定要允許存取的網域、要拒絕存取的網域或兩者的組合。您可以建立自己的網域清單,也可以使用 為您 AWS 管理的網域清單。
如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)。
**網域重新導向設定 (僅限網域清單)**
網域重新導向設定可讓您設定 DNS 防火牆規則,以檢查 DNS 重新導向鏈中的所有網域 (預設),例如 CNAME、DNAME 等,或僅檢查第一個網域並信任其餘網域。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至規則中設定為允許的網域清單。如果您選擇檢查整個 DNS 重新導向鏈,則必須將後續網域新增至網域清單,並將 設定為您希望規則採取的動作,包括 ALLOW、BLOCK 或 ALERT。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**查詢類型 (僅限網域清單)**
查詢類型設定可讓您設定 DNS 防火牆規則來篩選特定的 DNS 查詢類型。如果您未選取查詢類型,則規則會套用至所有 DNS 查詢類型。例如,您可能想要封鎖特定網域的所有查詢類型,但允許 MX 記錄。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**DNS 防火牆進階保護**
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。規則群組中的每個規則都需要單一 DNS Firewall Advanced 保護設定。您可以選擇來自以下項目的保護:
+ 網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
+ 字典 DGA
攻擊者使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。
在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。威脅防護演算法由 管理和更新 AWS。
如需詳細資訊,請參閱[解析程式 DNS 防火牆進階](firewall-advanced.md)。
**可信度閾值 (僅限 DNS Firewall Advanced 保護)**
DNS 威脅防護的可信度閾值。建立進階的 DNS 防火牆規則時,必須提供此值。安心程度值,意即:
+ 高 — 僅偵測得到最充分證實的威脅,誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率,但也會增加誤報。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**DNS 防火墻規則群組與 VPC 之間的關聯**
使用 DNS 防火牆規則群組定義 VPC 的保護,並啟用 VPC 的 VPC Resolver DNS 防火牆組態。
如果您將多個規則群組與單一 VPC 相關聯,則可以透過關聯中的優先順序設定來指出它們的處理順序。DNS 防火牆從最低數值優先順序設定開始處理 VPC 的規則群組。
如需詳細資訊,請參閱[為您的 VPC 啟用解析程式 DNS 防火牆保護](resolver-dns-firewall-vpc-protections.md)。
**VPC 的 DNS 防火牆組態**
指定 VPC Resolver 應如何處理 VPC 層級的 DNS 防火牆保護。每當您至少有一個與 VPC 相關聯的 DNS 防火牆規則群組時,此設定就會生效。
此組態指定當 DNS 防火牆無法篩選查詢時,Route 53 VPC Resolver 如何處理查詢。根據預設,如果 VPC Resolver 未收到來自 DNS 防火牆的查詢回應,則會關閉並封鎖查詢。
如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
**監控 DNS 防火牆動作**
您可以使用 Amazon CloudWatch 來監控依 DNS 防火牆規則群組篩選的 DNS 查詢數量。CloudWatch 會收集原始資料並將其處理為可讀且幾近即時的指標。
如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組](monitoring-resolver-dns-firewall-with-cloudwatch.md)。
您可以使用 Amazon EventBridge,這是一種無伺服器服務,使用事件將應用程式元件連接在一起,以建置可擴展的事件驅動型應用程式。
如需詳細資訊,請參閱[使用 管理解析程式 DNS 防火牆事件 Amazon EventBridge](dns-firewall-eventbridge-integration.md)。
## Resolver DNS Firewall 如何篩選 DNS 查詢
當 DNS 防火牆規則群組與 VPC 的 Route 53 VPC Resolver 建立關聯時,防火牆會篩選下列流量:
+ 源自該 VPC 並通過 VPC DNS 的 DNS 查詢。
+ 將 Resolver 端點從內部部署資源傳遞至具有與其解析程式相關聯的 DNS 防火牆相同 VPC 的 DNS 查詢。
當 DNS 防火牆收到 DNS 查詢時,它會使用您已設定的規則群組、規則和其他設定來篩選查詢,並將結果傳回 VPC Resolver:
+ DNS 防火牆會使用與 VPC 相關聯的規則群組來評估 DNS 查詢,直到找到相符項目或篩選所有規則群組為止。DNS 防火牆會根據您在關聯中設定的優先順序評估規則群組,從最低的數值設定開始。如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)及[為您的 VPC 啟用解析程式 DNS 防火牆保護](resolver-dns-firewall-vpc-protections.md)。
+ 在每個規則群組中,DNS 防火牆會根據每個規則的網域清單或 DNS 防火牆進階保護評估 DNS 查詢,直到找到相符項目或耗盡所有規則為止。DNS 防火墻從最低數值設定開始,依照優先順序評估規則。如需詳細資訊,請參閱[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ 當 DNS 防火牆找到與規則的網域清單相符,或 DNS 防火牆進階規則保護識別的異常時,它會終止查詢評估,並以結果回應 VPC 解析程式。如果動作為 `alert`,DNS 防火牆也會將警示傳送至設定的 VPC Resolver 日誌。如需詳細資訊,請參閱[DNS 防火牆中的規則動作](resolver-dns-firewall-rule-actions.md)、[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)及[解析程式 DNS 防火牆進階](firewall-advanced.md)。
+ 如果 DNS 防火牆在未找到相符項目的情況下評估所有規則群組,它會正常回應該查詢。
VPC Resolver 會根據 DNS 防火牆的回應路由查詢。萬一 DNS 防火牆無法回應,VPC Resolver 會套用 VPC 設定的 DNS 防火牆失敗模式。如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
## 使用 Resolver DNS 防火牆的高階步驟
若要在 Amazon Virtual Private Cloud VPC 中實作解析程式 DNS 防火牆篩選,請執行下列高階步驟。
