博思云为云技术分享 | 如何设置 DNS 防火墙规则,禁止一个或多个 VPC 下的机器访问某个域名

最新推荐文章于 2024-07-24 16:22:27 发布
最新推荐文章于 2024-07-24 16:22:27 发布
阅读量207 收藏
点赞数
文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72709385/article/details/134206167
版权

前言

使用 DNS 防火墙,您可以在与 VPC 关联的规则组中定义域名过滤规则。您可以指定允许或阻止的域名列表,并且可以自定义对阻止的 DNS 查询的响应。

DNS 防火墙规则组是用于过滤 DNS 查询的命名的、可重用的 DNS 防火墙规则集合。您可以使用过滤规则填充规则组,然后将该规则组与 Amazon VPC 中的一个或多个 VPC 相关联。当您将规则组与 VPC 关联时,您将为 VPC 启用 DNS 防火墙过滤。然后,当解析程序收到对具有与其关联的规则组的 VPC 的 DNS 查询时,解析程序会将查询传递到 DNS 防火墙进行过滤。

规则组中的每条规则指定一个域列表以及对域与列表中的域规范匹配的 DNS 查询采取的操作。您可以允许、阻止或警告匹配的查询。您还可以为被阻止的查询定义自定义响应。

示例

描述:演示在 Cc-Vpc 网络下的机器禁止访问百度(www.baidu.com)和淘宝网页(www.taobao.com)

步骤:

