[新产品/新功能] 推出 Amazon Route 53 Global Resolver（预览版），实现安全的任播 DNS 解析

**发布时间:** 2025-11-30 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-route-53-global-resolver-secure-anycast-dns-resolution-preview ---  [新产品/新功能] 推出 Amazon Route 53 Global Resolver（预览版），实现安全的任播 DNS 解析   # 产品功能分析 ## 新功能/新产品概述 Amazon Route 53 Global Resolver 是一款面向互联网、可公开访问的 **DNS 解析器**，旨在为经过授权的客户端提供一个从任何地点都能访问的、统一、安全且可靠的 DNS 解析服务。其核心工作原理是利用 **任播 (Anycast)** 网络技术，将来自全球各地的 DNS 查询请求路由到最近的可用 AWS 区域进行处理。该服务支持 **分离 DNS (Split DNS)** 架构，使其能够同时解析公共互联网域名和与 Route 53 **私有托管区域 (Private Hosted Zones)** 关联的内部私有域名。该产品的目标用户群是拥有分布式办公环境（如远程员工、分支机构、移动设备）的企业。这些用户需要一致地访问公司内部（托管在 AWS 上）和外部的互联网资源，同时确保 DNS 层的安全。其市场定位是一种全球性的安全 DNS 服务，将传统的 VPC 内部 DNS 解析能力扩展至整个互联网，以应对混合云和现代“随时随地办公”模式下的 DNS 解析与安全挑战。 ## 关键客户价值 - **统一的混合 DNS 解析体验** - 允许远程员工或分支机构的设备无需连接 VPN 即可直接解析 AWS VPC 内的私有域名，实现了无缝的 **分离 DNS (Split DNS)** 解析。 - 这极大地简化了混合云环境下的网络架构，降低了运维复杂性，并提升了终端用户访问内部应用的速度和体验。 - *差异化优势*: 传统解决方案通常依赖于在本地部署 DNS 转发器或强制所有流量通过 VPN 隧道，而 Global Resolver 提供了一个云原生的、无需客户端进行特殊配置的解决方案，更加灵活和高效。 - **增强的 DNS 层安全防护** - 内置 **DNS Firewall** 功能，允许管理员创建规则来阻止对已知恶意域名（如恶意软件、垃圾邮件、**域名生成算法 DGA**）的查询，从而有效防止 **DNS 隧道 (DNS tunneling)** 等数据泄露攻击。 - 支持基于 Web 内容类别（如成人内容、赌博）进行过滤，帮助企业在网络入口处执行统一的访问控制策略。 - *实现机制*: 通过 AWS 托管的威胁情报和用户自定义规则集，在 DNS 解析层面直接拦截恶意请求，在威胁到达终端设备或企业内网之前进行阻断。 - **高可用性和全球高性能** - 利用 **任播 (Anycast)** 技术，将用户的 DNS 请求自动路由到网络延迟最低、最健康的 AWS 接入点，优化全球用户的访问性能。 - 用户可以选择在两个或多个 AWS 区域部署解析服务，系统会自动进行跨区域的故障转移，确保 DNS 服务的高可用性和业务连续性。 - **简化的审计与合规** - 提供中心化的 DNS 查询日志记录功能，所有授权客户端的 DNS 活动都可以被集中监控和存储，便于进行安全审计、故障排查和满足合规性要求。 ## 关键技术洞察 - **基于 Anycast 的全球路由** - _基于 Anycast 路由协议_，Global Resolver 使用单一 IP 地址在全球多个 AWS 边缘站点发布其服务。客户端的 DNS 请求会被互联网路由协议自动导向至地理位置或网络拓扑上最近的节点。 - 这一技术创新点在于将 DNS 解析服务从单个 VPC 或区域的限制中解放出来，使其成为一个全球分布式的服务。这不仅显著降低了全球用户的解析延迟，还通过流量分散天然地增强了对 **DDoS 攻击** 的抵御能力。 - **深度集成的 DNS Firewall 安全机制** - Global Resolver 在其解析流程中深度集成了 **DNS Firewall**，允许安全策略直接应用于来自互联网的 DNS 查询，而非仅仅是 VPC 内部的查询。 - 其技术实现是在 DNS 解析流程中插入一个过滤层。当收到查询时，会根据预定义的威胁情报列表（AWS Managed Domain Lists）或管理员自定义的域名列表进行实时匹配，并执行相应的策略（如允许、阻止或告警）。 - **透明的分离 DNS (Split DNS) 实现** - 该服务通过识别和授权客户端（*注：原文未明确授权机制，推测可能基于源 IP 地址范围或其他认证方式*），来判断其是否有权查询关联的 **私有托管区域 (Private Hosted Zones)**。 - 当一个查询到达时，解析器会首先检查该域名是否存在于授权的私有区域中。如果存在，则返回私有 IP 地址；如果不存在，则向公共互联网进行标准的递归查询。整个过程对终端用户完全透明，无需任何特殊配置。 ## 其他信息 - **产品线调整与命名** - 为了明确产品定位，原有的 **Route 53 Resolver** 已正式更名为 **Route 53 VPC Resolver**。 - **Route 53 VPC Resolver**: 其核心功能保持不变，主要服务于 AWS VPC 内部的资源，用于解析公网域名、VPC 私有域名，并通过 **Resolver 端点** 与本地数据中心网络进行 DNS 查询交互。 - **Route 53 Global Resolver**: 作为新服务，是 VPC Resolver 能力向全球公共互联网的延伸，服务于任何位置的授权客户端。 - **服务状态** - 该服务目前处于预览（Preview）阶段，在此期间可免费使用。   # 隆重推出 Amazon Route 53 全局解析器 (Global Resolver)，实现安全的任播 (anycast) DNS 解析 (预览版) 发布于：2025 年 11 月 30 日今天，AWS 宣布推出 Amazon Route 53 全局解析器 (Global Resolver) 的预览版。这是一款可通过互联网访问的新型 DNS 解析器 (DNS resolver)，能为来自任何地方的授权客户端 (authorized clients) 查询提供简单、安全且可靠的 DNS 解析。借助全局解析器，您组织内的授权客户端可以从任何地方解析互联网上的公有域和与 Route 53 私有托管区 (private hosted zones) 关联的私有域，从而实现分离 DNS (split DNS) 解析。全局解析器还允许您创建规则来保护客户端免受基于 DNS 的数据泄露攻击。通过为全局解析器配置 DNS 防火墙 (DNS Firewall) 规则，您可以根据威胁类别 (例如恶意软件、垃圾邮件)、网页内容 (例如成人及不适宜内容、赌博) 或高级 DNS 威胁 (例如 DNS 隧道 (DNS tunneling)、域名生成算法 (Domain Generation Algorithms)) 来过滤域名查询，并集中记录所有查询以便于审计。全局解析器允许您选择两个或更多区域进行任播 DNS 解析，并具备到最近可用区域的自动故障切换 (automatic failover) 功能，从而为您的客户端实现 DNS 解析的高可用性。随着全局解析器的发布，我们将 Route 53 Resolver 更名为 [Route 53 VPC 解析器 (VPC Resolver)](https://aws.amazon.com/route53/vpc-resolver/) ，以帮助阐明两种服务之间的区别。Route 53 VPC 解析器允许您解析来自 Amazon VPC 中 AWS 资源的 DNS 查询，这些查询可以针对公有域名、VPC 特定的 DNS 名称以及 Amazon Route 53 私有托管区，并且默认在每个 VPC 中可用。您还可以将解析器终端节点 (Resolver endpoints) 与 VPC 解析器关联，以便在您的本地 (on-premises) 环境和 Amazon VPC 之间转发 DNS 查询。请访问 [服务页面](https://aws.amazon.com/route53/global-resolver/) 查看全局解析器的定价和功能详情。在预览期间，全局解析器将免费提供。有关预览期间支持全局解析器的 AWS 区域的更多信息，请参阅 [此文档](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/gr-what-is-global-resolver.html) 。如需获取分步入门指南，请参阅 [AWS 新闻博客](https://aws.amazon.com/blogs/aws/introducing-amazon-route-53-global-resolver-for-secure-anycast-dns-resolution-preview/) 或 [官方文档](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/gr-what-is-global-resolver.html) 。