本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 全球解析器的工作原理
Route 53 Global Resolver 支持在公有域和私有域之间进行分流的 DNS 解析,通过 AWS 区域 您选择的两个或更多域名提供高可用性,并通过拦截请求和应用 DNS 过滤策略来保护 DNS 查询。了解此过程有助于您解决问题并优化部署以提高性能、可用性和安全性。
当客户端进行 DNS 查询时会发生什么
当你所在地有人尝试查询域名时,Route 53 Global Resolver 会通过多个安全层处理他们的 DNS 请求。
DNS 查询处理包括以下顺序步骤:
-
查询接收-客户端设备向 Route 53 全球解析器任播 IP 地址发送 DNS 查询。anycast 路由会自动将查询定向到最近的 AWS 区域。
-
身份验证-Route 53 Global Resolver 使用配置的身份验证方法(所有协议均基于令牌 DoH/DoT 或 IP 访问源)对客户端进行身份验证。
-
策略评估-该服务根据配置的安全策略和域列表评估 DNS 查询,以确定适当的操作(允许、阻止或警报)。对于针对私有托管区域的查询,Route 53 Global Resolver 会在继续解析之前,根据管理员管理的 DNS 视图规则,检查客户端是否有权访问私有域。
-
解@@ 析-对于允许的查询,Route 53 Global Resolver 会根据需要使用公共 DNS 解析器或私有托管区域解析来执行 DNS 解析。
-
响应传送-该服务将 DNS 响应返回给客户端,并记录查询详细信息以供监控和分析。
全球任播架构
Route 53 Global Resolver 使用任播 IP 地址提供全球可用性和自动地理路由。
Route 53 全球解析器使用任播 IP 地址提供:
-
自动地理路由-DNS 查询会自动路由到最近的 AWS 区域,以获得最佳性能。
-
内置冗余-如果某个区域不可用,流量会自动故障转移到下一个最近的区域。
-
一致的 IP 地址-无论位于何处,客户端都使用相同的任播 IP 地址,从而简化了配置。
DNS 过滤和安全
Route 53 Global Resolver 通过多层提供全面的 DNS 过滤和安全。DNS 过滤和安全架构图说明了如何通过身份验证、策略评估和解析层处理查询。
Route 53 全球解析器通过以下方式提供全面的 DNS 安全:
-
基于域的筛选-使用自定义或 AWS 托管域列表阻止或允许基于域名的查询。
-
威胁情报集成-利用 AWS 托管威胁情报自动阻止已知的恶意域名。
-
高级威胁检测-检测和阻止 DNS 隧道尝试和域生成算法 (DGA) 模式。
-
实时监控-生成有关安全事件和违反策略的警报和日志。
