本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Route 53 Global Resolver 的重要概念和元件
<a name="gr-concepts-terminology"></a>

Route 53 Global Resolver 使用數個關鍵元件，共同為組織提供分割流量 DNS 解析、透過全域 Anycast 架構的高可用性，以及全面的 DNS 安全。了解這些 Route 53 Global Resolver 概念可協助您設計和部署解決方案，以無縫存取私有和公有資源、協助確保跨多個區域的服務持續性，並防範 DNS 型威脅。

## 現場部署和遠端位置用戶端的 DNS 解析程式
<a name="gr-setting-up-dns-for-distributed-workforce"></a>

若要為您的分散式工作負載、客戶位置和使用者部署 Route 53 Global Resolver，請設定下列關鍵元件：

全域解析程式  
為您的組織跨多個 AWS 區域提供 DNS 解析和篩選的主要服務執行個體。您的*全域解析程式*使用 Anycast 技術，自動將 DNS 查詢路由到最接近的可用區域，確保所有用戶端無論其位置為何都能快速回應。

Anycast IP 地址  
指派給全域解析程式的兩個唯一 IPv4 或 IPv6 地址，您在用戶端裝置和網路設備上設定。這些*廣播 IP 地址*全域相同，可簡化所有位置的 DNS 組態。Anycast IP 定址可讓 DNS 請求自動路由至最近的全域解析程式、最佳化回應時間並改善服務可靠性。

DNS 檢視  
組態範本可讓您將不同的 DNS 政策套用至網路中的不同用戶端群組。使用 *DNS 檢視*實作分割期限 DNS，例如，對遠端位置套用嚴格的篩選和字符驗證，同時使用 IP 型存取和分支辦公室的不同安全政策。

## DNS 用戶端身分驗證
<a name="gr-authenticating-dns-clients"></a>

選取最適合您部署的身分驗證方法：

字符型驗證  
使用 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT) 的加密字符來保護 DNS 連線。 DoT 您可以為個別用戶端或裝置群組產生唯一的存取權杖、設定過期期間，並視需要撤銷權杖。

存取來源型身分驗證  
使用 IP 地址和 CIDR 範圍允許清單控制存取。您可以設定分支辦公室公有 IP 地址或網路範圍，然後根據您的安全需求，指定每個位置可以使用的 DNS 通訊協定 (DNS-over-port-53、DoT 或 DoH)。

DNS 通訊協定選擇  
根據您的安全性和相容性需求選擇適當的 *DNS 通訊協定*：  
+ **DNS-over-port-53 (Do53)** - 用於與現有網路基礎設施的最大相容性
+ **DNS-over-TLS (DoT)** - 當您需要具有專用連接埠分隔的加密 DNS 進行網路監控時使用
+ **DNS-over-HTTPS (DoH)** - 當您需要繞過網路限制時使用，因為流量顯示為一般 HTTPS

## 分割流量 DNS 解析
<a name="gr-split-traffic-concepts"></a>

Route 53 Global Resolver 可讓組織從任何位置無縫解析私有和公有網域，無需複雜的 VPN 組態或區域特定的 DNS 設定。

混合 DNS 解析  
*混合 DNS 解析*可讓 Route 53 Global Resolver 同時將內部部署使用者和應用程式的查詢解析為私有應用程式 AWS。

全域私有區域存取  
*全域私有區域存取*可將 Amazon Route 53 私有託管區域的覆蓋範圍延伸到 VPC 邊界之外。網際網路上任何位置的授權用戶端都可以解析私有網域名稱，讓分散式團隊存取內部資源，而不需要傳統的網路連線需求。

無縫容錯移轉  
即使個別 AWS 區域無法使用，*無縫容錯移轉*也能確保持續存取私有和公有資源。Anycast 架構會自動將查詢路由至運作狀態良好的區域，同時維持一致的解析度行為。

## 高可用性和全球影響力
<a name="gr-high-availability-concepts"></a>

Route 53 Global Resolver 透過分散式架構和自動容錯移轉功能提供企業級可用性。

多區域部署  
*多區域部署*會將 Route 53 Global Resolver 執行個體分散到至少 2 AWS 個區域，以協助確保高可用性，並在服務中斷期間允許容錯移轉。您可以根據您的地理需求和合規需求選取特定區域。

自動地理最佳化  
*自動地理最佳化*會根據網路拓撲和延遲，將 DNS 查詢路由至最近的可用 AWS 區域。這可減少回應時間，並改善全球分散式組織的使用者體驗。

內建備援  
*內建備援*可在主要區域無法使用時，透過自動容錯移轉至替代區域，協助維持服務連續性。當流量以透明方式重新路由時，用戶端會繼續使用相同的任何傳送 IP 地址。

## DNS 解析和轉送
<a name="gr-resolution-concepts"></a>

私有託管區域解析  
*私有託管區域解析*可讓 Route 53 Global Resolver 解析跨 AWS 區域的 Route 53 私有託管區域的 DNS 查詢。這可讓授權用戶端從網際網路的任何位置解析 Route 53 託管的應用程式和資源的網域。

