推出用于安全任播 DNS 解析的 Amazon Route 53 Global Resolver（预览版）



今日，我们宣布推出 Amazon Route 53 Global Resolver（预览版），这是一项全新的 Amazon Route 53 服务，可针对全球各地的查询请求提供安全可靠的 DNS 解析功能。您可以通过 Global Resolver 解析针对互联网上的公共域，以及与 Route 53 私有托管区关联的私有域的 DNS 查询。Route 53 Global Resolver 为网络管理员提供了统一解决方案，支持通过全球分布式任播 IP 地址，处理来自本地数据中心、分支机构和远程位置的已认证客户端及来源的解析请求。该服务内置多项安全控制措施，包括 DNS 流量过滤、加密查询支持和集中式日志记录，可帮助企业在满足安全合规要求的同时，降低运维成本。

采用混合部署架构的企业在管理分布式环境中的 DNS 解析时，往往面临运维复杂性问题。解析公共互联网域和私有应用域通常需要维护分离的 DNS 基础设施，这会显著增加成本和管理负担，尤其是在复制到多个站点时。网络管理员必须配置自定义转发解决方案、部署 Route 53 Resolver 端点以进行私有域解析，并在不同站点实施独立的安全控制措施。此外，还需为 Route 53 Resolver 端点配置和维护多区域失效转移策略，并在测试失效转移方案时跨所有区域执行一致的安全策略。

Route 53 Global Resolver 具有应对这些挑战的关键功能。该服务可解析公共互联网域和 Route 53 私有托管区，无需单独进行分离 DNS 转发。它通过多种协议进行解析，包括 UDP 协议 DNS（Do53）、HTTPS 协议 DNS（DoH）和 TLS 协议 DNS（DoT）。每次部署都提供一组通用的 IPv4 和 IPv6 任播 IP 地址，可将查询请求路由至最近的 AWS 区域，从而降低分布式客户端的访问延迟。

Route 53 Global Resolver 提供与 Route 53 Resolver DNS 防火墙等效的集成安全功能。管理员可以使用 AWS 托管域列表（该列表按 DNS 威胁类型（恶意软件、垃圾邮件、网络钓鱼）或办公环境中不安全的 Web 内容（成人网站、赌博网站、社交网络）分类，以实现灵活控制）来配置过滤规则，也可以通过导入文件来创建自定义域列表。高级威胁防护功能可以检测并拦截域生成算法（DGA）模式和 DNS 隧道攻击尝试。对于加密的 DNS 流量，Route 53 Global Resolver 支持 DoH 和 DoT 协议，以防止在传输过程中未经授权访问查询。

Route 53 Global Resolver 仅接收来自已认证的已知客户端的流量。对于 Do53、DoT 和 DoH 连接，管理员可以配置 IP 和 CIDR 允许列表。对于 DoH 和 DoT 连接，基于令牌的认证机制支持自定义到期期限和撤销功能，以实现精细化访问控制。管理员可以根据组织要求，向特定客户端组或单个设备分配令牌。

Route 53 Global Resolver 支持 DNSSEC 验证，可验证来自公共域名服务器的 DNS 响应的真实性和完整性。它还支持 EDNS 客户端子网功能，可转发客户端子网信息，帮助内容分发网络（CDN）返回更精准的基于地理位置的 DNS 响应。

Route 53 Global Resolver 入门
本演练展示如何为在美国东西海岸均设有办事处且需要解析在 Route 53 私有托管区中托管的公共域和私有应用程序的组织配置 Route 53 Global Resolver。要配置 Route 53 Global Resolver，请前往 AWS 管理控制台，从导航窗格中选择全球解析器，然后选择创建全球解析器。

在解析器详细信息部分中，输入解析器名称，如 corporate-dns-resolver。添加可选描述，如用于公司办公室和远程客户端的 DNS 解析器。在区域部分中，选择您希望运行解析器的 AWS 区域，例如美国东部（弗吉尼亚州北部）和美国西部（俄勒冈州）。任播架构会将客户端的 DNS 查询路由至最近的选定区域。

解析器创建完成后，控制台将显示其详细信息，包括用于 DNS 查询的任播 IPv4 和 IPv6 地址。您可以选择创建 DNS 视图来配置客户端身份验证和 DNS 查询解析设置，以继续创建 DNS 视图。

在创建 DNS 视图部分中，输入 DNS 视图名称（如 primary-view），并根据需要添加描述（如企业办公区 DNS 视图）。DNS 视图可帮助您为客户端和来源创建不同的逻辑分组，并确定这些组的 DNS 解析规则。这有助于您为组织内的不同客户端维护不同的 DNS 过滤规则和私有托管区解析策略。

对于 DNSSEC 验证，选择启用，以验证公共 DNS 服务器响应的真实性。对于防火墙规则失效打开行为，选择禁用，以在防火墙规则无法评估时拦截 DNS 查询，这样可以提升安全性。对于 EDNS 客户端子网，保持选中启用，以将客户端位置信息转发到 DNS 服务器，帮助内容分发网络提供更准确的地理响应。DNS 视图创建后，可能需要等待几分钟才能生效。

DNS 视图创建并生效后，通过选择创建规则，配置 DNS 防火墙规则以过滤网络流量。在创建 DNS 防火墙规则部分中，输入规则名称（如 block-malware-domains）并根据需要添加描述。对于规则配置类型，您可以选择客户托管域列表、AWS 提供的 AWS 托管域列表或 DNS 防火墙高级保护。