+ **定義您的篩選方法、網域清單或 DNS 防火牆保護** – 決定如何篩選查詢、識別您需要的網域規格,以及定義您將用來評估查詢的邏輯。例如,您可能想要允許除在已知惡意網域清單中的查詢外的所有查詢。或者,您可能想要執行相反操作,並封鎖除核准網域清單之外的所有查詢,這就是所謂的圍牆花園方法。您可以建立和管理自己的已核准或封鎖網域規格清單,也可以使用 為您 AWS 管理的網域清單。對於 DNS 防火牆保護,您可以透過封鎖所有查詢來篩選查詢,或者您可以對可能包含與威脅 (DGA、DNS 通道、字典 DGA) 相關聯之網域的任何可疑查詢流量發出提醒,以測試您的 DNS 防火牆設定。如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)及[解析程式 DNS 防火牆進階](firewall-advanced.md)。
+ **建立防火牆規則群組** - 在 DNS 防火牆中,建立規則群組以篩選 VPC 的 DNS 查詢。您必須在想要使用規則群組的每個區域中建立規則群組。您也可能想要將篩選行為分成多個規則群組,以便在不同 VPC 的多個篩選案例中重複使用。如需規則群組的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ **新增和設定您的規則** - 針對您希望規則群組提供的每個網域清單和篩選行為,將規則新增至規則群組。設定規則的優先順序設定,以便它們在規則群組中以正確的順序得到處理,同時為您要先評估的規則提供最低的優先順序。如需規則的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ **將規則群組與 VPC 產生關聯** - 若要開始使用 DNS 防火牆規則群組,請將其與 VPC 產生關聯。如果您針對 VPC 使用多個規則群組,請設定每個關聯的優先順序,以便以正確的順序處理規則群組,同時為您要先評估的規則群組提供最低的優先順序。如需詳細資訊,請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
+ **(選用) 變更 VPC 的防火牆組態** – 如果您希望 Route 53 VPC Resolver 在 DNS 防火牆無法傳回回應時封鎖查詢,請在 VPC Resolver 中變更 VPC 的 DNS 防火牆組態。如需詳細資訊,請參閱[DNS 防火墻 VPC 組態](resolver-dns-firewall-vpc-configuration.md)。
## 在多個區域中使用解析程式 DNS 防火牆規則群組
Resolver DNS Firewall 是一項區域服務,因此您在一個區域中建立的物件只能在該區域中 AWS 使用。若要在多個區域中使用相同的規則群組,您必須在每個區域中建立該規則。
建立規則群組 AWS 的帳戶可以與其他 AWS 帳戶共用。如需詳細資訊,請參閱[在 AWS 帳戶之間共用解析程式 DNS 防火牆規則群組](resolver-dns-firewall-rule-group-sharing.md)。
# Resolver DNS 防火牆的區域可用性
DNS 防火牆可在下列位置使用 AWS 區域:
+ 非洲 (開普敦)
+ 亞太地區 (香港)
+ 亞太區域 (海德拉巴)
+ 亞太地區 (雅加達)
+ 亞太地區 (馬來西亞)
+ 亞太地區 (墨爾本)
+ 亞太地區 (孟買)
+ 亞太 (大阪) 區域
+ 亞太地區 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (泰國)
+ 亞太地區 (東京)
+ 加拿大 (中部) 區域
+ 加拿大西部 (卡加利)
+ 歐洲 (法蘭克福) 區域
+ 歐洲 (愛爾蘭) 區域
+ 歐洲 (倫敦) 區域
+ 歐洲 (米蘭)
+ 歐洲 (巴黎) 區域
+ 歐洲 (西班牙)
+ 歐洲 (斯德哥爾摩)
+ 歐洲 (蘇黎世)
+ 以色列 (特拉維夫)
+ 墨西哥 (中部)
+ Middle East (Bahrain)
+ 中東 (阿拉伯聯合大公國)
+ 南美洲 (聖保羅)
+ 美國東部 (維吉尼亞北部)
+ 美國東部 (俄亥俄)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 中國 (北京)
+ 中國 (寧夏)
+ AWS GovCloud (US)
# Resolver DNS 防火牆入門
包含精靈的 DNS 防火墻主控台會引導您完成以下步驟,開始使用 DNS 防火墻:
+ 為您要使用的每一組規則建立規則群組。
+ 針對每個規則,填入您要檢查的網域清單。您可以建立自己的網域清單,也可以使用 AWS 受管網域清單。
+ 將規則群組與您要使用它們的 VPC 建立關聯。
## 解析程式 DNS 防火牆有牆花園範例
在本教學課程中,您將建立一個規則群組,以封鎖所信任的選取網域群組以外的所有網域。這稱為封閉的平台或圍牆花園方法。
**若要使用主控台精靈設定 DNS 防火牆規則群組**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇規則群組的區域。
1. 在 **Rule groups (規則群組)** 頁面中,選擇 **Add rule group (新增規則群組)**。
1. 針對規則群組名稱,輸入 **WalledGardenExample**。
在**標籤**區段中,您可以選擇為標籤輸入鍵/值對。標籤可協助您組織和管理 AWS 資源。如需詳細資訊,請參閱[標記 Amazon Route 53 資源](tagging-resources.md)。
1. 選擇**新增規則群組**。
1. 在 **WalledGardenExample** 詳細資訊頁面上,選擇**規則索引標籤**,然後選擇**新增規則**。
1. 在 **Rule details (規則詳細資訊)** 窗格中,輸入規則名稱 ** BlockAll**。
1. 在 **Domain list (網域清單)** 窗格中,選取 **Add my own domain list (新增我自己的網域清單)**。
1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下,選擇**Create new domain list (建立新網域清單)**。
1. 輸入網域清單名稱 **AllDomains**,然後在**每行輸入一個網域**文字方塊中,輸入星號:**\$1**。
1. 對於**網域重新導向設定**,接受預設值,並保留**查詢類型 - 選用**空白。
1. 針對**動作**,選取**封鎖**,然後讓回應以 **NODATA** 的預設設定傳送。
1. 選擇**新增規則**。您的規則 **BlockAll** 會顯示在 ** WalledGardenExample** 頁面上的**規則**索引標籤中。
1. 在 **WalledGardenExample** 頁面上,選擇**新增規則**,將第二個規則新增至規則群組。
1. 在**規則詳細資訊**窗格中,輸入規則名稱 ** AllowSelectDomains** 。
1. 在 **Domain list (網域清單)** 窗格中,選取 **Add my own domain list (新增我自己的網域清單)**。
1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下,選取 **Create new domain list (建立新網域清單)**。
1. 輸入網域清單名稱 **ExampleDomains**。
1. 在**每行輸入一個網域**文字方塊中,在第一行輸入 ,在第二行輸入 **example.com**和 ,輸入 **example.org**。
