本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Route 53 全球解析器的 DNS 安全和水平分割用例 Route 53 全球解析器解决了组织面临的三个主要的 DNS 难题: 在公有 DNS 和私有 DNS 解析之间启用分流量 允许从任何位置全局访问 Amazon Route 53 上的私有托管区域 (PHZs),同时解析互联网上的公共域。允许远程位置和分支机构解析内部应用程序名称,而无需复杂的 VPN 配置或特定于区域的转发。实施水平分割 DNS 以根据进行查询的客户端提供不同的 DNS 响应,从而帮助远程客户端解析私有域和公共域的查询。 保护 DNS 流量免受 DNS 泄露攻击 通过筛选对恶意域的查询,保护远程位置和分支机构免受基于 DNS 的数据泄露攻击。使用 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT) 对传输中的 DNS 流量进行加密,确保只有经过授权的客户端才能访问您的 DNS 服务,从而提高隐私。应用安全策略来阻止 DNS 隧道和域生成算法()DGAs等威胁。使用 DNSSEC 签名域的 DNSSEC(域名系统安全扩展)验证 DNS 响应的真实性,以防范 DNS 欺骗和缓存中毒攻击。 高可用性和全球影响力 通过全球部署实现高可用性,并通过单一管理界面在全球范围内保持一致的 DNS 配置。Route 53 Global Resolver 在 AWS 区域 您选择的范围内运行,使用任播 IP 地址自动将查询路由到最近的可用区域,以实现最佳性能和可靠性。全球企业可以集中配置和管理 DNS 策略,同时为客户提供一组 IP 地址,这些地址可在全球范围内自动进行地理优化。内置冗余功能可确保即使个别区域不可用,也能保持服务连续性。 其他功能支持以下主要用例: 实施 DNS 筛选和内容策略 通过创建自定义域名列表或使用 AWS 托管域名列表来管理多个位置的互联网访问。为了帮助您根据需要实施筛选和内容策略,托管域列表包括涵盖多个域的多类 DNS 威胁。使用 IP 许可名单或访问令牌配置访问源,并为不同的办公地点或客户群组设置不同的筛选策略。 针对不同部署场景的灵活身份验证 选择最适合您的部署的身份验证方法:基于令牌的身份验证或使用源 CIDR 范围许可名单的基于 IP 的身份验证。 保持可见性和合规性 通过向亚马逊 CloudWatch、Firehose 或亚马逊简单存储服务传输日志,监控整个组织的 DNS 活动。为集中日志存储选择一个目标区域,以支持安全审计、合规性要求和威胁调查。