Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral do proxy de DNS

Um proxy de sistema de nome de domínio (DNS) permite que os clientes usem um dispositivo SRX300, SRX320, SRX340, SRX345, SRX550M ou SRX1500 como um servidor proxy DNS. Um proxy de DNS melhora o desempenho de busca de domínios ao analisar as pesquisas anteriores. Um proxy DNS típico processa consultas de DNS emitindo uma nova consulta de resolução de DNS a cada servidor de nome que detectou até que o nome de host seja resolvido.

DNS Proxy Cache

Quando uma consulta de DNS é resolvida por um proxy de DNS, o resultado é armazenado no cache DNS do dispositivo. Esse cache armazenado ajuda o dispositivo a resolver consultas subseqüentes do mesmo domínio e evitar atrasos na latência da rede.

Se o cache proxy não estiver disponível, o dispositivo envia a consulta para o servidor DNS configurado, o que resulta em atrasos na latência da rede.

O proxy DNS mantém uma entrada de cache para cada consulta de DNS resolvida. Essas entradas têm um timer time-to-live (TTL) para que o dispositivo purgue cada entrada do cache à medida que chega ao seu TTL e expira. Você pode limpar um cache usando o comando, ou o cache expirará automaticamente junto com o TTL quando for a zero.clear system services dns-proxy cache

Proxy de DNS com DNS dividida

O recurso de proxy DNS dividido permite que você configure seu servidor proxy para dividir a consulta de DNS com base na interface e no nome do domínio. Você também pode configurar um conjunto de servidores de nome e associar em seguida com um determinado nome de domínio. Quando você consulta esse nome de domínio, o dispositivo envia as consultas de DNS apenas para aqueles servidores de nome que estão configurados para esse nome de domínio para garantir a localização de consultas de DNS.

Você pode configurar o método de transporte usado para resolver um determinado nome de domínio — por exemplo, quando o dispositivo se conecta à rede corporativa por meio de uma VPN IPsec ou qualquer outro túnel seguro. Quando você configura um túnel VPN seguro para transportar os nomes de domínio pertencentes à rede corporativa, as consultas de resolução de DNS não são vazados para o servidor DNS ISP e estão contidas na rede corporativa.

Você também pode configurar um conjunto de domínios padrão (*) e servidores de nome sob o domínio padrão para resolver as consultas de DNS para um domínio para o qual um servidor de nome não está configurado.

Cada proxy de DNS deve estar associado a uma interface. Se uma interface não tiver configuração de proxy de DNS, todas as consultas de DNS recebidas nessa interface serão descartadas.

Figura 1 mostra como o proxy de DNS dividido funciona em uma rede corporativa.

Figura 1: Proxy de DNS com DNS divididaProxy de DNS com DNS dividida

Na rede corporativa mostrada em Figura 1, um cliente de PC que aponta para o firewall da Série SRX como seu servidor DNS faz duas consultas — para www.your-isp.com e para www.intranet.com, O proxy de DNS redireciona o www.intranet.com, consulta ao servidor DNS www.intranet.com (203.0.113.253), enquanto a consulta www.your-isp.com é redirecionada para o servidor DNS ISP (209.100.3.130). Embora a consulta para www.your-isp.com seja enviada ao servidor ISP DNS como uma consulta de DNS regular usando protocolos de texto claros (TCP/UDP), a consulta para o domínio www.intranet.com vai para os servidores de DNS da intranet em um túnel VPN seguro.

Um proxy DNS dividido tem as seguintes vantagens:

  • As buscas de domínio geralmente são mais eficientes. Por exemplo, as consultas de DNS destinadas a um domínio corporativo (como acme.com) podem ir exclusivamente para o servidor DNS corporativo, enquanto todas as outras vão para o servidor DNS ISP. A divisão de pesquisas de DNS reduz a carga no servidor corporativo e também pode impedir que informações de domínio corporativo vazem na Internet.

  • Um proxy de DNS permite que você transmita consultas de DNS selecionadas por uma interface de túnel, o que impede que usuários maliciosos aprendam sobre a configuração interna de uma rede. Por exemplo, as consultas de DNS destinadas ao servidor corporativo podem passar por uma interface de túnel para usar recursos de segurança, como autenticação e criptografia.

Cliente dinâmico do sistema de nomes de domínio

A DNS dinâmica (DDNS) permite que os clientes atualizem dinamicamente endereços IP para nomes de domínio registrados. Esse recurso é útil quando um ISP usa protocolo de ponto a ponto (PPP), protocolo de configuração dinâmica de host (DHCP) ou autenticação externa (XAuth) para alterar dinamicamente o endereço IP para um roteador CPE (como um dispositivo de segurança) que protege um servidor Web. Os clientes de Internet podem alcançar o servidor Web usando um nome de domínio, mesmo que o endereço IP do dispositivo de segurança tenha mudado dinamicamente anteriormente.

Um servidor DDNS mantém uma lista dos endereços alterados dinamicamente e seus nomes de domínio associados. O dispositivo atualiza esses servidores DDNS com essas informações periodicamente ou em resposta a mudanças no endereço IP. O cliente DDNS do Junos OS oferece suporte a servidores DDNS populares, como dyndns.org e ddo.jp

Figura 2 ilustra como funciona o cliente de DDNS.

Figura 2: DNS dinâmica DNS dinâmica

O endereço IP do servidor Web interno é traduzido pela tradução de endereços de rede (NAT) para o endereço IP da interface de zona não confiável no dispositivo. O nome de host abc-host.com é registrado no servidor DDNS e está associado ao endereço IP da interface de zona não confiável do dispositivo, que é monitorada pelo cliente DDNS no dispositivo. Quando o endereço IP de abc-host.com é alterado, o servidor DDNS é informado do novo endereço.

Se um cliente na rede mostrado precisar acessar abc-host.com, o cliente consultará os servidores DNS na Internet.Figura 2 Quando a consulta chega ao servidor DDNS, ela resolve a solicitação e fornece ao cliente o endereço IP mais recente de abc-host.com.

Tópicos relacionados