**注意**
如果您想要將規則套用至子網域,則也必須將這些網域新增至清單。例如,若要新增所有 example.com 的子網域,請將 **\$1.example.com** 新增至清單。
1. 對於**網域重新導向設定**,接受預設值,並保留**查詢類型 - 選用**空白。
1. 針對**動作**,選取**允許**。
1. 選擇 **Add rule (新增規則)**。您的規則都會顯示在 **WalledGardenExample** 頁面上的**規則**索引標籤中。
1. 在 **WalledGardenExample** 頁面上的**規則**索引標籤中,您可以選取**優先順序欄中**列出的數字並輸入新數字,以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則,因此優先順序最低的規則會最先評估。在此範例中,我們希望 DNS 防火牆先識別並允許選取的網域清單的 DNS 查詢,然後封鎖任何剩餘的查詢。
調整規則優先順序,讓 **AllowSelectDomains** 具有較低的優先順序。
您現在有一個規則群組,只允許特定的網域查詢通過。若要開始使用該規則群組,請將它與您要使用篩選行為的 VPC 產生關聯。如需詳細資訊,請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
## 解析程式 DNS 防火牆封鎖清單範例
在本教學課程中,您將建立封鎖已知為惡意網域的規則群組。您也將新增封鎖清單中網域允許的 DNS 查詢類型。規則群組允許透過 VPC Resolver 的所有其他傳出 DNS 請求。
**使用主控台精靈設定 DNS 防火牆封鎖清單**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。
- 或 -
登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇規則群組的區域。
1. 在 **Rule groups (規則群組)** 頁面中,選擇 **Add rule group (新增規則群組)**。
1. 針對規則群組名稱,輸入 **BlockListExample**。
在**標籤**區段中,您可以選擇為標籤輸入鍵值對。標籤可協助您組織和管理 AWS 資源。如需詳細資訊,請參閱[標記 Amazon Route 53 資源](tagging-resources.md)。
1. 在 **BlockListExample** 詳細資訊頁面上,選擇**規則**索引標籤,然後選擇**新增規則**。
1. 在 **Rule details (規則詳細資訊)** 窗格中,輸入規則名稱 ** BlockList**。
1. 在 **Domain list (網域清單)** 窗格中,選取 **Add my own domain list (新增我自己的網域清單)**。
1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下,選取**Create new domain list (建立新網域清單)**。
1. 輸入網域清單名稱 **MaliciousDomains**,然後在文字方塊中輸入您要封鎖的網域。例如 ** example.org**。每行輸入一個網域。
**注意**
如果您想要將規則套用至子網域,則也必須將這些網域新增至清單。例如,若要新增所有範例 .org 的子網域,請將 **\$1.example.org** 新增至清單。
1. 對於**網域重新導向設定**,接受預設值,並保留**查詢類型 - 選用**空白。
1. 對於動作,請選取 **BLOCK (封鎖)**,然後保留回應以 **NODATA** 的預設設定傳送。
1. 選擇 **Add rule (新增規則)**。您的規則會顯示在 **BlockListExample** 頁面上的**規則**索引標籤中
1. 在 **BlockedListExample** 頁面上的**規則**索引標籤中,您可以選取**優先順序欄中**列出的數字並輸入新數字,以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則,因此優先順序最低的規則會最先評估。
選取並調整規則優先順序,以便在您可能擁有的任何其他規則之前或之後評估 **BlockList**。大多數情況下,應該先封鎖已知的惡意網域。也就是說,與這些網域相關的規則應具有最低的優先順序編號。
1. 若要新增允許 BlockList 網域 MX 記錄的規則,請在**規則**索引標籤的 ** BlockedListExample** 詳細資訊頁面上,選擇**新增規則**。
1. 在 **Rule details (規則詳細資訊)** 窗格中,輸入規則名稱 ** BlockList-allowMX**。
1. 在 **Domain list (網域清單)** 窗格中,選取 **Add my own domain list (新增我自己的網域清單)**。
1. 在**選擇或建立新網域清單**下,選取 ** MaliciousDomains**。
1. 對於**網域重新導向設定**,接受預設值。
1. 在 **DNS 查詢類型**清單中,選取 **MX:指定郵件伺服器**。
1. 對於動作,請選取 **ALLOW (允許)**。
1. 選擇 **Add rule (新增規則)**。
1. 在 **BlockedListExample** 頁面上的**規則**索引標籤中,您可以選取**優先順序欄中**列出的數字並輸入新數字,以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則,因此優先順序最低的規則會最先評估。
選取並調整規則優先順序,以便在您可能擁有的任何其他規則之前或之後評估 **BlockList-allowMX**。由於您想要允許 MX 查詢,請確定 **BlockList-allowMX** 規則的優先順序低於 **BlockList**。
您現在有一個規則群組,可封鎖特定的惡意網域查詢,但允許特定的 DNS 查詢類型。若要開始使用該規則群組,請將它與您要使用篩選行為的 VPC 產生關聯。如需詳細資訊,請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
# DNS 防火墻規則群組與規則
本節說明您可以為 DNS 防火牆規則群組和規則進行的設定,以定義 VPC 的 DNS 防火牆行為。它也說明如何管理規則群組和規則的設定。
以所需的方式設定規則群組之後,您可以直接使用這些規則群組,而且可以在 AWS Organizations中於帳戶之間和組織間共用和管理這些群組。
+ 您可以將規則群組與多個 VPC 產生關聯,以便在整個組織中提供一致的行為。如需相關資訊,請參閱 [管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
+ 您可以在帳戶之間共用規則群組,以便在整個組織中進行一致的 DNS 查詢管理。如需相關資訊,請參閱[在 AWS 帳戶之間共用解析程式 DNS 防火牆規則群組](resolver-dns-firewall-rule-group-sharing.md)。
+ 您可以在 中使用規則群組 AWS Organizations ,方法是在 AWS Firewall Manager 政策中管理規則群組。如需 Firewall Manager 的詳細資訊,請參閱[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)《》中的 *AWS WAF AWS Firewall Manager和 AWS Shield Advanced 開發人員指南*。
