Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du proxy DNS

Un proxy DNS (Domain Name System) permet aux clients d’utiliser un SRX300, SRX320, SRX340, SRX345, SRX550M ou un équipement SRX1500 comme serveur proxy DNS. Un proxy DNS améliore les performances de recherche de domaines en mise en cache des précédentes recherches. Un proxy DNS type traite les requêtes DNS en publiant une nouvelle requête de résolution DNS à chaque serveur de noms qu’il a détecté jusqu’à ce que le nom de l’hôte soit résolu.

DNS Proxy Cache

Lorsqu’une requête DNS est résolue par un proxy DNS, le résultat est stocké dans le cache DNS de l’équipement. Ce cache stocké aide l’équipement à résoudre les requêtes ultérieures dans le même domaine et évite les retards en matière de latence du réseau.

Si le cache proxy n’est pas disponible, l’équipement envoie la requête au serveur DNS configuré, ce qui entraîne des délais de latence du réseau.

Le proxy DNS conserve une entrée de cache pour chaque requête DNS résolue. Ces entrées ont un time-to-live (TTL) time-to-live (TTL) afin que l’équipement aide chaque entrée du cache à son arrivée et expire. Vous pouvez effacer un cache à l’aide de la commande , ou le cache expirera automatiquement en même temps que TTL lorsqu’il clear system services dns-proxy cache sera zéro.

Proxy DNS avec DNS fractionner

La fonction de proxy DNS fractionner vous permet de configurer votre serveur proxy pour diviser la requête DNS en fonction à la fois de l’interface et du nom du domaine. Vous pouvez également configurer un ensemble de serveurs de noms et associer un nom de domaine donné. Lorsque vous interrogez ce nom de domaine, l’équipement envoie les requêtes DNS aux serveurs de noms uniquement ceux qui sont configurés pour ce nom de domaine afin de garantir la localisation des requêtes DNS.

Vous pouvez configurer la méthode de transport utilisée pour résoudre un nom de domaine donné, par exemple, lorsque l’équipement se connecte au réseau d’entreprise par le biais d’un VPN IPsec ou de tout autre tunnel sécurisé. Lorsque vous configurez un tunnel VPN sécurisé pour transporter les noms de domaine appartenant au réseau d’entreprise, les requêtes de résolution DNS ne sont pas divulguées au serveur DNS ISP et contenues dans le réseau de l’entreprise.

Vous pouvez également configurer un ensemble de serveurs de noms et de domaines par défaut (*) dans le domaine par défaut pour résoudre les requêtes DNS pour un domaine pour lequel un serveur de noms n’est pas configuré.

Chaque proxy DNS doit être associé à une interface. Si aucune interface ne dispose d’une configuration proxy DNS, toutes les requêtes DNS reçues sur cette interface sont abandonnées.

Figure 1 indique comment fonctionne le proxy DNS partagé dans un réseau d’entreprise.

Figure 1 : Proxy DNS avec DNS fractionnerProxy DNS avec DNS fractionner

Dans le réseau d’entreprise illustré dans , un client PC qui indique l’équipement SRX Series lorsque son serveur DNS fait deux requêtes: www.your-isp.com puis www.intranet.com, Le proxy DNS redirige la www.intranet.com vers le serveur Figure 1 DNS www.intranet.com (203.0.113.253), tandis que la requête www.your-isp.com est redirigée vers le serveur DNS ISP (209.100.3.130). Bien que la requête de www.your-isp.com soit envoyée au serveur DNS ISP en tant que requête DNS régulière utilisant des protocoles de texte clair (TCP/UDP), la requête pour le domaine www.intranet.com se rend sur les serveurs DNS de l’intranet via un tunnel VPN sécurisé.

Un proxy DNS fractionner présente les avantages suivants:

  • La recherche de domaines est en général plus efficace. Par exemple, les requêtes DNS destinées à un domaine d’entreprise (comme acme.com) peuvent exclusivement se rendre sur le serveur DNS d’entreprise, tandis que d’autres se rendre exclusivement sur le serveur ISP DNS. La fractionnement des recherches DNS réduit la charge sur le serveur de l’entreprise et peut également empêcher les informations de domaine de l’entreprise de se trouver sur Internet.

  • Un proxy DNS vous permet d’envoyer certaines requêtes DNS par le biais d’une interface de tunnel, ce qui empêche les utilisateurs malveillants d’apprendre la configuration interne d’un réseau. Par exemple, les requêtes DNS liées au serveur d’entreprise peuvent passer par une interface de tunnel afin d’utiliser des fonctionnalités de sécurité telles que l’authentification et le chiffrement.

Dynamic Domain Name System Client

Dynamic DNS (DDNS) permet aux clients de mettre à jour de manière dynamique les adresses IP pour les noms de domaines enregistrés. Cette fonctionnalité est utile lorsqu’un ISP utilise PPP (Point-to-Point Protocol), DHCP (Dynamic Host Configuration Protocol) ou une authentification externe (XAuth) pour modifier dynamiquement l’adresse IP d’un routeur CPE (par exemple un équipement de sécurité) protégeant un serveur Web. Les clients Internet peuvent atteindre le serveur Web en utilisant un nom de domaine même si l’adresse IP de l’équipement de sécurité a précédemment changé de manière dynamique.

Un serveur DDNS tient à jour une liste des adresses modifiées de manière dynamique et de leurs noms de domaine associés. L’équipement met à jour ces serveurs DDNS avec ces informations régulièrement ou en réponse aux changements d’adresse IP. Le client Junos OS DDNS prend en charge les serveurs DDNS les plus populaires tels que dyndns.org et ddo.jp

Figure 2 illustre le fonctionnement du client DDNS.

Figure 2 : DNS dynamique DNS dynamique

L’adresse IP du serveur Web interne est traduite par traduction des adresses réseau (NAT) à l’adresse IP de l’interface de zone non sécurisé de l’équipement. Le nom de l’hôte abc-host.com est enregistré sur le serveur DDNS et est associé à l’adresse IP de l’interface de zone non sécurisé de l’équipement, qui est surveillé par le client DDNS de l’équipement. Lorsque l’adresse IP d’abc-host.com est modifiée, le serveur DDNS est informé de la nouvelle adresse.

Si un client du réseau a besoin d’accéder abc-host.com réseau, le client interroge les serveurs Figure 2 DNS sur Internet. Lorsque la requête atteint le serveur DDNS, elle résout la demande et fournit au client la dernière adresse IP de abc-host.com.