Übersicht über DNS-Proxys

DNS-Proxy-Cache

Wenn eine DNS-Abfrage von einem DNS-Proxy aufgelöst wird, wird das Ergebnis im DNS-Cache des Geräts gespeichert. Dieser gespeicherte Cache hilft dem Gerät, nachfolgende Abfragen aus derselben Domäne aufzulösen und Verzögerungen bei der Netzwerklatenz zu vermeiden.

Wenn der Proxycache nicht verfügbar ist, sendet das Gerät die Abfrage an den konfigurierten DNS-Server, was zu Verzögerungen bei der Netzwerklatenz führt.

Der DNS-Proxy verwaltet einen Cache-Eintrag für jede aufgelöste DNS-Abfrage. Diese Einträge verfügen über einen TTL-Timer (Time-to-Live), sodass das Gerät jeden Eintrag aus dem Cache löscht, wenn er seine TTL erreicht und abläuft. Sie können einen Cache mit dem clear system services dns-proxy cache Befehl löschen, oder der Cache läuft automatisch zusammen mit TTL ab, wenn er auf Null geht.

DNS-Proxy mit geteiltem DNS

Mit der Funktion "DNS-Proxy teilen" können Sie Ihren Proxyserver so konfigurieren, dass die DNS-Abfrage sowohl auf der Schnittstelle als auch auf dem Domänennamen aufgeteilt wird. Sie können auch eine Reihe von Nameservern konfigurieren und diese einem bestimmten Domänennamen zuordnen. Wenn Sie diesen Domänennamen abfragen, sendet das Gerät die DNS-Abfragen nur an die Namenserver, die für diesen Domänennamen konfiguriert sind, um die Lokalisierung von DNS-Abfragen sicherzustellen.

Sie können die Transportmethode konfigurieren, die zum Auflösen eines bestimmten Domänennamens verwendet wird, z. B. wenn das Gerät über ein IPsec-VPN oder einen anderen sicheren Tunnel eine Verbindung zum Unternehmensnetzwerk herstellt. Wenn Sie einen sicheren VPN-Tunnel für den Transport der Domänennamen konfigurieren, die zum Unternehmensnetzwerk gehören, werden die DNS-Auflösungsabfragen nicht an den DNS-Server des ISP weitergegeben und sind im Unternehmensnetzwerk enthalten.

Sie können auch eine Reihe von Standarddomänen (*) und Namenservern unter der Standarddomäne konfigurieren, um die DNS-Abfragen für eine Domäne aufzulösen, für die kein Nameserver konfiguriert ist.

Jedem DNS-Proxy muss eine Schnittstelle zugeordnet sein. Wenn eine Schnittstelle keine DNS-Proxykonfiguration hat, werden alle DNS-Abfragen, die auf dieser Schnittstelle empfangen werden, verworfen.

Abbildung 1 zeigt, wie der Split-DNS-Proxy in einem Unternehmensnetzwerk funktioniert.

Abbildung 1: DNS-Proxy mit geteiltem DNS

In dem in Abbildung 1gezeigten Unternehmensnetzwerk stellt ein PC-Client, der auf die Firewall der SRX-Serie als DNS-Server verweist, zwei Abfragen – an www.your-isp.com und an www.intranet.com, Der DNS-Proxy leitet die www.intranet.com-Abfrage an den www.intranet.com-DNS-Server (203.0.113.253) weiter, während die www.your-isp.com-Abfrage an den DNS-Server des ISP (209.100.3.130) umgeleitet wird. Obwohl die Abfrage für www.your-isp.com als reguläre DNS-Abfrage unter Verwendung von Klartextprotokollen (TCP/UDP) an den DNS-Server des ISP gesendet wird, wird die Abfrage für die www.intranet.com Domäne über einen sicheren VPN-Tunnel an die DNS-Server des Intranets gesendet.

Ein geteilter DNS-Proxy hat folgende Vorteile:

• Domain-Lookups sind in der Regel effizienter. Beispielsweise können DNS-Abfragen, die für eine Unternehmensdomäne (z. B. acme.com) bestimmt sind, ausschließlich an den DNS-Server des Unternehmens gesendet werden, während alle anderen an den DNS-Server des ISP gesendet werden. Durch die Aufteilung von DNS-Suchvorgängen wird die Belastung des Unternehmensservers verringert und es kann auch verhindert werden, dass Domäneninformationen des Unternehmens ins Internet gelangen.

• Ein DNS-Proxy ermöglicht es Ihnen, ausgewählte DNS-Abfragen über eine Tunnelschnittstelle zu übertragen, die verhindert, dass böswillige Benutzer etwas über die interne Konfiguration eines Netzwerks erfahren. Beispielsweise können DNS-Abfragen, die für den Unternehmensserver bestimmt sind, eine Tunnelschnittstelle passieren, um Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung zu verwenden.

Dynamischer Domain Name System-Client

Dynamic DNS (DDNS) ermöglicht es Clients, IP-Adressen für registrierte Domainnamen dynamisch zu aktualisieren. Diese Funktion ist nützlich, wenn ein ISP das Point-to-Point Protocol (PPP), das Dynamic Host Configuration Protocol (DHCP) oder die externe Authentifizierung (XAuth) verwendet, um die IP-Adresse für einen CPE-Router (Customer Premises Equipment) (z. B. ein Sicherheitsgerät), der einen Webserver schützt, dynamisch zu ändern. Internetclients können den Webserver über einen Domänennamen erreichen, auch wenn sich die IP-Adresse des Sicherheitsgeräts zuvor dynamisch geändert hat.

Ein DDNS-Server verwaltet eine Liste der dynamisch geänderten Adressen und der zugehörigen Domänennamen. Das Gerät aktualisiert diese DDNS-Server mit diesen Informationen in regelmäßigen Abständen oder als Reaktion auf Änderungen der IP-Adresse. Der Junos OS DDNS-Client unterstützt gängige DDNS-Server wie dyndns.org und ddo.jp

Abbildung 2 veranschaulicht, wie der DDNS-Client funktioniert.

Abbildung 2: Dynamisches DNS

Die IP-Adresse des internen Webservers wird durch Network Address Translation (NAT) in die IP-Adresse der nicht vertrauenswürdigen Zonenschnittstelle auf dem Gerät übersetzt. Der Hostname abc-host.com wird beim DDNS-Server registriert und ist mit der IP-Adresse der nicht vertrauenswürdigen Zonenschnittstelle des Geräts verknüpft, die vom DDNS-Client auf dem Gerät überwacht wird. Wenn die IP-Adresse von abc-host.com geändert wird, wird der DDNS-Server über die neue Adresse informiert.

Wenn ein Client im Netzwerk Abbildung 2 auf abc-host.com zugreifen muss, fragt der Client die DNS-Server im Internet ab. Wenn die Abfrage den DDNS-Server erreicht, löst er die Anforderung auf und stellt dem Client die neueste IP-Adresse von abc-host.com zur Verfügung.