# DNS 防火牆中的規則群組設定
當您建立或編輯 DNS 防火墻規則群組時,請指定下列值:
**名稱**
獨特的名稱可讓您在儀表板中輕鬆找出規則群組。
**(選用) 說明**
為規則群組提供更多內容的簡短說明。
**區域**
您在建立規則群組時選擇 AWS 的區域。您在一個區域中建立的規則群組只能在該區域中使用。若要在多個區域中使用相同的規則群組,您必須在每個區域中建立該規則。
**Rules**
規則群組篩選行為包含在其規則中。有關資訊,請參閱下一節。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。
這些是 AWS 帳單與成本管理 提供用於組織帳單 AWS 的標籤。如需有關使用成本分配標籤的詳細資訊,請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
# DNS 防火牆中的規則設定
當您建立或編輯 DNS 防火墻規則群組中的規則時,請指定下列值:
**名稱**
規則群組中規則的唯一識別符。
**(選用) 說明**
提供規則詳細資訊的簡短說明。
**網域清單**
規則檢查的網域清單。您可以建立和管理自己的網域清單,也可以訂閱 AWS 會為您管理的網域清單。如需詳細資訊,請參閱[Resolver DNS Firewall 網域清單](resolver-dns-firewall-domain-lists.md)。
規則可以包含網域清單或 DNS Firewall Advanced 保護,但不能同時包含兩者。
**網域重新導向設定 (僅限網域清單)**
您可以選擇讓 DNS 防火牆規則僅檢查 DNS 重新導向鏈中的第一個網域或所有網域 (預設),例如 CNAME、DNAME 等。如果您選擇檢查所有網域,則必須將 DNS 重新導向鏈中的後續網域新增至網域清單,並將 設定為您希望規則採取的動作,包括 ALLOW、BLOCK 或 ALERT。如需詳細資訊,請參閱[解析程式 DNS 防火牆元件和設定](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)。
**查詢類型 (僅限網域清單)**
規則檢查的 DNS 查詢類型清單。以下是有效值:
+ 答:傳回 IPv4 地址。
+ AAAA:傳回 Ipv6 地址。
+ CAA:限制可建立網域 SSL/TLS 憑證的 CAs。
+ CNAME:傳回另一個網域名稱。
+ DS:識別委派區域的 DNSSEC 簽署金鑰的記錄。
+ MX:指定郵件伺服器。
+ NAPTR:以Regular-expression-based網域名稱重寫。
+ NS:授權名稱伺服器。
+ PTR:將 IP 地址映射至網域名稱。
+ SOA:區域的授權記錄開始。
+ SPF:列出授權從網域傳送電子郵件的伺服器。
+ SRV:識別伺服器的應用程式特定值。
+ TXT:驗證電子郵件寄件者和應用程式特定值。
+ 您使用 DNS 類型 ID 定義的查詢類型,例如 28 for AAAA。這些值必須定義為 TYPE* NUMBER*,其中 *NUMBER* 可以是 1-65334,例如 TYPE28。如需詳細資訊,請參閱 [DNS 記錄類型的清單](https://en.wikipedia.org/wiki/List_of_DNS_record_types)。
您可以為每個規則建立一個查詢類型。
**注意**
如果您在查詢類型上設定具有動作 NXDOMAIN 的防火牆 BLOCK 規則等於 AAAA,則此動作不會套用至啟用 DNS64 時產生的合成 IPv6 地址。 DNS64
**DNS Firewall Advanced 保護**
根據 DNS 查詢中的已知威脅簽章偵測可疑 DNS 查詢。您可以選擇來自以下項目的保護:
+ 網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
+ 字典 DGA
攻擊者使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。
在 DNS Firewall Advanced 規則中,您可以選擇封鎖或提醒符合威脅的查詢。
如需詳細資訊,請參閱 [解析程式 DNS 防火牆進階](firewall-advanced.md)。
規則可以包含 DNS Firewall Advanced 保護或網域清單,但不能同時包含兩者。
**可信度閾值 (僅限 DNS Firewall Advanced)**
進階的 DNS 防火牆信心閾值。建立進階的 DNS 防火牆規則時,必須提供此值。安心程度值,意即:
+ 高 — 僅偵測得到最充分證實的威脅,誤報率較低。
+ 中 — 在偵測威脅和誤報之間取得平衡。
+ 低 — 提供最高的威脅偵測率,但也會增加誤報。
如需詳細資訊,請參閱[DNS 防火牆中的規則設定](#resolver-dns-firewall-rule-settings)。
**Action**
您希望 DNS 防火牆處理其網域名稱符合規則網域清單中規格的 DNS 查詢的方式。如需詳細資訊,請參閱[DNS 防火牆中的規則動作](resolver-dns-firewall-rule-actions.md)。
**Priority**
在規則群組中決定處理順序的唯一正整數規則設定。DNS 防火墻會根據規則群組中的規則檢查 DNS 查詢,從最低數值優先順序設定開始處理。您可以隨時變更規則的優先順序,例如變更處理順序或為其他規則騰出空間。
# DNS 防火牆中的規則動作
當 DNS 防火牆在規則中找到 DNS 查詢和網域規格之間的相符項目時,它會將規則中指定的動作套用至查詢。
您需要在建立的每個規則中指定下列其中一個選項:
+ ** Allow ** – 停止檢查查詢並允許其通過。不適用於 DNS 防火牆進階。
+ ** Alert ** – 停止檢查查詢、允許查詢通過,並在 Route 53 VPC Resolver 日誌中記錄查詢的提醒。
+ ** Block ** – 停止查詢的檢查、封鎖查詢前往其預期目的地,並在 Route 53 VPC Resolver 日誌中記錄查詢的封鎖動作。
以如下內容回覆設定的封鎖回應:
+ ** NODATA ** – 回應表示查詢成功,但沒有可用的回應。
+ ** NXDOMAIN **– 回應,指出查詢的網域名稱不存在。
+ ** OVERRIDE **– 在回應中提供自訂覆寫。此選項需要下列附加設定:
+ ** Record value ** – 要傳回以回應查詢的自訂 DNS 記錄。
+ ** Record type **– DNS 記錄的類型。這會決定記錄值的格式。這必須是 `CNAME`。
+ ** Time to live in seconds **– DNS 解析程式或 Web 瀏覽器快取覆寫記錄的建議時間長度,如果再次收到,請使用它來回應此查詢。預設情況下,時間為零,而且不會快取記錄。
如需查詢日誌組態和內容的詳細資訊,請參閱 [解析程式查詢日誌記錄](resolver-query-logs.md) 和 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。
**使用 Alert 來測試封鎖規則**
當您第一次建立封鎖規則時,可以對其進行測試,方法是以設為 Alert 的動作設定該罪責。然後,您可以查看開啟規則提醒的查詢數目,以瞭解在將動作設定為 Block 時會封鎖的查詢數。
# 管理 DNS 防火牆中的規則群組和規則
若要在主控台中管理規則群組和規則,請遵循本節中的指引。