分割期限 DNS  
*分割期限 DNS* 會根據進行查詢的用戶端提供不同的 DNS 回應。Route 53 Global Resolver 可以解析網際網路上的公有網域，同時解析私有網域，提供公有和私有資源的無縫存取。

DNSSEC 驗證  
*DNSSEC 驗證*會驗證 DNSSEC 簽署網域的公有名稱伺服器對 DNS 回應的真實性和完整性。此驗證可確保 DNS 回應在傳輸期間未遭到竄改，提供 DNS 詐騙和快取中毒攻擊的保護。

EDNS 用戶端子網路 (ECS)  
*EDNS 用戶端子網路*是一項選用功能，可將 DNS 查詢中的用戶端子網路資訊轉送給授權名稱伺服器。這可實現更準確的地理 DNS 回應，透過將用戶端導向更接近的內容交付網路或伺服器來減少延遲。對於 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 連線，您可以使用 EDNS0 來傳遞用戶端 IP 地址資訊。在全域解析程式上啟用 ECS 時，如果查詢中未提供，服務會自動注入用戶端 IP。

## DNS 篩選和網域清單
<a name="gr-filtering-concepts"></a>

Route 53 Global Resolver 使用 管理的網域清單提供以網域為基礎的篩選 AWS ，以封鎖或允許特定網域。

DNS 篩選規則  
*DNS 篩選規則*定義 Route 53 Global Resolver 根據網域比對條件處理 DNS 查詢的方式。規則會依優先順序評估，並可針對特定網域或網域類別的查詢指定動作 (ALLOW、BLOCK 或 ALERT)。

網域清單  
*網域清單*是用於篩選規則的網域集合。它們可以是：  
+ **自訂網域清單** - 您建立和維護的網域集合
+ **AWS 受管網域清單** - 維護的預先設定威脅清單和內容類別 AWS ，利用威脅情報來識別惡意網域。可用的威脅清單包括：
  + 惡意軟體網域 - 已知託管或分發惡意軟體的網域
  + 殭屍網路命令和控制 - 殭屍網路用於命令和控制通訊的網域
  + 垃圾郵件 - 與垃圾郵件和不需要的電子郵件行銷活動相關聯的網域
  + 網路釣魚 - 用於網路釣魚攻擊的網域，用於竊取登入資料和個人資訊
  + Amazon GuardDuty 威脅清單 - GuardDuty 威脅情報識別的網域

  可用的內容類別包括社交媒體、賭博和其他類別，可協助組織控制對特定類型內容的存取。

  無法檢視或編輯受管清單中的個別網域規格，以保護智慧財產權並維持安全有效性。

## 進階 DNS 威脅偵測
<a name="gr-advanced-threat-protection-concepts"></a>

Route 53 Global Resolver 使用動態演算法分析來偵測進階 DNS 威脅，例如 DNS 通道和網域產生演算法。與符合已知錯誤網域的網域清單不同，演算法偵測會即時分析 DNS 查詢模式，以識別可疑行為。

DNS 通道偵測  
攻擊者會使用 DNS 通道，透過使用 DNS 通道從用戶端洩漏資料，而無需與用戶端建立網路連線。

網域產生演算法 (DGA) 偵測  
攻擊者會使用網域產生演算法 (DGAs)command-and-control伺服器建立大量網域名稱。

可信度閾值  
每個偵測演算法都會輸出可信度分數，以決定規則觸發。較高的可信度閾值可減少誤報，但可能會錯過複雜的攻擊。較低的閾值會增加偵測敏感度，但需要額外的提醒分析來篩選誤判。

動作限制  
進階威脅防護規則僅支援 `ALERT`和 `BLOCK`動作。不支援 `ALLOW`動作，因為演算法偵測無法明確分類良性流量，只能識別潛在的惡意模式。

## 監控和記錄
<a name="gr-monitoring-concepts"></a>

查詢 日誌  
*查詢日誌*提供 Route 53 Global Resolver 處理之 DNS 查詢的詳細資訊，包括來源 IP、查詢網域、回應碼、採取的政策動作和時間戳記。日誌可交付至 Amazon CloudWatch、Amazon Data Firehose 或 Amazon Simple Storage Service 進行分析和合規報告。

OCSF 格式  
*Open Cybersecurity Schema Framework (OCSF) 格式*是 Route 53 Global Resolver for DNS 查詢日誌所使用的標準化記錄格式。此格式提供一致的結構化資料，可輕鬆與安全資訊和事件管理 (SIEM) 系統和其他安全工具整合。

日誌目的地  
*日誌目的地*會決定 DNS 查詢日誌的交付位置，每個日誌都有不同的特性：  
+ **Amazon Simple Storage Service** - 符合成本效益的長期儲存，非常適合用於合規和批次分析。與 Amazon Athena 和 Amazon EMR 等分析工具整合。
+ **Amazon CloudWatch Logs** - 即時監控和警示，與 Amazon CloudWatch 警示和儀表板整合。支援臨機操作查詢的日誌洞察。
+ **Amazon Data Firehose** - 即時串流至外部系統，具備內建資料轉換功能。支援自動擴展和緩衝。

可觀測性區域  
*可觀測性區域*會決定 DNS 查詢日誌的交付位置。