简化 CNAME 链管理：使用 Route 53 Resolver 的 DNS 防火墙

关键要点

在网络安全日益重要的今天，自动化管理 DNS 防火墙变得尤为重要。选择正确的 DNS 管理策略，可以有效保护企业的网络安全。

引言

系统管理员们从今天开始可以将 DNS 防火墙配置为自动信任解析链中所有的域名例如 CNAME 或 DNAME 链。这将大大简化企业的 DNS 管理，特别是在应对潜在网络攻击方面。

为何需要使用 DNS 防火墙？

DNS 防火墙 旨在为云中的出站 DNS 请求提供保护，这些请求通过 Amazon Route 53 Resolver 进行域名解析。防火墙管理员可以设定规则来过滤和管理出站 DNS 流量。

DNS 防火墙能够有效防御多种安全风险。假设攻击者成功在您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例或在一个虚拟专用云 (VPC) 内运行恶意代码，该代码可能会启动出站网络连接。这可能涉及连接到命令服务器，以接收在您机器上执行的命令，或者参与协调的分布式拒绝服务DDoS攻击。此外，该恶意代码可能尝试窃取其在网络中收集的数据。

幸运的是，您的网络和安全组配置合理，阻止了除广为人知的 API 端点外的所有出站流量，防止了恶意代码通过常规 TCP 或 UDP 连接进行回拨。然而，DNS 流量却可能成为一个隐秘的攻击路径。恶意代码可能向其控制的授权 DNS 服务器发送 DNS 请求以发送控制命令或编码数据，并能够通过响应接收数据。

为了防止这类情况，您可以使用 DNS 防火墙来监控和控制您的应用程序能够查询的域名。通过拒绝对已知恶意域的访问并允许所有其他查询通过，或者您可以只允许信任的域名访问。

CNAME 和 DNAME 记录的挑战是什么？

假设您配置了 DNS 防火墙，仅允许特定知名域名的 DNS 查询，并封锁所有其他域。因此，您设置了一条规则以允许解析 alexaamazoncom。

然而，DNS 系统有多种类型的记录。本文中关注的记录包括： A 记录：将 DNS 名称映射到 IP 地址； CNAME 记录：其他 DNS 名称的同义词； DNAME 记录：提供从 DNS 名称树的一部分重定向到另一部分的能力。

查询 alexaamazoncom 时，实际上是一个指向 pitanguiamazoncom 的 CNAME 记录，而后者又是一个指向 tp5fd53c725frontieramazoncom 的 CNAME 记录，最后，这又是一个 CNAME 指向 d1wg1w6p5q8555cloudfrontnet。只有最后的名称 (d1wg1w6p5q8555cloudfrontnet) 有一个与 IP 地址 31624228 相关的 A 记录。

类似的重定向机制也适用于解析 DNAME 记录。

允许完整解析这样的 CNAME 链，您可能会想配置 DNS 防火墙规则，以允许所有位于 amazoncom 的名称amazoncom。然而，这将无法解析到指向 cloudfrontnet 的最后一个 CNAME。

更糟糕的是，DNS CNAME 链由您的应用程序连接的服务控制，链条可能随时改变，这使得您需要手动维护 DNS 防火墙规则中的规则和授权域名列表。

引入 DNS 防火墙重定向链授权

基于以上解释，您现在可以理解我们今天推出的新功能。我们在 UpdateFirewallRule API 中增加了一个参数该参数在 AWS 命令行界面AWS CLI 和 AWS 管理控制台 中也可用，以便配置 DNS 防火墙使其遵循并自动信任 CNAME 或 DNAME 链中的所有域名。

此参数允许防火墙管理员仅允许应用程序查询的域名。防火墙会自动信任链中的所有中间域名，直到它达到带有 IP 地址的 A 记录。

实际应用示例

我从一个已经配置了域名列表 (domain list)、规则组和允许查询域 alexaamazoncom 的规则的 DNS 防火墙开始。该规则组附加在我启动的 EC2 实例所在的 VPC 上。

当我连接到该 EC2 实例并发出解析 alexaamazoncom 的 DNS 查询时，仅返回链中的第一个名称 (pitanguiamazoncom)，并在此停止。这是因为 pitanguiamazoncom 并未获得授权。

为了解决此问题，我更新防火墙规则以信任整个重定向链。我使用 AWS CLI 调用 updatefirewallrule API，设置新的参数 firewalldomainredirectionaction 为 TRUSTREDIRECTIONDOMAIN。

接着，回到 EC2 实例，我再次尝试 DNS 查询。这次它有效了，成功解析了整个重定向链，最终得到 IP 地址 。

由于信任链重定向，网络管理员现在可以轻松实施策略，屏蔽所有域名，仅授权其 DNS 防火墙中已知域名，而无需担心 CNAME 或 DNAME 链的维护。

此功能在所有 AWS 区域均可免费使用。欢迎立即体验。

seb

Sbastien Stormacq

Seb 从八十年代中期开始编写代码，他从首次接触 Commodore 64 起便对此充满热情。他启发构建者释放 AWS 云的价值，以独特的热情、客户倡导、好奇心和创造力混合，专注于软件架构、开发者工具和移动计算。如果您想向他推销某样东西，一定要确保它有 API。您可以在 Twitter 上关注他 @sebsto。

加载评论