當您變更 DNS 防火牆實體 (例如規則和網域清單) 時,DNS 防火牆會將變更傳播到儲存和使用該實體的所有位置。您的變更會在幾秒鐘內套用,但是當變更已經到達某些位置而不是在其他位置時,可能會有短暫的不一致的時間。因此,舉例而言,如果您將網域新增至封鎖規則所參考的網域清單中,新網域可能會在 VPC 的某個區域中短暫封鎖,而在另一個區域中仍然得到允許。當您第一次設定規則群組和 VPC 關聯,以及變更現有設定時,可能會發生此暫時不一致的情況。一般來說,這種類型的任何不一致只會持續幾秒鐘。
# 建立規則群組和規則
若要建立規則群組並將其新增規則,請遵循此程序中的步驟。
**若要建立規則群組及其規則**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇規則群組的區域。
1. 選擇 **Add rule group (新增規則群組)**,然後依照精靈指引來指定規則群組和規則設定。
如需有關規則群組值的資訊,請參閱 [DNS 防火牆中的規則群組設定](resolver-dns-firewall-rule-group-settings.md)。
如需有關規則值的資訊,請參閱 [DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
# 檢視并更新規則群組和規則
使用下列程序來檢視規則群組和指派給他們的規則。您也可以更新規則群組和規則設定。
**若要檢視和更新規則群組**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇該規則群組的區域。
1. 選取您要檢視或編輯的規則群組,然後選擇 **View details (檢視詳細資訊)**。
1. 在規則群組的頁面中,您可以檢視和編輯設定。
如需有關規則群組值的資訊,請參閱 [DNS 防火牆中的規則群組設定](resolver-dns-firewall-rule-group-settings.md)。
如需有關規則值的資訊,請參閱 [DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
# 刪除規則群組
若要刪除規則群組,請執行以下程序。
**重要**
如果您刪除與 VPC 相關聯的規則群組,DNS 防火牆會移除關聯,並停止規則群組提供給 VPC 的保護。
**刪除 DNS 防火墻實體**
當您刪除可在 DNS 防火牆中使用的實體 (例如規則群組中可能正在使用的網域清單) 或可能與 VPC 關聯的規則群組時,DNS 防火牆會檢查該實體目前是否正在使用中。如果發現該實體正在使用中,DNS 防火牆會警告您。DNS 防火墻幾乎總是能夠判斷實體是否正在使用中。但是在極少數的情況下,它也可能無法判斷。如果您需要確定目前沒有任何物件正在使用該實體,請在 DNS 防火墻組態中檢查它,然後予以刪除。如果實體是參考的網域清單,請檢查沒有規則群組正在使用它。如果實體是規則群組,請檢查該實體是否與任何 VPC 相關聯。
**刪除規則群組**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇規則群組的區域。
1. 選取您要刪除的規則群組,然後選擇**刪除**,然後確認刪除。
# Resolver DNS Firewall 網域清單
*網域清單*是一組可重複使用的網域規格,可在規則群組的 DNS Firewall 規則中使用。當您將規則群組與 VPC 建立關聯時,DNS 防火墻會比較您的 DNS 查詢與規則中使用的網域清單。如果找到相符項目,它會根據比對規則的動作處理 DNS 查詢。如需有關規則群組和規則的更多資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
網域清單可讓您將明確的網域規格與想要對其採取的動作分開。您可以在多個規則中使用單一網域清單,而您對網域清單執行的任何更新都會自動影響使用該清單的所有規則。
網域清單可分為兩個主要類別:
+ 受管網域清單,可為您 AWS 建立和維護。
+ 您自己的網域清單,由您建立和維護。
本節說明可供您使用的受管網域清單類型,並提供建立和管理自己的網域清單的指引 (如果您選擇這樣做)。
# 受管網域清單
受管網域清單包含與惡意活動或其他潛在威脅相關聯的網域名稱。 AWS 會維護這些清單,讓 Route 53 VPC Resolver 客戶在使用 DNS 防火牆時免費檢查傳出 DNS 查詢。
為了保持在最新狀態以了解不斷變化的威脅趨勢,不僅費時而且耗錢。當您實作和使用 DNS Firewall 時,受管網域清單可以節省您的時間。當新的漏洞和威脅出現時 AWS , 會自動更新清單。 通常會 AWS 在公開揭露之前收到新漏洞的通知,因此 DNS Firewall 可以在新的威脅廣為人知之前,經常為您部署緩解措施。
受管網域清單是用來協助您防範常見的 Web 威脅,並為您的應用程式增加另一層安全性。 AWS 受管網域清單會從內部 AWS 來源以及 [ RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) 取得其資料,並持續更新。不過, AWS 受管網域清單並非用來取代其他安全控制,例如 Amazon GuardDuty,其取決於您選取的 AWS 資源。
最佳實務是在生產環境中使用受管網域清單之前,先在非生產環境中進行測試,並將規則動作設定為 `Alert`。使用結合解析程式 DNS 防火牆取樣請求或 DNS 防火牆日誌的 Amazon CloudWatch 指標來評估規則。當您對規則執行所需的動作感到滿意時,請視需要變更動作設定。
**可用的 AWS 受管網域清單**
本節說明目前可用的 受管網域清單。您在位於支援這些清單的區域時,如果您管理網域清單以及指定規則的網域清單,就會在主控台上看到這些清單。在日誌中,網域清單會記錄在 `firewall_domain_list_id field` 內。
AWS 在可用的區域中, 為解析程式 DNS 防火牆的所有使用者提供下列受管網域清單。
+ `AWSManagedDomainsMalwareDomainList` – – 與傳送惡意軟體、託管惡意軟體或散佈惡意軟體相關聯的網域。
+ `AWSManagedDomainsBotnetCommandandControl` - 與控制受到垃圾郵件惡意程式碼感染的電腦網路相關聯的網域。
+ `AWSManagedDomainsAggregateThreatList` – 與多個 DNS 威脅類別相關聯的網域,包括惡意軟體、勒索軟體、殭屍網路、間諜軟體和 DNS 通道,以協助封鎖多種類型的威脅。 `AWSManagedDomainsAggregateThreatList`包含此處列出的其他 AWS 受管網域清單中的所有網域。
+ `AWSManagedDomainsAmazonGuardDutyThreatList`:與 Amazon GuardDuty DNS 安全調查結果相關聯的網域。這些網域僅來自 GuardDuty 的威脅情報系統,不包含來自外部第三方來源的網域。更具體地說,目前此清單只會封鎖在 GuardDuty 中內部產生並用於下列偵測的網域:Impact:EC2/AbusedDomainRequest.Reputation,Impact:EC2/BitcoinDomainRequest.Reputation,Impact:EC2/MaliciousDomainRequest.Reputation,Impact:Runtime/AbusedDomainRequest.Reputation,Impact:Runtime/BitcoinDomainRequest.Reputation,和 Impact:Runtime/MaliciousDomainRequest.Reputation.
