View a markdown version of this page

Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr

Mit Resolver DNS Firewall können Sie ausgehenden DNS-Verkehr für Ihre Virtual Private Cloud (VPC) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen.

Die DNS-Firewall bietet Schutz für ausgehende DNS-Anforderungen von Ihren VPCs. Diese Anfragen werden zur Auflösung von Domainnamen über VPC Resolver weitergeleitet. Eine primäre Verwendung des DNS-Firewall-Schutzes besteht darin, die DNS-Exfiltration Ihrer Daten zu verhindern. Die DNS-Exfiltration kann auftreten, wenn ein schlechter Akteur eine Anwendungs-Instance in Ihrer VPC gefährdet und dann DNS-Lookup verwendet, um Daten aus der VPC an eine Domain zu senden, die sie steuern. Mit der DNS-Firewall können Sie die Domains überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domains verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domains den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen.

Sie können die DNS-Firewall auch verwenden, um Auflösungsanforderungen an Ressourcen in privaten gehosteten Zonen (gemeinsam oder lokal) einschließlich VPC-Endpunktnamen zu blockieren. Es kann auch Anfragen für öffentliche oder private Amazon-EC2-Instance-Namen blockieren.

Die DNS-Firewall ist eine Funktion von Route 53 VPC Resolver, für deren Verwendung kein zusätzliches VPC-Resolver-Setup erforderlich ist.

AWS Firewall Manager unterstützt die DNS-Firewall

Sie können Firewall Manager verwenden, um Ihre DNS-Firewall-Regelgruppenzuordnungen für Ihre VPCs in Ihren Konten in AWS Organizations zentral zu konfigurieren und zu verwalten. Firewall Manager fügt automatisch Zuordnungen für VPCs hinzu, die in den Geltungsbereich Ihrer Firewall Manager-DNS-Firewall-Richtlinie fallen. Weitere Informationen finden Sie AWS Firewall Managerim AWS Shield Advanced Entwicklerhandbuch AWS WAF AWS Firewall Manager,, und.

Wie funktioniert die DNS-Firewall mit AWS Network Firewall

Die DNS-Firewall und die Network Firewall bieten eine Filterung von Domainnamen, jedoch für verschiedene Arten von Datenverkehr. Zusammen mit DNS-Firewall und Network Firewall können Sie Domain-basierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade konfigurieren.

  • Die DNS-Firewall bietet Filterung für ausgehende DNS-Abfragen, die den Route 53 VPC Resolver von Anwendungen innerhalb Ihrer VPCs passieren. Sie können die DNS-Firewall auch so konfigurieren, dass benutzerdefinierte Antworten für Abfragen an blockierte Domainnamen gesendet werden.

  • Die Network Firewall filtert sowohl den Datenverkehr auf Netzwerk- als auch auf Anwendungsebene, hat jedoch keinen Einblick in Abfragen, die vom Route 53 VPC Resolver gestellt wurden.

Weitere Informationen finden über Network Firewall im Network-Firewall-Entwicklerhandbuch.