本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 解析器 DNS 防火墙入门
<a name="resolver-dns-firewall-getting-started"></a>

DNS Firewall 控制台提供有向导，引导您完成开始使用 DNS Firewall 的以下步骤：
+ 为要使用的每组规则创建规则组。
+ 对于每个规则，填充要检查的域列表。您可以创建自己的域名列表，也可以使用 AWS 托管域名列表。
+ 将您的规则组与您想要使用它们 VPCs 的地方相关联。

## 解析器 DNS 防火墙围墙花园示例
<a name="dns-firewall-walled-garden-example"></a>

在本教程中，您将创建一个规则组，该规则组会阻止除您信任的选定域组以外的所有域。这就是所谓的封闭平台，或称围墙花园法。

**要使用控制台向导配置 DNS Firewall 规则组**

1. 登录 AWS 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在导航窗格中选择 **DNS 防火墙**，以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 3。

   - 或者 - 

   登录 AWS 管理控制台 并打开 

   下方的亚马逊 VPC 控制台[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **DNS 防火墙**下，选择**规则组**。

1. 在导航栏中，选择规则组的区域。

1. 在 **Rule groups**（规则组）页面上，选择 **Add rule group**（添加规则组）。

1. 对于规则组名称，输入 **WalledGardenExample**。

   在**标签**部分，可以选择输入标签的键-值对。标签可帮助您组织和管理 AWS 资源。有关更多信息，请参阅 [给 Amazon Route 53 资源贴标签](tagging-resources.md)。

1. 选择**添加规则组**。

1. 在**WalledGardenExample**详细信息页面上，选择**规则选项卡**，然后选择**添加规则**。

1. 在**规则详细信息**窗格中，输入规则名称 ** BlockAll**。

1. 在 **Domain list**（域列表）窗格上，选择 **Add my own domain list**（添加我自己的域列表）。

1. 在 **Choose or create a new domain list**（选择或创建新的域列表）中选择 **Create new domain**（创建新域列表）。

1. 输入域名列表名称**AllDomains**，然后在**每行输入一个域名**文本框中，输入星号:**\$1**。

1. 对于**域重定向设置**，可接受默认设置，并将“**查询类型-可选**”留空。

1. 对于**操作**，请选择**阻止**，然后将响应保留在原定设置 **NODATA** 状态下等待发送。

1. 选择**添加规则**。您的规则显示在**WalledGardenExample**页面**BlockAll**的 “**规则**” 选项卡中。

1. 在**WalledGardenExample**页面上，选择**添加规则**以向您的规则组添加第二条规则。

1. 在**规则详细信息**窗格中，输入规则名称 ** AllowSelectDomains**。

1. 在 **Domain list**（域列表）窗格上，选择 **Add my own domain list**（添加我自己的域列表）。

1. 在 **Choose or create a new domain list**（选择或创建新的域列表）项下，选择 **Create new domain list**（创建新域列表）。

1. 输入域列表名称 **ExampleDomains**。

1. 在**每行输入一个域**文本框的第一行中，输入 **example.com**，然后在第二行输入 **example.org**。
**注意**  
如果希望此规则也应用于子域，则需要将这些域添加到列表中。例如，要添加示例 .com 的所有子域，请将 **\$1.example.com** 添加到列表中。

1. 对于**域重定向设置**，可接受默认设置，并将“**查询类型-可选**”留空。

1. 对于**操作**，请选择**允许**。

1. 选择**添加规则**。您的规则都显示在**WalledGardenExample**页面的 “**规则**” 选项卡中。

1. 在该**WalledGardenExample**页面的 “**规则**” 选项卡中，您可以通过选择 “**优先级**” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则，因此优先级最低的规则将第一个评估。在此示例中，我们希望 DNS Firewall 首先识别并允许对选定的域列表进行 DNS 查询，然后阻止任何剩余的查询。

   调整规则优先级，使其**AllowSelectDomains**具有较低的优先级。

现在，您有了一个只允许通过特定域查询的规则组。要开始使用它，请将其与要使用筛选行为 VPCs 的地点相关联。有关更多信息，请参阅 [管理您的 VPC 和解析器 DNS 防火墙规则组之间的关联](resolver-dns-firewall-vpc-associating-rule-group.md)。

