翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Resolver DNS Firewall の開始方法
DNS Firewall コンソールには、DNS Firewall の開始方法を次の手順で説明するウィザードが含まれています。
+ 使用するルールセットごとにルールグループを作成します。
+ ルールごとに、調査するドメインリストを設定します。独自のドメインリストを作成し、 AWS マネージドドメインリストを使用できます。
+ 使用する VPC にルールグループを関連付けます。
## Resolver DNS Firewall の壁付きガーデンの例
このチュートリアルでは、信頼できるドメインのうち選択されたグループを除くすべてのドメインをブロックするルールグループを作成します。これは、クローズドプラットフォーム、またはウォールドガーデンアプローチと呼ばれます。
**コンソールウィザードを使用して DNS Firewall ルールグループを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
にサインイン AWS マネジメントコンソール して を開きます。
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. **[ルールグループ]** ページで、**[ルールグループの追加]** を選択します。
1. ルールグループ名に「**WalledGardenExample**」と入力します。
**[タグ]** セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「[Amazon Route 53 リソースのタグ付け](tagging-resources.md)」を参照してください。
1. **[ルールグループを追加]** を選択します。
1. **WalledGardenExample** の詳細ページで、**[ルール]** タブ、**[ルールを追加]** の順に選択します。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockAll**」と入力します。
1. **[Domain list (ドメインリスト)] **ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. **[Choose or create a new domain list (新しいドメインリストを選択または作成)]** で **[Create new domain list (新しいドメインリストの作成)]** を選択します。
1. ドメインリスト名 を入力し**AllDomains**、Enter **one domain per line** テキストボックスにアスタリスク **\$1** を入力します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. **[アクション]** については、**[BLOCK]** を選択し、送信するレスポンスをデフォルト設定の **[NODATA]** のままにしておきます。
1. [**ルールを追加**] を選択してください。ルール **BlockAll** は、**WalledGardenExample** ページの**ルール**タブに表示されます。
1. **[WalledGardenExample]** ページで、**[ルールを追加]** を選択して、ルールグループに 2 番目のルールを追加します。
1. **[ルールの詳細]** ペインで、ルール名に「** AllowSelectDomains**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. [**Choose or create a new domain list (新しいドメインリストの選択または作成)]**で、**[Create new domain list (新しいドメインリストの作成)]**を選択します。
1. ドメインリスト名に「**ExampleDomains**」と入力します。
1. **[1 行につき 1 つのドメインを入力]** テキストボックスの最初の行に「**example.com**」、2 行目に「**example.org**」と入力します。
**注記**
ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.com のすべてのサブドメインを追加するには、**\$1.example.com** をリストに追加します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. **[アクション]** については、**[ALLOW]** を選択します。
1. [**ルールを追加**] を選択してください。ルールは両方とも、**WalledGardenExample** ページの**ルール**タブに表示されます。
1. **[WalledGardenExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。この例では、最初に DNS Firewall でドメインの選択リストの DNS クエリを特定して許可し、残りのクエリをすべてブロックします。
**[AllowSelectDomains]** の優先度が低くなるようにルールの優先度を調整します。
これで、特定のドメインクエリのみを許可するルールグループができました。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
## Resolver DNS Firewall ブロックリストの例
このチュートリアルでは、悪意があることが判明しているドメインをブロックするルールグループを作成します。ブロックされたリストのドメインに許可される DNS クエリタイプも追加します。ルールグループは、VPC リゾルバーを介した他のすべてのアウトバウンド DNS リクエストを許可します。
**コンソールウィザードを使用して DNS ファイアウォールブロックリストを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. **[ルールグループ]** ページで、**[ルールグループの追加]** を選択します。
1. ルールグループ名に「**BlockListExample**」と入力します。
**[タグ]** セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「[Amazon Route 53 リソースのタグ付け](tagging-resources.md)」を参照してください。
1. **BlockListExample** の詳細ページで、**ルール**タブを選択し、**ルールを追加します**。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockList**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. **[Choose or create a new domain list (新しいドメインリストの選択または作成)]**で、**[Create new domain list (新しいドメインリストの作成)] **を選択します。
1. ドメインリスト名 **MaliciousDomains** を入力し、次にテキストボックスにブロックするドメインを入力します。例えば、** example.org**。1 行に 1 つドメインを入力します。
**注記**
ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.org のすべてのサブドメインを追加するには、**\$1.example.org** をリストに追加します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. アクションについては、**BLOCK** を選択し、送信するレスポンスをデフォルト設定の **NODATA** のままにしておきます。
1. [**ルールを追加**] を選択してください。ルールが **BlockListExample** ページの**ルール**タブに表示されます。
1. **[BlockedListExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。
ルールの優先度を選択して、**[ブロックリスト]** の他のルールの前または後に評価されるようルールの優先度を調整します。ほとんどの場合、既知の悪意のあるドメインを最初にブロックしてください。つまり、これらに関連付けられているルールは、最も小さい優先順位番号にする必要があります。
1. BlockList ドメインの MX レコードを許可するルールを追加するには、**ルール**タブの ** BlockedListExample** の詳細ページで、**ルールの追加**を選択します。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockList-allowMX**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加)]** を選択します。
1. **[新しいドメインリストを選択または作成]** で、[** MaliciousDomains**] を選択します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れます。
1. **[DNS クエリタイプ]** リストで、**[MX: メールサーバーを指定する]** を選択します。
1. アクションについては、[**ALLOW**] を選択します。
1. [**ルールを追加**] を選択してください。
1. **[BlockedListExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。
ルールの優先度を選択して、**[BlockList-allowMX]** は、他のルールの前または後に評価されるようルールの優先度を調整します。MX クエリを許可するため、**[BlockList -allowMX]** ルールが **[ブラックリスト]** よりも優先度が低いことを確認してください。
これで、特定の悪意のあるドメインクエリをブロックするルールグループができましたが、特定の DNS クエリタイプが許可されます。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。