如需詳細資訊,請參閱《*Amazon GuardDuty 使用者指南*》中的[調查結果類型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)。
AWS 無法下載或瀏覽受管網域清單。為了保護智慧財產權,您無法檢視或編輯 AWS 受管網域清單中的個別網域規格。此限制也有助於防止惡意使用者設計可專門規避發佈的清單的威脅。
**測試受管網域清單**
我們提供以下網域集來測試受管網域清單:
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList 和 AWSManagedDomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
如果這些網域未遭到封鎖,則會解析為 1.2.3.4。如果您在 VPC 中使用受管網域清單,查詢這些網域會傳回規則中封鎖動作設定為的回應 (例如 NODATA)。
如需受管網域清單的詳細資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
下表列出 AWS 受管網域清單的區域可用性。
**受管網域清單的區域可用性**
| 區域 | 受管網域清單是否可用? |
| --- | --- |
| 非洲 (開普敦) | 是 |
| 亞太地區 (香港) | 是 |
| 亞太地區 (海德拉巴) | 是 |
| 亞太地區 (雅加達) | 是 |
| 亞太地區 (馬來西亞) | 是 |
| 亞太地區 (墨爾本) | 是 |
| 亞太地區 (孟買) | 是 |
| 亞太 (大阪) 區域 | 是 |
| 亞太地區 (首爾) | 是 |
| 亞太地區 (新加坡) | 是 |
| 亞太地區 (悉尼) | 是 |
| 亞太區域 (泰國) | 是 |
| 亞太地區 (東京) | 是 |
| 加拿大 (中部) 區域 | 是 |
| 加拿大西部 (卡加利) | 是 |
| 歐洲 (法蘭克福) 區域 | 是 |
| 歐洲 (愛爾蘭) 區域 | 是 |
| 歐洲 (倫敦) 區域 | 是 |
| 歐洲 (米蘭) | 是 |
| 歐洲 (巴黎) 區域 | 是 |
| 歐洲 (西班牙) | 是 |
| 歐洲 (斯德哥爾摩) | 是 |
| 歐洲 (蘇黎世) | 是 |
| 以色列 (特拉維夫) | 是 |
| Middle East (Bahrain) | 是 |
| 中東 (阿拉伯聯合大公國) | 是 |
| 南美洲 (聖保羅) | 是 |
| 美國東部 (維吉尼亞北部) | 是 |
| 美國東部 (俄亥俄) | 是 |
| 美國西部 (加利佛尼亞北部) | 是 |
| 美國西部 (奧勒岡) | 是 |
| 中國 (北京) | 是 |
| 中國 (寧夏) | 是 |
| AWS GovCloud (US) | 是 |
**其他安全考慮事項**
AWS 受管網域清單旨在協助保護您免受常見的 Web 威脅。根據文件使用時,這些清單會為您的應用程式增加另一層安全性。不過,受管網域清單並非要用來取代其他安全性控制措施,這是由您選取的 AWS 資源決定的。為了確保您在 中的資源 AWS 受到適當保護,請參閱[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)中的指引。
**減少誤判案例**
如果您在規則中遇到使用 受管網域清單封鎖查詢的誤判案例,請執行下列步驟:
1. 在 VPC Resolver 日誌中,識別導致誤報的規則群組和受管網域清單。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。該日誌記錄會列出規則群組、規則動作和受管清單。如需有關日誌的資訊,請參閱 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。
1. 在規則群組中建立明確允許封鎖的查詢通過的新規則。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 [建立規則群組和規則](resolver-dns-firewall-rule-group-adding.md) 中涉及規則群組和規則管理的指引。
1. 在規則群組內排定新規則的優先順序,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。
當您更新規則群組時,新規則會明確允許封鎖規則執行前要允許的網域名稱。
# 管理您自己的網域清單
您可以建立自己的網域清單,以指定在受管網域清單提供項目中無法找到或您偏好自行處理的網域類別。
除了本節所述的程序之外,在主控台中,您可以在建立或更新規則時,在解析程式 DNS 防火牆規則管理的內容中建立網域清單。
您網域清單中的每個網域規格都必須符合以下要求:
+ 它可以選擇性地以 `*` (星號) 開頭。
+ 除了選用的起始星號和句點之外,做為標籤之間的分隔符號,它只能包含下列字元:`A-Z`、`0-9`、、 `a-z``-`(連字號)。
+ 長度必須為 1-255 個字元。
當您變更 DNS 防火牆實體 (例如規則和網域清單) 時,DNS 防火牆會將變更傳播到儲存和使用該實體的所有位置。您的變更會在幾秒鐘內套用,但是當變更已經到達某些位置而不是在其他位置時,可能會有短暫的不一致的時間。因此,舉例而言,如果您將網域新增至封鎖規則所參考的網域清單中,新網域可能會在 VPC 的某個區域中短暫封鎖,而在另一個區域中仍然得到允許。當您第一次設定規則群組和 VPC 關聯,以及變更現有設定時,可能會發生此暫時不一致的情況。一般來說,這種類型的任何不一致只會持續幾秒鐘。
**在生產環境中使用之前,請先測試您的網域清單**
最佳實務是在生產環境中使用規則群組之前,先在非生產環境中進行測試,並將規則動作設定為 `Alert`。使用 Amazon CloudWatch 指標和 VPC Resolver 日誌評估規則。日誌會提供所有警示和封鎖動作的網域清單名稱。當您對網域清單與您想要的 DNS 查詢相符感到滿意之後,請視需要變更規則動作設定。如需 CloudWatch 指標和查詢日誌的相關資訊,請參閱 [使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組](monitoring-resolver-dns-firewall-with-cloudwatch.md)、[VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)以及 [管理 Resolver 查詢日誌記錄組態](resolver-query-logging-configurations-managing.md)。
**若要新增網域清單**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 2。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**網域清單**。在 **Domain lists (網域清單)** 頁面上,您可以選取和編輯現有網域清單,還可以新增自己的網域清單。
1. 要新增網域清單,請選擇 **Add domain list (新增網域清單)**。
1. 提供網域清單的名稱,然後在文字方塊中輸入網域規格 (每行一個)。
如果您滑動 **Switch to bulk upload (切換至大量上傳)** 至 **on (開啟)**,請輸入您在其中建立網域清單的 Amazon S3 儲存貯體的 URI。此網域清單在每行中應該有一個網域名稱。
**注意**
重複的網域名稱會導致大量匯入失敗。
1. 選擇 **Add domain list (新增網域清單)**。**Domain lists (網域清單)** 頁面會列出您的新網域清單。
建立網域清單之後,您可以從 DNS 防火牆規則依名稱參考該清單。
**刪除 DNS 防火墻實體**
當您刪除可在 DNS 防火牆中使用的實體 (例如規則群組中可能正在使用的網域清單) 或可能與 VPC 關聯的規則群組時,DNS 防火牆會檢查該實體目前是否正在使用中。如果發現該實體正在使用中,DNS 防火牆會警告您。DNS 防火墻幾乎總是能夠判斷實體是否正在使用中。但是在極少數的情況下,它也可能無法判斷。如果您需要確定目前沒有任何物件正在使用該實體,請在 DNS 防火墻組態中檢查它,然後予以刪除。如果實體是參考的網域清單,請檢查沒有規則群組正在使用它。如果實體是規則群組,請檢查該實體是否與任何 VPC 相關聯。
**若要刪除網域清單**
1. 在導覽窗格中,選擇 **Domain lists (網域清單)**。
