Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencer à utiliser Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

La console du pare-feu DNS inclut un assistant qui vous guide tout au long des étapes suivantes pour démarrer avec le pare-feu DNS :
+ Créez des groupes de règles pour chaque ensemble de règles que vous souhaitez utiliser.
+ Pour chaque règle, renseignez la liste de domaines que vous souhaitez inspecter. Vous pouvez créer vos propres listes de domaines et utiliser des listes de domaines AWS gérées. 
+ Associez vos groupes de règles à l' VPCs endroit où vous souhaitez les utiliser.

## Exemple de jardin clos avec pare-feu DNS Resolver
<a name="dns-firewall-walled-garden-example"></a>

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque tous les domaines, sauf un groupe de domaines approuvés. C'est ce qu'on appelle une plateforme fermée, ou approche « walled garden » (jardin fermé).

**Pour configurer un groupe de règles de pare-feu DNS à l'aide de l'assistant de la console**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous au AWS Management Console et ouvrez-le 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sur la page **Rule groups (Groupes de règles)**, choisissez **Add rule group (Ajouter un groupe de règles)**.

1. Saisissez **WalledGardenExample** comme nom pour le groupe de règles. 

   Dans la section **Tags**, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon Route 53](tagging-resources.md). 

1. Choisissez **Ajouter un groupe de règles**.

1. Sur la page de **WalledGardenExample**détails, choisissez l'**onglet Règles**, puis **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockAll**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Entrez un nom de liste de domaines**AllDomains**, puis dans la zone de texte **Entrez un domaine par ligne**, entrez un astérisque :**\$1**. 

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'**action**, sélectionnez **BLOQUER**, puis laissez la réponse à envoyer avec le paramètre par défaut **NODATA**. 

1. Choisissez **Ajouter une règle**. Votre règle **BlockAll**s'affiche dans l'onglet **Règles** de la **WalledGardenExample**page.

1. Sur la **WalledGardenExample**page, choisissez **Ajouter une règle** pour ajouter une deuxième règle à votre groupe de règles. 

1. Dans le volet **Détails de la règle**, entrez le nom de la règle** AllowSelectDomains**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Saisissez un nom de liste de domaines **ExampleDomains**.

1. Dans la zone de texte **Entrez un domaine par ligne**, sur la première ligne, entrez **example.com** et sur la deuxième ligne, entrez**example.org**. 
**Note**  
Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.com, ajoutez **\$1.example.com** à la liste.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'**action**, sélectionnez **AUTORISER**. 

1. Choisissez **Ajouter une règle**. Vos règles sont toutes deux affichées dans l'onglet **Règles** de la **WalledGardenExample**page.

1. Dans l'onglet **Règles** de la **WalledGardenExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. Dans cet exemple, nous voulons que le pare-feu DNS identifie et autorise d'abord les requêtes DNS pour la liste de domaines sélectionnée, puis bloque les requêtes restantes. 

   Ajustez la priorité de la règle afin qu'**AllowSelectDomains**elle ait une priorité inférieure.

Vous disposez désormais d'un groupe de règles qui autorise uniquement les requêtes de domaines spécifiques. Pour commencer à l'utiliser, associez-le à l' VPCs endroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

## Exemple de liste de blocage du pare-feu DNS Resolver
<a name="dns-firewall-block-list-example"></a>

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque les domaines que vous considérez comme malveillants. Vous allez également ajouter un type de requête DNS autorisé pour les domaines de la liste bloquée. Le groupe de règles autorise toutes les autres requêtes DNS sortantes via le résolveur VPC.

**Pour configurer une liste rouge de pare-feu DNS à l'aide de l'assistant de la console**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sur la page **Rule groups (Groupes de règles)**, choisissez **Add rule group (Ajouter un groupe de règles)**.

1. Saisissez **BlockListExample** comme nom pour le groupe de règles. 

   Dans la section **Tags**, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon Route 53](tagging-resources.md). 

1. Sur la page de **BlockListExample**détails, choisissez l'onglet **Règles**, puis **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockList**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Saisissez un nom de liste de domaines **MaliciousDomains**, puis dans la zone de texte, saisissez les domaines que vous souhaitez bloquer. Par exemple, ** example.org**. Saisissez un domaine par ligne. 
**Note**  
Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.org, ajoutez **\$1.example.org** à la liste.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'action, sélectionnez **BLOCK**, puis laissez la réponse à envoyer au paramètre par défaut de **NODATA**. 

1. Choisissez **Ajouter une règle**. Votre règle est affichée dans l'onglet **Règles** de la **BlockListExample**page.

1. dans l'onglet **Règles** de la **BlockedListExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. 

   Sélectionnez et ajustez la priorité de la règle afin qu'elle **BlockList**soit évaluée avant ou après toute autre règle que vous pourriez avoir. La plupart du temps, les domaines malveillants connus devraient être bloqués en premier. Autrement dit, les règles qui leur sont associées devraient avoir le numéro de priorité le plus bas.

1. Pour ajouter une règle autorisant les enregistrements MX pour les BlockList domaines, sur la page de **BlockedListExample**détails de l'onglet **Règles**, sélectionnez **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockList-allowMX**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choisir ou créer une nouvelle liste de domaines**, sélectionnez** MaliciousDomains**.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut.

1. Dans la liste des **types de requêtes DNS**, sélectionnez **MX : Spécifie les serveurs de messagerie**.

1. Pour l'action, sélectionnez **ALLOW**. 

1. Choisissez **Ajouter une règle**. 

1. dans l'onglet **Règles** de la **BlockedListExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. 

   Sélectionnez et ajustez la priorité de la règle afin que **BlockList-AllowMX** soit évalué avant ou après toute autre règle que vous pourriez avoir. Comme vous souhaitez autoriser les requêtes MX, assurez-vous que la règle **BlockList-AllowMX** a une priorité inférieure à. **BlockList**

Vous disposez désormais d'un groupe de règles qui bloque les requêtes de domaine malveillantes spécifiques, mais autorise un type de requête DNS spécifique. Pour commencer à l'utiliser, associez-le à l' VPCsendroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).