Regelaktionen in der DNS-Firewall - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regelaktionen in der DNS-Firewall

Wenn die DNS-Firewall eine Übereinstimmung zwischen einer DNS-Abfrage und einer Domainspezifikation in einer Regel findet, wendet sie die in der Regel angegebene Aktion auf die Abfrage an.

Sie müssen in jeder von Ihnen erstellten Regel eine der folgenden Optionen angeben:

  • Allow— Beenden Sie die Überprüfung der Abfrage und lassen Sie sie durchgehen. Nicht verfügbar für DNS Firewall Advanced.

  • Alert— Beenden Sie die Überprüfung der Abfrage, lassen Sie sie durchlaufen und protokollieren Sie eine Warnung für die Abfrage in den Route 53 VPC Resolver-Protokollen.

  • Block— Unterbrechen Sie die Überprüfung der Abfrage, verhindern Sie, dass sie zum vorgesehenen Ziel weitergeleitet wird, und protokollieren Sie die Blockaktion für die Abfrage in den Route 53 VPC Resolver-Protokollen.

    Antworten Sie mit der konfigurierten Blockantwort wie folgt:

    • NODATA— Antwortet und gibt an, dass die Abfrage erfolgreich war, aber keine Antwort darauf verfügbar ist.

    • NXDOMAIN— Antwortet und gibt an, dass der Domainname der Anfrage nicht existiert.

    • OVERRIDE— Geben Sie in der Antwort eine benutzerdefinierte Überschreibung an. Diese Option erfordert die folgenden zusätzlichen Einstellungen:

      • Record value— Der benutzerdefinierte DNS-Eintrag, der als Antwort auf die Anfrage zurückgesendet werden soll.

      • Record type— Der Typ des DNS-Eintrags. Dies bestimmt das Format des Datensatzwertes. Dies muss CNAME lauten.

      • Time to live in seconds— Die empfohlene Zeitspanne für den DNS-Resolver oder Webbrowser, um den Override-Eintrag zwischenzuspeichern und ihn als Antwort auf diese Anfrage zu verwenden, falls er erneut empfangen wird. Standardmäßig ist dies Null, und der Datensatz wird nicht zwischengespeichert.

Weitere Informationen zur Konfiguration und zum Inhalt der Abfrageprotokolle finden Sie unter Abfrageprotokollierung und Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen.

Verwenden Sie Alert, um die Blockierungsregeln zu testen

Wenn Sie eine Blockierungsregel zum ersten Mal erstellen, können Sie sie testen, indem Sie sie mit der auf Alert festgelegten Aktion konfigurieren. Sie können sich dann die Anzahl der Abfragen ansehen, bei denen die Regel eine Warnung ausgibt, um zu sehen, wie viele blockiert würden, wenn Sie die Aktion auf Block festlegen.