1. 在導覽列中,選擇網域清單的區域。
1. 選取您要刪除的網域清單,然後選擇**刪除**,然後確認刪除。
# 解析程式 DNS 防火牆進階
DNS Firewall Advanced 根據 DNS 查詢中的已知威脅簽章來偵測可疑的 DNS 查詢。您可以在規則群組內,在 DNS 防火牆規則中使用的規則中指定威脅類型。當您將規則群組與 VPC 建立關聯時,DNS 防火牆會將您的 DNS 查詢與規則中標記的網域進行比較。如果找到相符項目,它會根據比對規則的動作處理 DNS 查詢。
DNS Firewall Advanced 透過檢查 DNS 承載中的一系列金鑰識別符來識別可疑 DNS 威脅簽章,包括請求的時間戳記、請求和回應的頻率、DNS 查詢字串,以及傳出和傳入 DNS 查詢的長度、類型或大小。根據威脅簽章的類型,您可以設定要封鎖的政策,或直接在查詢上記錄和提醒。透過使用一組擴充的威脅識別符,您可以防止來自網域來源的 DNS 威脅,這些來源可能尚未由更廣泛的安全社群維護的威脅情報摘要進行分類。
目前,DNS Firewall Advanced 提供以下保護:
+ 網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
+ DNS 通道
攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。
+ 字典 DGA
攻擊者使用字典 DGAs 來產生使用字典文字的網域,以在惡意軟體command-and-control通訊中逃避偵測。
若要了解如何建立規則,請參閱 [建立規則群組和規則](resolver-dns-firewall-rule-group-adding.md)和 [DNS 防火牆中的規則設定](resolver-dns-firewall-rule-settings.md)。
**減少誤判案例**
如果您在使用 DNS Firewall Advanced 保護封鎖查詢的規則中遇到誤判案例,請執行下列步驟:
1. 在 VPC Resolver 日誌中,識別導致誤報的規則群組和 DNS Firewall Advanced 保護。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。日誌記錄會列出規則群組、規則動作和 DNS Firewall Advanced 保護。如需有關日誌的資訊,請參閱 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。
1. 在規則群組中建立明確允許封鎖的查詢通過的新規則。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 [建立規則群組和規則](resolver-dns-firewall-rule-group-adding.md) 中涉及規則群組和規則管理的指引。
1. 在規則群組內排定新規則的優先順序,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。
當您更新規則群組時,新規則會明確允許封鎖規則執行前要允許的網域名稱。
# 為 DNS 防火墻設定日誌記錄
您可以使用 Amazon CloudWatch 指標和 Resolver 查詢日誌來評估 DNS 防火牆規則。日誌會提供所有警示和封鎖動作的網域清單名稱。如需有關 Amazon CloudWatch 的詳細資訊,請參閱 [使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組](monitoring-resolver-dns-firewall-with-cloudwatch.md)。
當您啟用 DNS 防火牆,將其與 VPC 建立關聯,並且已啟用記錄功能時,` firewall_rule_group_id`、`firewall_rule_action` 和 ` firewall_domain_list_id` 是就是日誌中提供的 DNS 防火牆特定欄位。
**注意**
只有遭到 DNS 防火牆規則封鎖的查詢,查詢日誌才會顯示額外的 DNS 防火牆欄位。
若要開始記錄源自 VPC 的 DNS 防火牆規則篩選的 DNS 查詢,請在 Amazon Route 53 主控台中執行下列任務:
**設定 DNS 防火牆的 Resolver 查詢日誌記錄**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (![\[Menu icon\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/menu-icon.png)) 圖示。
1. 在 Resolver 選單中,選擇 **Query logging (查詢日誌記錄)**。
1. 在區域選取器中,選擇 AWS 您要建立查詢記錄組態的區域。
此區域必須等同於您在其中建立與 DNS 防火牆相關聯且想要記錄查詢的 VPC 的區域。如果您在多個區域擁有 VPC,務必為每個區域至少建立一項查詢日誌記錄組態。
1. 選擇 **Configure query logging (設定查詢日誌記錄)**。
1. 指定下列值:
**查詢日誌記錄組態**
輸入查詢日誌記錄組態的名稱。名稱會顯示在主控台中的查詢日誌記錄組態清單。輸入稍後可以協助您尋找此組態的名稱。
**查詢日誌目的地**
選擇您希望 VPC Resolver 傳送查詢日誌 AWS 的資源類型。如需如何選擇選項 (CloudWatch Logs 日誌群組、S3 儲存貯體和 Firehose 交付串流) 的詳細資訊,請參閱 [AWS 您可以將 VPC Resolver 查詢日誌傳送至 的 資源](resolver-query-logs-choosing-target-resource.md)。
選擇資源類型後,您可以建立該類型的另一個資源,或選擇目前 AWS 帳戶建立的現有資源。
您只能選擇在步驟 4 中選取的 AWS 區域中建立的資源,即您要建立查詢日誌記錄組態的區域。如果您選擇建立新資源,則會在相同的區域中建立該資源。
**要記錄查詢的 VPC**
此查詢日誌記錄組態會記錄源自所選擇之 VPC 的 DNS 查詢。勾選目前區域中每個 VPC 的核取方塊,讓 VPC 解析程式記錄查詢,然後選擇**選擇**。
針對特定目的地類型,只能啟用一次 VPC 日誌交付。日誌無法交付至相同類型的多個目的地。例如,VPC 日誌無法交付至兩個 Amazon S3 目的地。
1. 選擇 **Configure query logging (設定查詢日誌記錄)**。
**注意**
您應該會在成功建立查詢日誌記錄組態後幾分鐘內開始看到由 VPC 資源進行的 DNS 查詢。
# 在 AWS 帳戶之間共用解析程式 DNS 防火牆規則群組
您可以在 AWS 帳戶之間共用 DNS 防火牆規則群組。若要共用規則群組,請使用 AWS Resource Access Manager (AWS RAM)。DNS 防火牆主控台與 AWS RAM 主控台整合。如需 的詳細資訊 AWS RAM,請參閱 [Resource Access Manager 使用者指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
注意下列事項:
**建立共用規則群組與 VPC 的關聯**
如果另一個 AWS 帳戶已與您的帳戶共用規則群組,您可以將它與 VPCs建立關聯,方式與您建立的規則群組建立關聯。如需詳細資訊,請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。
**刪除或停止共用規則群組**
如果您與其他帳戶共用規則群組,然後刪除或停止共用該規則群組,DNS 防火墻會移除其他帳戶在規則群組與其 VPC 之間建立的所有關聯。
**規則群組和關聯的最大設定值**
共用規則群組及其與 VPC 的關聯會包含在共用規則群組之帳戶的計數中。
如需目前的 DNS 防火墻配額,請參閱 [Resolver DNS 防火牆上的配額](DNSLimitations.md#limits-api-entities-resolver-dns-firewall)。
**許可**
若要與其他 AWS 帳戶共用規則群組,您必須具有使用 [ PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html) 動作的許可。
**與規則群組共用之 AWS 帳戶的限制**
共用規則群組的帳戶無法變更或刪除規則群組。
**標記**
只有建立規則群組的帳戶可以新增、刪除或查看規則群組的標籤。