在本演练中，选择 AWS 托管域列表。在域列表下拉列表中，选择一个或多个 AWS 托管列表（如威胁 — 恶意软件），以阻止已知的恶意域。您可以将查询类型留空，将规则应用于所有 DNS 查询类型。在本示例中，选择 A 以将此规则仅应用于 IPv4 地址查询。在规则操作部分中，选择阻止以阻止对与所选列表匹配的域进行 DNS 解析。对于针对阻止操作发送的响应，保持选中 NODATA，以表明查询成功但没有可用的响应，然后选择创建规则。

下一步是配置访问来源，以指定允许哪些 IP 地址或 CIDR 数据块向解析器发送 DNS 查询。导航到 DNS 视图中的访问来源选项卡，然后选择创建访问来源。

在访问来源详细信息部分中，输入规则名称（如 office-networks），以标识接入源。在 CIDR 数据块字段中，输入您的办公室的 IP 地址范围，以允许来自该网络的查询。对于协议：为 UDP 协议 DNS 查询选择 Do53、如果希望要求客户端使用加密 DNS 连接，请选择 DoH 或 DoT。配置这些设置后，选择创建访问来源以允许指定网络向解析器发送 DNS 查询。

接下来，导航到 DNS 视图中的访问令牌选项卡，为客户端创建基于令牌的身份验证，然后选择创建访问令牌。在访问令牌详细信息部分中，输入令牌名称，如 remote-clients-token。对于令牌到期，请根据您的安全要求从下拉列表中选择一个到期期限，例如 365 天的长期客户端访问期限，或者选择较短的期限，如 30 天或 90 天，以加强访问控制。配置这些设置后，选择创建访问令牌以生成令牌，客户端可以使用该令牌对与解析器的 DoH 和 DoT 连接进行身份验证。

创建访问令牌后，导航到 DNS 视图中的私有托管区选项卡，将 Route 53 私有托管区与 DNS 视图相关联，这使解析器可以解析对您的私有应用程序域的查询。选择关联私有托管区，然后在私有托管区部分，从列表中选择您希望解析器处理的私有托管区。选择区域后，选择关联，使解析器能够从您配置的访问来源响应针对这些私有域的 DNS 查询。

配置 DNS 视图、创建防火墙规则、定义访问来源和令牌以及关联私有托管区后，Route 53 Global Resolver 的设置即完成，可以处理来自您配置的客户端的 DNS 查询。

创建 Route 53 Global Resolver 后，您需要配置 DNS 客户端，以向解析器的任播 IP 地址发送查询。配置方法取决于您在 DNS 视图中配置的访问控制：

• 对于基于 IP 的访问来源（CIDR 数据块）— 配置您的源客户端，使 DNS 流量指向解析器详细信息中提供的 Route 53 全球解析器任播 IP 地址。Global Resolver 将仅允许从您在访问来源中指定的列入许可名单的 IP 进行访问。您还可以将访问来源关联到不同的 DNS 视图，为不同的 IP 集提供更精细的 DNS 解析视图。
• 对于基于访问令牌的身份验证 — 在您的客户端上部署令牌，以通过 Route 53 Global Resolver 对 DoH 和 DoT 连接进行身份验证。您还必须配置您的客户端，以使 DNS 流量指向解析器详细信息中提供的 Route 53 全球解析器任播 IP 地址。

有关特定操作系统和协议的详细配置说明，请参阅技术文档。

需要了解的其他事项
我们正在将现有的 Route 53 Resolver 更名为 Route 53 VPC Resolver。此次更名旨在明确两项服务的架构差异。Route 53 VPC Resolver 在您的 VPC 内按区域运行，为 Amazon VPC 环境中的资源提供 DNS 解析。VPC Resolver 仍支持特定 AWS 区域内混合 DNS 架构的入站和出站解析器端点。

Route 53 Global Resolver 与 Route 53 VPC Resolver 形成功能互补，无需部署 VPC 或建立私有连接，即可为本地数据中心及远程客户端提供互联网可访问的全局 DNS 解析与私有 DNS 解析服务。

现有 VPC Resolver 配置保持不变，并将继续按配置运行。此次更名仅影响 AWS 管理控制台和文档中的服务名称，API 操作名称保持不变。如果您的架构需要为 VPC 内的资源提供 DNS 解析，可继续使用 VPC Resolver。

加入预览版试用
Route 53 Global Resolver 通过单一托管服务实现公共域和私有域的统一 DNS 解析，可显著降低运维成本。全球任播架构可提升分布式客户端的解析可靠性并降低延迟。集成的安全控制和集中式日志记录可帮助组织在所有站点执行一致的安全策略，同时满足合规要求。

要了解有关 Amazon Route 53 Global Resolver 的更多信息，请访问 Amazon Route 53 文档。

您可以通过 AWS 管理控制台在美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（北加利福尼亚）、美国西部（俄勒冈州）、欧洲地区（法兰克福）、欧洲地区（爱尔兰）、欧洲地区（伦敦）、亚太地区（孟买）、亚太地区（新加坡）、亚太地区（东京）和亚太地区（悉尼）开始使用 Route 53 Global Resolver。

— Esra