## 解析器 DNS 防火墙屏蔽列表示例
<a name="dns-firewall-block-list-example"></a>

在本教程中，您将创建一个规则组，用于阻止已知为恶意域。您还将为阻止列表中的域添加一个允许的 DNS 查询类型。规则组允许通过 VPC 解析器发出所有其他出站 DNS 请求。

**要使用控制台向导配置 DNS Firewall 阻止列表**

1. 登录 AWS 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在导航窗格中选择 **DNS 防火墙**，以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 3。

   - 或者 - 

   登录 AWS 管理控制台 并打开 Amazon VPC 控制台，网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **DNS 防火墙**下，选择**规则组**。

1. 在导航栏中，选择规则组的区域。

1. 在 **Rule groups**（规则组）页面上，选择 **Add rule group**（添加规则组）。

1. 对于规则组名称，输入 **BlockListExample**。

   在**标签**部分，可以选择输入标签的键-值对。标签可帮助您组织和管理 AWS 资源。有关更多信息，请参阅 [给 Amazon Route 53 资源贴标签](tagging-resources.md)。

1. 在**BlockListExample**详细信息页面上，选择**规则**选项卡，然后选择**添加规则**。

1. 在**规则详细信息**窗格中，输入规则名称 ** BlockList**。

1. 在 **Domain list**（域列表）窗格上，选择 **Add my own domain list**（添加我自己的域列表）。

1. 在 **Choose or create a new domain list**（选择或创建新的域列表）项下，选择 **Create new domain list**（创建新域列表）。

1. 输入域名列表名称 **MaliciousDomains**，然后在文本框中输入要阻止的域。例如 ** example.org**。每行输入一个域。
**注意**  
如果希望此规则也应用于子域，则必须将这些域添加到列表中。例如，要添加示例 .org 的所有子域，请将 **\$1.example.org** 添加到列表中。

1. 对于**域重定向设置**，可接受默认设置，并将“**查询类型-可选**”留空。

1. 对于操作，请选择 **BLOCK**（阻止），然后将响应保留在原定设置 **NODATA** 状态下等待发送。

1. 选择**添加规则**。您的规则显示在**BlockListExample**页面的 “**规则**” 选项卡中

1. 在该**BlockedListExample**页面的**规则**选项卡中，您可以通过选择 “**优先级**” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则，因此优先级最低的规则将第一个评估。

   选择并调整规则优先级，以便**BlockList**在您可能拥有的任何其他规则之前或之后对其进行评估。大多数情况下，应首先阻止已知的恶意域。也就是说，与它们关联的规则应具有最低的优先级编号。

1. 要添加允许 BlockList 域名的 MX 记录的规则，请在**规则选项卡的**BlockedListExample**详细信息页面上，选择**添加规则****。

1. 在**规则详细信息**窗格中，输入规则名称 ** BlockList-allowMX**。

1. 在 **Domain list**（域列表）窗格上，选择 **Add my own domain list**（添加我自己的域列表）。

1. 在**选择或创建新的域列表**项下，选择 ** MaliciousDomains**。

1. 对于**域重定向设置**，可接受默认设置。

1. 在 **DNS 查询类型**列表中，选择 **MX：指定邮件服务器**。

1. 对于操作，请选择 **ALLOW**（允许）。

1. 选择**添加规则**。

1. 在该**BlockedListExample**页面的**规则**选项卡中，您可以通过选择 “**优先级**” 列中列出的数字并键入新数字来调整规则组中规则的评估顺序。DNS Firewall 从最低优先级设置开始评估规则，因此优先级最低的规则将第一个评估。

   选择并调整规则优先级，以便在您可能拥有的任何其他规则之前或之后评估 **BlockList-allowMX**。由于要允许 MX 查询，因此请确保 **BlockList-allowMx** 规则的优先级低于。**BlockList**

您现在拥有一个阻止特定恶意域查询，但允许特定 DNS 查询类型的规则组。要开始使用它，请将其与要使用筛选行为 VPCs的地点相关联。有关更多信息，请参阅 [管理您的 VPC 和解析器 DNS 防火墙规则组之间的关联](resolver-dns-firewall-vpc-associating-rule-group.md)。