若要檢視規則群組目前的共用狀態 (包括共用規則群組的帳戶或接受共用的帳戶),以及與其他帳戶共用規則群組,請執行以下程序。
**檢視共用狀態並與其他 AWS 帳戶共用規則群組**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇 **Rule groups (規則群組)**。
1. 在導覽列上,選擇您建立規則群組的區域。
**Sharing status (共用狀態)** 欄顯示規則群組目前的共用狀態,它們是目前帳戶建立的規則群組或與目前帳戶共用的規則群組:
+ **未共用**:目前 AWS 帳戶已建立規則群組,且規則群組不會與任何其他帳戶共用。
+ **Shared by me (由我共用)**:目前的帳戶建立了規則群組,且與一或多個帳戶共用。
+ **Shared with me (與我共用)**:另一個帳戶建立了規則群組,且與目前的帳戶共用。
1. 選擇您想要顯示共用資訊的規則群組名稱,或您想要與其他帳戶共用的規則群組名稱。
在 **Rule group: *rule group name* (規則群組:規則群組名稱)** 頁面中,**Owner (擁有者)** 下的值會顯示建立規則群組的帳戶 ID。除非 **Sharing status (共用狀態)** 的值為 **Shared with me (與我共用)**,否則即為目前的帳戶。在這種情況下,**擁有者**是建立規則群組並與目前帳戶共用的 帳戶。
1. 選擇 **Share (共用)** 以檢視更多資訊,或與其他帳戶共用規則群組。 AWS RAM 主控台中的頁面會根據**共用狀態**的值顯示:
+ **Not shared (不共用)**:顯示 **Create resource share (建立資源共用)** 頁面。如需如何與其他帳戶、組織單位 (OU) 或組織共用規則群組的資訊,請移至後續的步驟。
+ **Shared by me (由我共用)**:**Shared resources (共用的資源)** 頁面會顯示目前帳戶所擁有的規則群組和其他資源,以及與其他帳戶共用的規則群組和資源。
+ **Shared with me (與我共用)**:**Shared resources (共用的資源)** 頁面會顯示其他帳戶所擁有的規則群組和其他資源,以及與目前帳戶共用的規則群組和資源。
1. 若要與其他 AWS 帳戶、OU 或組織共用規則群組,請指定下列值。
**注意**
您無法更新共用設定。如果您想要變更以下任一設定,則必須重新共用使用新設定的規則群組,然後移除舊的共用設定。
**Description**
輸入有助於您記憶為何共用規則群組的簡短描述。
**Resources**
選擇您要共用之規則群組的核取方塊。
**主體**
輸入 AWS 帳號、OU 名稱或組織名稱。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,並為**值**指定 **456**。
這些是 AWS 帳單與成本管理 提供用於組織 AWS 帳單的標籤;您也可以將標籤用於其他用途。如需有關使用成本配置標籤的詳細資訊,請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
# 為您的 VPC 啟用解析程式 DNS 防火牆保護
您可以透過將一或多個規則群組與 VPC 產生關聯來啟用 VPC 的 DNS 防火牆保護。每當 VPC 與 DNS 防火牆規則群組相關聯時,Route 53 VPC Resolver 都會提供下列 DNS 防火牆保護:
+ VPC Resolver 透過 DNS 防火牆路由 VPC 的傳出 DNS 查詢,而 DNS 防火牆會使用相關聯的規則群組篩選查詢。
+ VPC Resolver 會強制執行 VPC DNS 防火牆組態中的設定。
若要為 VPC 提供 DNS 防火墻保護,請執行下列動作:
+ 建立及管理 DNS 防火牆規則群組與 VPC 之間的關聯。如需規則群組的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
+ 設定您希望 VPC Resolver 在失敗期間如何處理 VPC 的 DNS 查詢,例如,如果 DNS 防火牆未提供 DNS 查詢的回應。
# 管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯
**檢視規則群組的 VPC 關聯**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
在導覽窗格中選擇 **DNS 防火牆**,以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。
- 或 -
登入 AWS 管理主控台 並開啟
位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中的 **DNS 防火牆**下方,選擇**規則群組**。
1. 在導覽列中,選擇規則群組的區域。
1. 選取您要關聯的規則群組。
1. 請選擇 **View Details (檢視詳細資訊)**。隨即顯示規則群組頁面。
1. 在頁面底部,您可以看到包含規則和關聯 VPC 的標籤式詳細資料區域。選擇標籤 **Associated VPCs (關聯的 VPC)**。
**將規則群組與 VPC 相關聯**
1. 依照[上述程序](resolver-dns-firewall-rule-group-sharing.md)**檢視規則群組的 VPC 關聯**中的指示來尋找規則群組的 VPC 關聯。
1. 在 **Associated VPCs (關聯的 VPC)** 標籤中,選擇 **Associate VPC (關聯 VPC)**。
1. 在下拉式清單中找到您要與規則群組建立關聯的 VPC。選取該 VPC ,然後選擇 **Associate (關聯)**。
在規則群組頁面中,您的 VPC 會列在 **Associated VPCs (關聯的 VPC)** 標籤中。起初,該關聯的 **Status (狀態)** 報告為 **Updating (更新中)**。關聯完成時,狀態會變更為 **Complete (完成)**。
**移除規則群組與 VPC 之間的關聯**
1. 依照[上述程序](resolver-dns-firewall-rule-group-sharing.md)**檢視規則群組的 VPC 關聯**中的指示來尋找規則群組的 VPC 關聯。
1. 選取您要從清單中移除的 VPC,然後選擇**取消關聯**。請驗證,然後確認該動作。
在規則群組頁面上,您的 VPC 會列在 **Associated VPCs (關聯的 VPC)** 標籤中,其狀態為 **Disassociating (解除關聯中)**。作業完成時,DNS 防火牆會更新清單以移除 VPC。
# DNS 防火墻 VPC 組態
VPC 的 DNS 防火牆組態會判斷 Route 53 VPC Resolver 是否允許在失敗期間透過 查詢或封鎖查詢,例如當 DNS 防火牆受損、無回應或無法在區域中使用時。每當您有一或多個與 VPC 相關聯的 DNS 防火牆規則群組時,VPC Resolver 就會強制執行 VPC 的防火牆組態。
您可以將 VPC 設定為開啟失敗或關閉失敗。
+ 根據預設,失敗模式會關閉,這表示 VPC Resolver 會封鎖未收到 DNS 防火牆回覆的任何查詢,並傳送 ` SERVFAIL` DNS 回應。這種方法有利於安全性,而不是可用性。
+ 如果您啟用失敗開啟,VPC Resolver 會在未收到 DNS 防火牆的回覆時允許透過 進行查詢。這種方法有利於可用性,而不是安全性。
**若要變更 VPC (主控台) 的 DNS 防火牆組態**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) 開啟 VPC Resolver 主控台。
1. 在**解析程式**下的導覽窗格中,選擇 ** VPCs**。
1. 在 **VPCs** 頁面上,找出並編輯 VPC。視需要將 DNS 防火牆組態變更為開啟失敗或關閉失敗。
**若要變更 VPC (API) 的 DNS 防火牆行為**
+ 呼叫 [ UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html) 並啟用或停用 ,以更新您的 VPC 防火牆組態` FirewallFailOpen`。
您可以透過 API 呼叫 [ ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html) 來擷取 VPC 防火牆組態的清單。