1. 启动一台公有机器,可以访问域名 www.baidu.com

2. 创建 Route 53 规则组,设置该主机不能访问的域名

3. 给 Route 53 规则组关联 VPC,即在该 VPC 下的机器都遵循该防火墙规则

4. 测试是否能访问百度网页

编辑者:博思云为技术 lim

审阅人:博思运维技术总监 Eten.gao

博思云为
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过防火墙禁止访问指定网站(个人电脑,Windows系统)
u010227042的博客
03-22 3176
至于网址可能随时间变化的问题(我这里确实出现了),建议的解决方案如下:在规则已启用的情况下,如果还能访问相应网站,那么就在此时在cmd里重新测一遍网址,把原来规则中没阻断的添加进去。个人理解,我们在浏览网页时,首先要通过个人计算机向网络中发送请求,这种属于出站流量,因此我们在通过网站的IP地址阻断时,设置的是应该出站规则而非入站规则。(我之前就是没搞懂这个,所以防火墙设置也一直不成功,幸好查到了s@dragon的博客(即开头的参考资料),最好笑的是大佬也和我一样,要阻止自己访问B站。
iptables 防火墙命令解析
chichooyy的博客
03-02 2374
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
windows 10 防火墙设置规则:使特定ip通过某端口连接我的电脑
热门推荐
qq_2300688967的博客
05-17 5万+
本例中以如何设置ip为10.242.62.239的电脑通过3306端口访问我的电脑 为例 1, 打开防火墙高级设置,如图所示,操作如下 入站规则-》新建规则-》自定义-》下一步 2,默认该规则应用于“所有程序”,点击下一步 3,选择该规则应用的协议类型“TCP/UDP”,本地端口“特定端口”,填写3306端口,然后“下一步” 4,选择此规则应用于远程ip,“下列IP地址”-》...
Linux利用iptables屏蔽某些域名
fall_hat的博客
06-28 8374
以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名。 iptables -A OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 添加屏蔽规则 iptables -D OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 删除屏蔽规则,上面添加的代码是什么样,那么删除的代码就是把 -A 改成 -D
Windows server 2008 R2 服务器系统安全防御加固方法
花落花开,春去秋来!
12-27 1万+
一.更改终端默认端口号 步骤: 1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM
防火墙安全策略之URL过滤与域名
zljszn的博客
12-14 3355
定义URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理目的员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
博思电子发票接口,pb9demo,pb对http还是不友好, 写个这个帮助大家
01-16
博思电子发票接口,pb9demo,pb对http还是不友好, 写个这个帮助大家
行业资料-交通装置-一种基于博思威龙C1车模的新型编码器支架.zip
08-25
行业资料-交通装置-一种基于博思威龙C1车模的新型编码器支架.zip
业务中台数据中台技术方案(2022).pdf
05-13
商业生态是指基于华为业务中台数据中台技术方案的商业生态,旨在提供一个基于商业生态的解决方案,包括aPaaS/SaaS、行业(零售、政府、教育、医疗等)、伙伴(软通、中软、幸宜、博思、医信等)等商业生态组件。...
已适配最新3.5模型!为你的个人wechat接入chatGpt,让你的wechat变成一个智能的AI机器人!.zip
05-04
chatgpt免费使用 ...直接打开 boardmix博思白板,创建一个白板文件,点击左侧菜单栏的「AI助手」按钮,启用博思白板接入的 AI助手,在打开的输入框中输入你的问题,AI 助手就会像 ChatGPT 那样,给出相应的回答。
一个基于SpringCloud的Chatgpt机器人.zip
05-04
chatgpt免费使用 ...直接打开 boardmix博思白板,创建一个白板文件,点击左侧菜单栏的「AI助手」按钮,启用博思白板接入的 AI助手,在打开的输入框中输入你的问题,AI 助手就会像 ChatGPT 那样,给出相应的回答。
dns解析错误(dns拒绝解析)的问题解决
李荣权的专栏--OS--Soft--Life
12-02 1万+
dns解析错误(dns拒绝解析)的问题解决 现象描述:      客户机发现不能通过nslookup解析www.yahoo.co的域名,不能上网.但是偶尔ping www.yahoo.com可以ping通.环境:      域环境,通过dhcp分配ip地址给客户端,dns服务器使用内网的windows架设dns.分析:       1.由于是在划分vlan后发现的情况,
windows添加防火墙规则屏蔽特定网站
s@dragon的博客
08-03 1万+
windows添加防火墙规则屏蔽特定网站 1、查看特定网站ip nslookup 网址 2、添加防火墙规则 防火墙设置—>新建规则—>自定义,之后全部默认下一步,名字随便取。 点击刚刚新建的规则,属性—>作用域 参考:https://jingyan.baidu.com/article/e4511cf35f4ffe2b855eaf55.html ...
防火墙 iptables 禁止某个域名访问
长门有希的博客
05-10 1万+
-I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP 禁止 包含qq.com的域名访问
AWS全服务历史年表:发布日期、GA和服务概述一览 (全)
最新发布
rralucard123的博客
07-24 1041
这次,将所有AWS服务列表以历史年表的形式进行了总结。从2004年11月发布的Amazon Simple Queue Service (SQS) 开始,AWS的基础设施服务正式启动,最初的反应是“Amazon为什么要做这个?”(参考:The AWS Blog: The First Five Years)。如今,如果我们再用这个问题来想象,显然这个问题的规模已经比当时大了许多,这反映了AWS服务概念的深入人心以及服务的巨大增长。
亚马逊AWS节点运行器扩展对Sui支持,简化区块链部署路径
Sui_Network的博客
07-24 378
AWS节点运行器为在Sui上启动节点创建了一条简化且安全的路径。
AWS全服务历史年表:发布日期、GA和服务概述一览(一)
rralucard123的博客
07-19 1739
需要整理的内容比较多将会分多期进行整理。2018年之后的服务敬请期待下期内容。
AWS监控工具,监控性能指标
ITmoster的博客
07-22 913
AWS web服务监控要求管理员授权该工具访问AWS,通过该工具可以创建监视器,然后,管理员可以收集复杂的指标,可视化资源使用情况,并对环境中所有支持的服务的潜在异常发出警报。一些AWS监控服务(如Applications Manager)在提供对Amazon基础设施中的每个微服务的操作可见性方面发挥了巨大的作用。
AWS全服务历史年表:发布日期、GA和服务概述一览(二)
rralucard123的博客
07-20 872
需要整理的内容比较多将会分多期进行整理。2016年之后的服务敬请期待下期内容。
用多种解法 bind9 禁止某网段的主机访问DNS服务器
03-10
可以使用 ACL (Access Control List) 的方式来实现禁止某网段的主机访问 DNS 服务器。具体的做法是在 named.conf 文件中添加如下配置: acl "blocked-network" { 192.168.1./24; // 被禁止访问的网段 }; options { ... allow-query { any; }; allow-recursion { localnets; }; recursion yes; ... }; zone "example.com" { type master; file "example.com.zone"; allow-query { any; }; allow-transfer { none; }; }; zone "." { type hint; file "named.ca"; }; zone "localhost" { type master; file "localhost.zone"; allow-query { any; }; }; zone "..127.in-addr.arpa" { type master; file "127...zone"; allow-query { any; }; }; zone "255.in-addr.arpa" { type master; file "named.broadcast"; allow-query { any; }; }; zone ".in-addr.arpa" { type master; file "named.zero"; allow-query { any; }; }; zone "blocked-domain.com" { type master; file "blocked-domain.com.zone"; allow-query { !blocked-network; }; // 禁止 blocked-network 网段的主机访问 }; 其中,blocked-domain.com 是被禁止访问域名,blocked-domain.com.zone 是该域名DNS 记录文件。在 allow-query 中使用 !blocked-network 表示禁止 blocked-network 网段的主机访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值