Route 53 Global Resolver 的運作方式 - Amazon Route 53
當用戶端進行 DNS 查詢時會發生什麼情況全域 Anycast 架構DNS 篩選和安全性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Route 53 Global Resolver 的運作方式

Route 53 Global Resolver 可在公有和私有網域之間啟用分割流量 DNS 解析,透過 AWS 區域 您選擇的兩個或多個網域提供高可用性,並透過攔截請求和套用 DNS 篩選政策來保護 DNS 查詢。了解此程序可協助您疑難排解問題,並最佳化部署的效能、可用性和安全性。

當用戶端進行 DNS 查詢時會發生什麼情況

當您位置中的某人嘗試查詢網域時,Route 53 Global Resolver 會透過多個安全層處理其 DNS 請求。

DNS 查詢處理涉及下列循序步驟:

  1. 查詢接收 - 用戶端裝置會將 DNS 查詢傳送至 Route 53 Global Resolver 任何廣播 IP 地址。Anycast 路由會自動將查詢導向最近的 AWS 區域。

  2. 身分驗證 - Route 53 Global Resolver 使用設定的身分驗證方法驗證用戶端 (所有通訊協定以 DoH/DoT 或 IP 存取來源為基礎的字符)。

  3. 政策評估 - 服務會根據設定的安全政策和網域清單評估 DNS 查詢,以判斷適當的動作 (允許、封鎖或提醒)。對於以私有託管區域為目標的查詢,Route 53 Global Resolver 會根據管理員管理的 DNS 檢視規則,檢查用戶端是否有權存取私有網域,然後再繼續解析。

  4. 解析 - 針對允許的查詢,Route 53 Global Resolver 會視需要使用公有 DNS 解析程式或私有託管區域解析來執行 DNS 解析。

  5. 回應交付 - 服務會將 DNS 回應傳回給用戶端,並記錄用於監控和分析的查詢詳細資訊。

全域 Anycast 架構

Route 53 Global Resolver 使用任何廣播 IP 地址來提供全域可用性和自動地理路由。

Route 53 Global Resolver 使用任何廣播 IP 地址來提供:

  • 自動地理路由 - DNS 查詢會自動路由至最接近 AWS 的區域,以獲得最佳效能。

  • 內建備援 - 如果區域無法使用,流量會自動容錯移轉至下一個最近的區域。

  • 一致的 IP 地址 - 用戶端無論其位置為何都會使用相同的任意傳送 IP 地址,從而簡化組態。

DNS 篩選和安全性

Route 53 Global Resolver 透過多層提供全面的 DNS 篩選和安全性。DNS 篩選和安全架構圖表說明如何透過身分驗證、政策評估和解析層處理查詢。

Route 53 Global Resolver 透過下列方式提供全面的 DNS 安全性:

  • 網域為基礎的篩選 - 使用自訂或 AWS 受管網域清單,根據網域名稱封鎖或允許查詢。

  • 威脅情報整合 - 利用 AWS 受管威脅情報自動封鎖已知的惡意網域。

  • 進階威脅偵測 - 偵測和封鎖 DNS 通道嘗試和網域產生演算法 (DGA) 模式。

  • 即時監控 - 產生安全事件和政策違規的提醒和日誌。