如何开始使用适用于 Amazon VPC 的 Amazon Route 53 Resolver DNS 防火墙

DNS 查找通常是在网络中建立出站连接的起点。可以使用安全组、网络访问控制列表 (ACL) 或 AWS Network Firewall 等 AWS 服务阻止 Amazon Virtual Private Cloud (VPC) 资源与互联网服务之间不需要的直接通信。这些服务将过滤网络流量，但不会阻止发往 Amazon Route 53 Resolver 的出站 DNS 请求，该解析器会自动响应对公共 DNS 记录的 DNS 查询，也不会阻止发往 Amazon Virtual Private Cloud (VPC)（即特定 DNS 名称）和 Amazon Route 53 专用托管区域的出站 DNS 请求。

DNS 泄露可能会允许行为不轨者通过 DNS 查询将数据提取到他们控制的域中。例如，如果行为不轨者控制了域名“example.com”并且想要泄露“敏感数据”，则他们可以从 VPC 内已被攻破的实例发起对“sensitive-data.example.com”的 DNS 查找。过去，为了防止这种情况，客户需要承担自己运营 DNS 服务器的费用，以便过滤掉恶意活动中的 DNS 查找。

今天，我很高兴地宣布推出 Amazon Route 53 Resolver DNS Firewall (DNS Firewall)，它可以帮助您抵御这类 DNS 级威胁。借助 DNS Firewall，您可以通过定义域名允许列表来允许 Amazon Virtual Private Cloud (VPC) 内的资源对组织信任的站点发出出站 DNS 请求，从而将泄露数据的企图拒之门外。

您可以屏蔽恶意域、拒绝对已知恶性域名的 DNS 请求，例如网络钓鱼域。DNS Firewall 与 AWS Firewall Manager 完全集成，这使安全管理员处于核心位置，能够在启用、监控和审计 AWS Organizations 中所有 VPC 和 AWS 账户之间的防火墙活动。DNS Firewall 还与 Route 53 Resolver Query Logs、Amazon CloudWatch 和 CloudWatch Contributor Insights 等具有防火墙日志分析功能的服务集成。您还可以访问 AWS Managed Domain Lists，以防范恶意软件和僵尸网络等常见威胁。

如何使用 Amazon Route 53 Resolver DNS Firewall
您可以在 AWS 管理控制台、AWS 命令行界面 (CLI) 和 AWS 开发工具包中开始使用 DNS Firewall，您可以在其中创建域列表和规则以及配置规则操作和启用 AWS 托管规则。在 VPC 或 Route 53 控制台的左侧导航窗格中，展开 DNS Firewall，然后在菜单中选择 Rule Groups（规则组）。

要开始使用，请选择 Add rule group（添加规则组）并输入组名称和描述。

规则用于定义如何响应 DNS 请求。它们定义要查找的域名以及当 DNS 查询与其中的域名匹配时要采取的操作。

AWS Web Application Firewall 和 AWS Network Firewall 类似，规则组是用于存储一套规则的对象。每个规则由两个关键组成部分组成：(a) 域列表，这是您希望阻止或允许私有查询解析的域名列表；(b) 操作，这是您配置的当域列表中的某个域被查询时规则的响应动作。

域列表支持两种域类型：通配符域（某些域的子域，例如 *.example.com）和完全限定域名 (FQDN)，后者是特定主机的完整域名（例如 foo.example.com）。

您可以为每个规则配置一个操作，这使您可以灵活地配置与组织的安全要求最匹配的操作。您可以在允许列表中选择允许的操作，在拒绝列表中选择阻止的操作。

配置阻止的操作时，默认情况下会选择 NODATA 响应，这意味着对所请求的域名没有可用的响应。如果此默认响应不适合您的应用场景，则可以对其进行修改，从 OVERVIDE 或 NXDOMAIN 响应中进行选择。通过覆盖，您可以将自定义 DNS 记录配置为将恶意域的查询发送到“污水池”，并返回一条解释为何执行此操作的自定义消息。NXDOMAIN 响应是一条错误消息，表示域不存在。

对于允许列表或拒绝列表，您还可以选择启用 ALERT 响应，以便监视规则活动。如果您希望在将规则或规则组部署到生产环境之前先进行测试，则该功能很有用。

创建完规则组后，您可以查看详细信息并关联 VPC。

要关联您的 VPC，请选择 Associate VPC（关联 VPC）。您最多可以将 5 个规则组与 VPC 关联。

实施 Route 53 Resolver DNS Firewall 规则
您可以从 AWS Firewall Manager 中创建 DNS Firewall 策略，这是一项安全管理服务，您可以使用该服务为 AWS Organizations 中的所有账户和应用程序集中配置和管理防火墙规则。借助 Firewall Manager，您的安全管理员可以在 AWS 账户和 VPC 中为 EC2 实例、Application Load Balancers (ALB) 和弹性网络接口 (ENI) 部署一组基准 VPC 安全组规则。

要开始使用 Firewall Manager 管理 DNS Firewall，您需要作为核心安全与合规团队的安全管理员完成先决条件。

您创建的 DNS Firewall 策略允许您指定要与组织内 VPC 关联的规则组以及为这些规则组分配的优先级。您可以使用 DNS Firewall 规则包括或排除账户、组织单位 (OU) 和 VPC（含标签）。配置此策略并将其关联到您的 AWS Organization 后，所有账户都立即归入其管辖范围内。

如果组织中添加了新账户，只要该账户在策略范围内，Firewall Manager 就会自动将策略和规则组应用至账户中的 VPC。添加规则组时可以包含为 Firewall Manager 保留的特定优先级，从而防止个别开发人员/账户在账户级别覆盖这些规则。

现已推出
Amazon Route 53 Resolver DNS Firewall 现已在美国东部（弗吉尼亚北部）、美国西部（俄勒冈）、欧洲（爱尔兰）、亚太地区（孟买）推出，所有其他 AWS 商业区域和 AWS GovCloud（美国）区域将在未来几天内推出。通过产品页面、定价和文档可了解更多信息。敬请试用，欢迎通过您常用的 AWS Support 联系人或者 AWS 论坛的 Amazon VPC 或 Route 53 版块给我们发送反馈。

了解有关 Amazon Route 53 Resolver DNS Firewall 的所有详细信息，并立即开始使用新功能。

— Channy