本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Resolver DNS 防火牆入門
<a name="resolver-dns-firewall-getting-started"></a>

包含精靈的 DNS 防火墻主控台會引導您完成以下步驟，開始使用 DNS 防火墻：
+ 為您要使用的每一組規則建立規則群組。
+ 針對每個規則，填入您要檢查的網域清單。您可以建立自己的網域清單，也可以使用 AWS 受管網域清單。
+ 將規則群組與您要使用它們的 VPC 建立關聯。

## Resolver DNS Firewall 有牆花園範例
<a name="dns-firewall-walled-garden-example"></a>

在本教學課程中，您將建立一個規則群組，以封鎖所信任的選取網域群組以外的所有網域。這稱為封閉的平台或圍牆花園方法。

**若要使用主控台精靈設定 DNS 防火牆規則群組**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在導覽窗格中選擇 **DNS 防火牆**，以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。

   - 或 - 

   登入 AWS 管理主控台 並開啟 

   位於 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。

1. 在導覽窗格中的 **DNS 防火牆**下方，選擇**規則群組**。

1. 在導覽列中，選擇規則群組的區域。

1. 在 **Rule groups (規則群組)** 頁面中，選擇 **Add rule group (新增規則群組)**。

1. 針對規則群組名稱，輸入 **WalledGardenExample**。

   在**標籤**區段中，您可以選擇為標籤輸入鍵值對。標籤可協助您組織和管理 AWS 資源。如需詳細資訊，請參閱[標記 Amazon Route 53 資源](tagging-resources.md)。

1. 選擇**新增規則群組**。

1. 在 **WalledGardenExample** 詳細資訊頁面上，選擇**規則索引標籤**，然後選擇**新增規則**。

1. 在 **Rule details (規則詳細資訊)** 窗格中，輸入規則名稱 ** BlockAll**。

1. 在 **Domain list (網域清單)** 窗格中，選取 **Add my own domain list (新增我自己的網域清單)**。

1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下，選擇**Create new domain list (建立新網域清單)**。

1. 輸入網域清單名稱 **AllDomains**，然後在**每行輸入一個網域**文字方塊中，輸入星號：**\$1**。

1. 對於**網域重新導向設定**，接受預設值，並保留**查詢類型 - 選用**空白。

1. 針對**動作**，選取**封鎖**，然後保留回應以 **NODATA** 的預設設定傳送。

1. 選擇**新增規則**。您的規則 **BlockAll** 會顯示在 ** WalledGardenExample** 頁面上的**規則**索引標籤中。

1. 在 **WalledGardenExample** 頁面上，選擇**新增規則**，將第二個規則新增至規則群組。

1. 在**規則詳細資訊**窗格中，輸入規則名稱 ** AllowSelectDomains** 。

1. 在 **Domain list (網域清單)** 窗格中，選取 **Add my own domain list (新增我自己的網域清單)**。

1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下，選取 **Create new domain list (建立新網域清單)**。

1. 輸入網域清單名稱 **ExampleDomains**。

1. 在**每一行輸入一個網域**文字方塊中，在第一行輸入 ，在第二行輸入 **example.com**和 ，輸入 **example.org**。
**注意**  
如果您想要將規則套用至子網域，則也必須將這些網域新增至清單。例如，若要新增所有 example.com 的子網域，請將 **\$1.example.com** 新增至清單。

1. 對於**網域重新導向設定**，接受預設值，並保留**查詢類型 - 選用**空白。

1. 針對**動作**，選取**允許**。

1. 選擇 **Add rule (新增規則)**。您的規則都會顯示在 **WalledGardenExample** 頁面上的**規則**索引標籤中。

1. 在 **WalledGardenExample** 頁面上的**規則**索引標籤中，您可以選取**優先順序欄中**列出的數字並輸入新數字，以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則，因此優先順序最低的規則會最先評估。在此範例中，我們希望 DNS 防火牆先識別並允許選取的網域清單的 DNS 查詢，然後封鎖任何剩餘的查詢。

   調整規則優先順序，讓 **AllowSelectDomains** 具有較低的優先順序。

您現在有一個規則群組，只允許特定的網域查詢通過。若要開始使用該規則群組，請將它與您要使用篩選行為的 VPC 產生關聯。如需詳細資訊，請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。

## Resolver DNS Firewall 封鎖清單範例
<a name="dns-firewall-block-list-example"></a>

在本教學課程中，您將建立封鎖已知為惡意網域的規則群組。您也將新增封鎖清單中網域允許的 DNS 查詢類型。規則群組允許透過 VPC Resolver 的所有其他傳出 DNS 請求。

