本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Route 53 Global Resolver 的運作方式
<a name="gr-how-it-works"></a>

Route 53 Global Resolver 可在公有和私有網域之間啟用分割流量 DNS 解析，透過 AWS 區域 您選擇的兩個或多個網域提供高可用性，並透過攔截請求和套用 DNS 篩選政策來保護 DNS 查詢。了解此程序可協助您疑難排解問題，並最佳化部署的效能、可用性和安全性。

## 當用戶端進行 DNS 查詢時會發生什麼情況
<a name="gr-dns-query-flow"></a>

當您位置中的某人嘗試查詢網域時，Route 53 Global Resolver 會透過多個安全層處理其 DNS 請求。

DNS 查詢處理涉及下列循序步驟：

1. **查詢接收** - 用戶端裝置會將 DNS 查詢傳送至 Route 53 Global Resolver 任何廣播 IP 地址。Anycast 路由會自動將查詢導向最近的 AWS 區域。

1. **身分驗證** - Route 53 Global Resolver 使用設定的身分驗證方法驗證用戶端 （所有通訊協定以 DoH/DoT 或 IP 存取來源為基礎的字符）。

1. **政策評估** - 服務會根據設定的安全政策和網域清單評估 DNS 查詢，以判斷適當的動作 （允許、封鎖或提醒）。對於以私有託管區域為目標的查詢，Route 53 Global Resolver 會根據管理員管理的 DNS 檢視規則，檢查用戶端是否有權存取私有網域，然後再繼續解析。

1. **解析** - 針對允許的查詢，Route 53 Global Resolver 會視需要使用公有 DNS 解析程式或私有託管區域解析來執行 DNS 解析。

1. **回應交付** - 服務會將 DNS 回應傳回給用戶端，並記錄用於監控和分析的查詢詳細資訊。

## 全域 Anycast 架構
<a name="gr-anycast-architecture"></a>

Route 53 Global Resolver 使用任何廣播 IP 地址來提供全域可用性和自動地理路由。

Route 53 Global Resolver 使用任何廣播 IP 地址來提供：
+ **自動地理路由** - DNS 查詢會自動路由至最接近 AWS 的區域，以獲得最佳效能。
+ **內建備援** - 如果區域無法使用，流量會自動容錯移轉至下一個最近的區域。
+ **一致的 IP 地址** - 用戶端無論其位置為何都會使用相同的任意傳送 IP 地址，從而簡化組態。

## DNS 篩選和安全性
<a name="gr-filtering-and-security"></a>

Route 53 Global Resolver 透過多層提供全面的 DNS 篩選和安全性。DNS 篩選和安全架構圖表說明如何透過身分驗證、政策評估和解析層處理查詢。

Route 53 Global Resolver 透過下列方式提供全面的 DNS 安全性：
+ 以**網域為基礎的篩選** - 使用自訂或 AWS 受管網域清單，根據網域名稱封鎖或允許查詢。
+ **威脅情報整合** - 利用 AWS 受管威脅情報自動封鎖已知的惡意網域。
+ **進階威脅偵測** - 偵測和封鎖 DNS 通道嘗試和網域產生演算法 (DGA) 模式。
+ **即時監控** - 產生安全事件和政策違規的提醒和日誌。