本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Route 53 全球解析器的工作原理
<a name="gr-how-it-works"></a>

Route 53 Global Resolver 支持在公有域和私有域之间进行分流的 DNS 解析，通过 AWS 区域 您选择的两个或更多域名提供高可用性，并通过拦截请求和应用 DNS 过滤策略来保护 DNS 查询。了解此过程有助于您解决问题并优化部署以提高性能、可用性和安全性。

## 当客户端进行 DNS 查询时会发生什么
<a name="gr-dns-query-flow"></a>

当你所在地有人尝试查询域名时，Route 53 Global Resolver 会通过多个安全层处理他们的 DNS 请求。

DNS 查询处理包括以下顺序步骤：

1. **查询接收**-客户端设备向 Route 53 全球解析器任播 IP 地址发送 DNS 查询。anycast 路由会自动将查询定向到最近的 AWS 区域。

1. **身份验证**-Route 53 Global Resolver 使用配置的身份验证方法（所有协议均基于令牌 DoH/DoT 或 IP 访问源）对客户端进行身份验证。

1. **策略评估**-该服务根据配置的安全策略和域列表评估 DNS 查询，以确定适当的操作（允许、阻止或警报）。对于针对私有托管区域的查询，Route 53 Global Resolver 会在继续解析之前，根据管理员管理的 DNS 视图规则，检查客户端是否有权访问私有域。

1. 解@@ **析**-对于允许的查询，Route 53 Global Resolver 会根据需要使用公共 DNS 解析器或私有托管区域解析来执行 DNS 解析。

1. **响应传送**-该服务将 DNS 响应返回给客户端，并记录查询详细信息以供监控和分析。

## 全球任播架构
<a name="gr-anycast-architecture"></a>

Route 53 Global Resolver 使用任播 IP 地址提供全球可用性和自动地理路由。

Route 53 全球解析器使用任播 IP 地址提供：
+ **自动地理路由**-DNS 查询会自动路由到最近的 AWS 区域，以获得最佳性能。
+ **内置冗余**-如果某个区域不可用，流量会自动故障转移到下一个最近的区域。
+ **一致的 IP 地址**-无论位于何处，客户端都使用相同的任播 IP 地址，从而简化了配置。

## DNS 过滤和安全
<a name="gr-filtering-and-security"></a>

Route 53 Global Resolver 通过多层提供全面的 DNS 过滤和安全。DNS 过滤和安全架构图说明了如何通过身份验证、策略评估和解析层处理查询。

Route 53 全球解析器通过以下方式提供全面的 DNS 安全：
+ **基于域的筛选**-使用自定义或 AWS 托管域列表阻止或允许基于域名的查询。
+ **威胁情报集成**-利用 AWS 托管威胁情报自动阻止已知的恶意域名。
+ **高级威胁检测**-检测和阻止 DNS 隧道尝试和域生成算法 (DGA) 模式。
+ **实时监控**-生成有关安全事件和违反策略的警报和日志。