**使用主控台精靈設定 DNS 防火牆封鎖清單**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

   在導覽窗格中選擇 **DNS 防火牆**，以在 Amazon VPC 主控台上開啟 DNS 防火牆**規則群組**頁面。繼續步驟 3。

   - 或 - 

   登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)：// 開啟 Amazon VPC 主控台。

1. 在導覽窗格中的 **DNS 防火牆**下方，選擇**規則群組**。

1. 在導覽列中，選擇規則群組的區域。

1. 在 **Rule groups (規則群組)** 頁面中，選擇 **Add rule group (新增規則群組)**。

1. 針對規則群組名稱，輸入 **BlockListExample**。

   在**標籤**區段中，您可以選擇為標籤輸入鍵值對。標籤可協助您組織和管理 AWS 資源。如需詳細資訊，請參閱[標記 Amazon Route 53 資源](tagging-resources.md)。

1. 在 **BlockListExample** 詳細資訊頁面上，選擇**規則**索引標籤，然後選擇**新增規則**。

1. 在 **Rule details (規則詳細資訊)** 窗格中，輸入規則名稱 ** BlockList**。

1. 在 **Domain list (網域清單)** 窗格中，選取 **Add my own domain list (新增我自己的網域清單)**。

1. 在 **Choose or create a new domain list (選擇或建立新網域清單)** 下，選取**Create new domain list (建立新網域清單)**。

1. 輸入網域清單名稱 **MaliciousDomains**，然後在文字方塊中輸入您要封鎖的網域。例如 ** example.org**。每行輸入一個網域。
**注意**  
如果您想要將規則套用至子網域，則也必須將這些網域新增至清單。例如，若要新增所有範例 .org 的子網域，請將 **\$1.example.org** 新增至清單。

1. 對於**網域重新導向設定**，接受預設值，並保留**查詢類型 - 選用**空白。

1. 對於動作，請選取 **BLOCK (封鎖)**，然後保留回應以 **NODATA** 的預設設定傳送。

1. 選擇 **Add rule (新增規則)**。您的規則會顯示在 **BlockListExample** 頁面上的**規則**索引標籤中

1. 在 **BlockedListExample** 頁面上的**規則**索引標籤中，您可以選取**優先順序欄中**列出的數字並輸入新數字，以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則，因此優先順序最低的規則會最先評估。

   選取並調整規則優先順序，以便在您可能擁有的任何其他規則之前或之後評估 **BlockList**。大多數情況下，應該先封鎖已知的惡意網域。也就是說，與這些網域相關的規則應具有最低的優先順序編號。

1. 若要新增允許 BlockList 網域 MX 記錄的規則，請在**規則**索引標籤的 ** BlockedListExample** 詳細資訊頁面上，選擇**新增規則**。

1. 在 **Rule details (規則詳細資訊)** 窗格中，輸入規則名稱 ** BlockList-allowMX**。

1. 在 **Domain list (網域清單)** 窗格中，選取 **Add my own domain list (新增我自己的網域清單)**。

1. 在**選擇或建立新網域清單**下，選取 ** MaliciousDomains**。

1. 對於**網域重新導向設定**，接受預設值。

1. 在 **DNS 查詢類型**清單中，選取 **MX：指定郵件伺服器**。

1. 對於動作，請選取 **ALLOW (允許)**。

1. 選擇 **Add rule (新增規則)**。

1. 在 **BlockedListExample** 頁面上的**規則**索引標籤中，您可以選取**優先順序欄中**列出的數字並輸入新數字，以調整規則群組中規則的評估順序。DNS 防火牆會從最低優先順序設定開始評估規則，因此優先順序最低的規則會最先評估。

   選取並調整規則優先順序，以便在您可能擁有的任何其他規則之前或之後評估 **BlockList-allowMX**。由於您想要允許 MX 查詢，請確定 **BlockList-allowMX** 規則的優先順序低於 **BlockList**。

您現在有一個規則群組可封鎖特定的惡意網域查詢，但允許特定的 DNS 查詢類型。若要開始使用該規則群組，請將它與您要使用篩選行為的 VPC 產生關聯。如需詳細資訊，請參閱[管理 VPC 與解析程式 DNS 防火牆規則群組之間的關聯](resolver-dns-firewall-vpc-associating-rule-group.md)。