客服电话:13904310313 DNS Firewall 规则组和规则
本部分介绍可以为 DNS Firewall 规则组和规则配置的设置,以定义 VPC 的 DNS Firewall 行为。它还介绍了如何管理规则组和规则的设置。
按照需要的方式配置规则组后,您可以直接使用它们,并且您可以在 AWS Organizations 的各个账户和组织之间共享和管理这些规则组。
- 您可以将规则组与多个 VPC 关联,以便在整个组织中提供一致的行为。有关信息,请参阅 管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。
- 您可以在账户之间共享规则组,从而在整个组织中实现一致的 DNS 查询管理。有关信息,请参阅 在 AWS 账户之间共享 Route 53 Resolver DNS Firewall 规则组。
- 您可以通过在 AWS Firewall Manager 政策中管理这些规则组以在 AWS Organizations 的整个组织中使用它们。有关 Firewall Manager 的信息,请参阅 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南中的 AWS Firewall Manager。
DNS Firewall 中的规则组设置
- 名称
通过唯一名称可在控制面板上轻松找到规则组。
- (可选)描述
为规则组提供更多上下文的简短描述。
- 区域
您在创建规则组时选择的 AWS 区域。您在一个区域中创建的规则组仅在该区域中可用。要在多个区域中使用同一个规则,您必须在各个区域中创建该规则。
- 规则
规则组筛选行为包含在其规则中。有关信息,请参阅以下部分。
- 标签
指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456。
这是 AWS Billing and Cost Management 提供用于整理 AWS 账单的标签。有关对成本分配使用标签的更多信息,请参阅 AWS Billing 用户指南中的使用成本分配标签。
DNS Firewall 中的规则设置
- 名称
用于规则组中规则的唯一标识符。
- (可选)描述
提供有关规则的更多信息的简短描述。
- 域列表
规则检查的域列表。您可以创建和管理自己的域列表,也可以订阅 AWS 为您管理的域列表。有关更多信息,请参阅Route 53 Resolver DNS Firewall 域列表。
- 操作
您希望 DNS Firewall 如何处理域名与规则域列表中的规范匹配的 DNS 查询。有关更多信息,请参阅DNS Firewall 中的规则操作。
- 优先级
规则组中唯一确定处理顺序的正整数设置。DNS Firewall 根据规则组中的规则检查 DNS 查询,从最低数值优先级设置开始并向上检查。您可以随时更改规则的优先级,例如更改处理顺序或为其它规则留出空间。
DNS Firewall 中的规则操作
您需要在创建的每条规则中指定下列选项之一:
- Allow — 停止检查查询并允许查询通过。
- Alert — 停止检查查询,允许查询通过,并在 Route 53 Resolver 日志中记录查询的提示。
- Block — 停止检查查询,阻止查询前往其预定目标,并在 Route 53 Resolver 日志中记录查询的阻止操作。
回复已配置的阻止响应,具体如下:
有关查询日志配置和内容的更多信息,请参阅 Resolver 查询日志记录 和 显示在 Resolver 查询日志中的值。
使用 Alert 测试阻止规则
首次创建阻止规则时,可以通过将操作设置为 Alert 以进行测试。然后,您可以查看规则提示的查询数,以查看如果将操作设置为 Block,将会阻止多少查询。
管理 DNS Firewall 中的规则组和规则
当您对 DNS Firewall 实体(如规则和域列表)进行更改时,DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置但没有到达其它剩余位置时,可能会短暂地出现不一致的情况。因此,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时被阻止,而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时,可能会出现这种临时不一致的情况。通常而言,这种类型的任何不一致情况都只会持续几秒钟。
创建规则组和规则
要创建规则组及其规则
- 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。
- 或者 -
登录到 AWS Management Console并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/。 - 在导航窗格中,选择 Rule groups (规则组)。
- 在导航栏中,选择规则组的区域。
- 选择 Add rule group(添加规则组),然后按照向导指导来指定您的规则组和规则设置。
有关规则组的值的信息,请参阅 DNS Firewall 中的规则组设置。
有关规则的值的信息,请参阅 DNS Firewall 中的规则设置。
查看和更新规则组和规则
要查看和更新规则组
- 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。
- 或者 -
登录到 AWS Management Console并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/。 - 在导航窗格中,选择 Rule groups (规则组)。
- 在导航栏中,选择规则组的区域。
- 选择要查看或编辑的规则组,然后选择 View details(查看详细信息)。
- 在规则组的页面中,您可以查看和编辑设置。
有关规则组的值的信息,请参阅 DNS Firewall 中的规则组设置。
有关规则的值的信息,请参阅 DNS Firewall 中的规则设置。
删除规则组
要删除规则组,请执行以下步骤。
如果您删除与 VPC 关联的规则组,DNS Firewall 将删除该关联并停止该规则组向 VPC 提供的保护。
删除 DNS Firewall 实体
当您删除可以在 DNS Firewall 中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用,DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体正在使用中,请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否有规则组正在使用它。如果实体是规则组,请检查它是否已与任何 VPC 关联。
删除规则组
- 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/
。
- 或者 -
登录到 AWS Management Console并打开
Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/。 - 在导航窗格中,选择 Rule groups (规则组)。
- 在导航栏中,选择规则组的区域。
- 选择要删除的规则组,然后选择 Delete(删除),然后确认删除。
