As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução ao Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

O console do Firewall DNS inclui um assistente que orienta você durante as etapas a seguir para começar a usar o Firewall DNS:
+ Crie grupos de regras para cada conjunto de regras que você deseja usar.
+ Para cada regra, preencha a lista de domínios que você deseja inspecionar. Você pode criar suas próprias listas de domínios e usar listas de domínios AWS gerenciados. 
+ Associe seus grupos de regras ao VPCs local em que você deseja usá-los.

## Exemplo de jardim murado do Resolver DNS Firewall
<a name="dns-firewall-walled-garden-example"></a>

Neste tutorial, você criará um grupo de regras que bloqueia todos, exceto um grupo selecionado, de domínios nos quais você confia. Isso é chamado de plataforma fechada, ou abordagem de jardim murado.

**Para configurar um grupo de regras do Firewall DNS usando o assistente de console**

1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.

   - OU - 

   Faça login no Console de gerenciamento da AWS e abra o 

   o console Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.

1. Na barra de navegação, escolha a região do grupo de regras. 

1. Na página **Rule groups** (Grupos de regras), escolha **Add rule group** (Adicionar grupo de regras).

1. Para o nome do grupo de regras, insira **WalledGardenExample**. 

   Na seção **Tags**, você tem a opção de inserir um par chave-valor para a tag. As tags ajudam você a organizar e gerenciar seus recursos do AWS . Para obter mais informações, consulte [Marcação de recursos do Amazon Route 53](tagging-resources.md). 

1. Escolha **Adicionar grupo de regras**.

1. Na página de **WalledGardenExample**detalhes, escolha a **guia Regras** e, em seguida, **Adicionar regra**.

1. No painel **Detalhes da regra**, insira o nome da regra ** BlockAll**.

1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios). 

1. Em **Choose or create a new domain list** (Escolher ou criar uma lista de domínios) escolha **Create new domain list** (Criar nova lista de domínios).

1. Insira o nome da lista de domínios e**AllDomains**, na caixa de texto **Inserir um domínio por linha**, insira um asterisco:**\$1**. 

1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.

1. Em **Ação**, selecione **BLOQUEAR** e deixe a resposta a ser enviada na configuração padrão de **NODATA**. 

1. Escolha **Adicionar regra**. Sua regra **BlockAll**é exibida na guia **Regras** da **WalledGardenExample**página.

1. Na **WalledGardenExample**página, escolha **Adicionar regra** para adicionar uma segunda regra ao seu grupo de regras. 

1. No painel **Detalhes da regra**, insira o nome da regra ** AllowSelectDomains**.

1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios). 

1. Em **Choose or create a new domain list** (Escolher ou criar uma nova lista de domínios), selecione **Create new domain list** (Criar nova lista de domínios).

1. Insira um nome de lista de domínios **ExampleDomains**.

1. Na caixa de texto **Inserir um domínio por linha**, na primeira linha, insira **example.com** e na segunda linha, insira **example.org**. 
**nota**  
Se você quiser que a regra se aplique a subdomínios também, você precisa adicionar esses domínios à lista também. Por exemplo, para adicionar todos os subdomínios do example.com, adicione **\$1.example.com** à lista.

1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.

1. Em **Ação**, selecione **PERMITIR**. 

1. Escolha **Adicionar regra**. Suas regras são exibidas na guia **Regras** da **WalledGardenExample**página.

1. Na guia **Regras** da **WalledGardenExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada. Para este exemplo, queremos que o Firewall DNS primeiro identifique e permita consultas de DNS para a lista selecionada de domínios e, em seguida, bloqueie todas as consultas restantes. 

   Ajuste a prioridade da regra para que ela **AllowSelectDomains**tenha uma prioridade menor.

Agora você tem um grupo de regras que permite apenas consultas de domínio específicas. Para começar a usá-lo, você o associa ao VPCs local em que deseja usar o comportamento de filtragem. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

## Exemplo de lista de bloqueios do Resolver DNS Firewall
<a name="dns-firewall-block-list-example"></a>

Neste tutorial, você criará um grupo de regras que bloqueia domínios que você sabe que são maliciosos. Você também adicionará um tipo de consulta ao DNS que é permitido para os domínios da lista bloqueada. O grupo de regras permite todas as outras solicitações de DNS de saída pelo VPC Resolver.

