发布于: Jan 10, 2024
从今天开始,您可以启用 Route 53 Resolver DNS Firewall,根据 DNS 查询格式的问题部分中包含的查询类型 (QTYPE) 来筛选 DNS 流量。
Route 53 Resolver DNS Firewall 是一项托管服务,可让客户阻止针对被识别为低信誉或疑似恶意的域进行 DNS 查询,并且允许针对受信任域进行查询。针对未被阻止查询的回复会提供有关域的信息,例如 IP 地址以及与该域关联的名称服务器。通过此次发布,您现在可以基于查询域名 (QNAME) 和 QTYPE 创建 DNS Firewall 规则,从而为 Amazon Virtual Private Clouds (VPC) 筛选出站 DNS 流量。例如,QTYPE 规则现在可为您提供防止针对任何 TXT 记录进行出站查询的选项。TXT 记录在响应查询时可以包含比 A 或 AAAA 记录更多的数据,因此通常用于 DNS 隧道渗透。
Route 53 Resolver DNS Firewall 目前已在提供 Route 53 的所有区域推出,包括 AWS GovCloud(美国)区域。请访问 AWS 区域表,查看推出 Amazon Route 53 的所有 AWS 区域。
您可以通过 Amazon Route 53 Resolver DNS Firewall 控制台或 API 在 Route 53 Resolver DNS Firewall 上开始使用 QTYPE 筛选,无需支付额外费用。要了解包括定价在内的有关 Route 53 Resolver DNS Firewall 的更多信息,请访问 Route 53 Resolver 网站、定价页面和文档。