**Para configurar uma lista de bloqueios do Firewall DNS utilizando o assistente do console**

1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Escolha **Firewall do DNS** no painel de navegação para abrir a página **Grupos de regras** do firewall do DNS no console do Amazon VPC. Continue na etapa 3.

   - OU - 

   Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. No painel de navegação, em **Firewall do DNS**, escolha **Grupos de regras**.

1. Na barra de navegação, escolha a região do grupo de regras. 

1. Na página **Rule groups** (Grupos de regras), escolha **Add rule group** (Adicionar grupo de regras).

1. Para o nome do grupo de regras, insira **BlockListExample**. 

   Na seção **Tags**, você tem a opção de inserir um par chave-valor para a tag. As tags ajudam você a organizar e gerenciar seus recursos do AWS . Para obter mais informações, consulte [Marcação de recursos do Amazon Route 53](tagging-resources.md). 

1. Na página de **BlockListExample**detalhes, escolha a guia **Regras** e, em seguida, **Adicionar regra**.

1. No painel **Detalhes da regra**, insira o nome da regra ** BlockList**.

1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios). 

1. Em **Choose or create a new domain list** (Escolher ou criar uma nova lista de domínios), selecione **Create new domain list** (Criar nova lista de domínios).

1. Insira um nome de lista de domínios **MaliciousDomains**, em seguida, na caixa de texto, insira os domínios que você deseja bloquear. Por exemplo, .** example.org** Insira um domínio por linha. 
**nota**  
Se você quiser que a regra se aplique a subdomínios também, você deve adicionar esses domínios à lista também. Por exemplo, para adicionar todos os subdomínios do example.org, adicione**\$1.example.org** à lista.

1. Em **Configuração de redirecionamento de domínio**, aceite o padrão e deixe **Tipo de consulta - opcional** em branco.

1. Para a ação, selecione **BLOCK** (Bloquear) e, em seguida, deixe a resposta para enviar na configuração padrão de **NODATA**. 

1. Escolha **Adicionar regra**. Sua regra é exibida na guia **Regras** na **BlockListExample**página

1. na guia **Regras** da **BlockedListExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada. 

   Selecione e ajuste a prioridade da regra para que ela **BlockList**seja avaliada antes ou depois de qualquer outra regra que você possa ter. Na maioria das vezes, domínios maliciosos conhecidos devem ser bloqueados primeiro. Ou seja, as regras associadas a elas devem ter o número de prioridade mais baixo.

1. Para adicionar uma regra que permita registros MX para os BlockList domínios, na página de **BlockedListExample**detalhes na guia **Regras**, escolha **Adicionar** regra.

1. No painel **Detalhes da regra**, insira o nome da regra ** BlockList-allowMX**.

1. No painel **Domain list** (Lista de domínios), selecione **Add my own domain list** (Adicionar minha própria lista de domínios). 

1. Em **Escolher ou criar uma nova lista de domínios**, selecione ** MaliciousDomains**.

1. Em **Configuração de redirecionamento de domínio**, aceite o padrão.

1. Na lista **Tipo de consulta ao DNS**, selecione **MX: especifica servidores de e-mail**.

1. Para a ação, selecione **ALLOW** (Permitir). 

1. Escolha **Adicionar regra**. 

1. na guia **Regras** da **BlockedListExample**página, você pode ajustar a ordem de avaliação das regras em seu grupo de regras selecionando o número listado na **coluna Prioridade** e digitando um novo número. O DNS Firewall avalia as regras começando pela configuração de menor prioridade, assim, a regra de menor prioridade é a primeira a ser avaliada. 

   Selecione e ajuste a prioridade da regra para que **BlockList-allowMx** seja avaliado antes ou depois de qualquer outra regra que você possa ter. Como você deseja permitir consultas MX, certifique-se de que a regra **BlockList-allowMx** tenha uma prioridade menor que a. **BlockList**

Agora você tem um grupo de regras que bloqueia determinadas consultas de domínio mal-intencionadas, mas permite um tipo específico de consulta ao DNS. Para começar a usá-lo, você o associa ao VPCs local em que deseja usar o comportamento de filtragem. Para obter mais informações, consulte [Gerenciando associações entre sua VPC e o grupo de regras do Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).