デバイスセキュリティ

DNSキャッシング(cSRX、SRXシリーズファイアウォール、vSRX 3.0)のデフォルトの最小TTLを上書きする—DNSキャッシングのアドレス帳にある完全修飾ドメイン名(FQDN)のデフォルトの最小TTL(存続可能時間)値を上書きします。この構成により、TTL 値が 16 秒未満または大きい DNS 応答は、既定の最小値である 16 秒ではなく、実際の期間キャッシュされます。システムは、再設定しない限り、後方互換性のためのデフォルト動作を維持します。この機能は、より正確なDNS解決を提供し、IPアドレスが頻繁に変更される環境で特に有益です。

[ DNSキャッシュのデフォルトの最小TTLを上書きするを参照してください。

動的FQDNポリシー更新(cSRX、SRX1600、SRX2300、SRX4100、SRX4200、SRX4120、SRX4300、SRX4600、SRX4700、SRX5400、SRX5600、SRX5800、vSRX 3.0)のリアルタイムDNSスヌーピング—ドメイン生成アルゴリズム(DNS)スヌーピングは、DNS応答をリアルタイムで検査してキャッシュします。

DNS スヌーピングを有効にすると、ファイアウォールは以下を実行します。

1. トラフィックがネットワークを通過する際に、DNS 応答パケットをキャプチャします。

2. 関連する DNS レコードを抽出します。

3. 完全修飾ドメイン名 (FQDN) から IP アドレスへのローカル キャッシュ マッピングを構築します。

ファイアウォールは、IPv4またはIPv6トラフィックに対して、これらのマッピングを正確かつ最新の状態に保ちます。この機能を使用して、DNS エントリが頻繁に変更される環境でリアルタイムの DNS マッピング更新を実装します。

[ セキュリティポリシーのDNSスヌーピングを参照してください。

DNSスヌーピングとDNSモジュールの統合(cSRX、SRX1600、SRX2300、SRX4100、SRX4120、SRX4200、SRX4300、SRX4600、SRX4700、SRX5400、SRX5600、SRX5800、vSRX 3.0)—ルーティングエンジン上のDNSモジュールとパケット転送エンジンに統合されたDNSスヌーピングキャッシュを使用して、明示的なDNSクエリからのエントリーとDNSスヌーピングをデータプレーンで統合します。統合されたDNSキャッシュは、正確性と関連性を維持し、DNSベースのポリシーと宛先ネットワークアドレス変換(NAT)設定を効果的に適用するのに役立ちます。

show security dns-cache コマンドは、DNS リゾルバーと DNS スヌーピングの両方からのエントリーを表示します。

[ セキュリティポリシーのDNSスヌーピングを参照してください。

HTTP/2 サポートおよびアプリケーション トラフィックの除外機能を備えた透過的 Web プロキシ(SRX380、SRX320、SRX340、SRX345、SRX1600、SRX2300、SRX4100、SRX4120、SRX4200、SRX4300、vSRX3.0)—透過的 Web プロキシを使用して、クライアントの認識や追加設定なしで、外部プロキシ サーバーを介してトラフィックをルーティングします。特定のアプリケーション トラフィックをプロキシから除外し、トラフィックを Web サーバーに直接移動できます。透過的 Web プロキシは HTTP/2 もサポートしており、復号化なしで安全な HTTPS トラフィック リレーを可能にします。この機能は、クライアントとWebサーバーの間を透過的に仲介することにより、特定のアプリケーションのサービス品質を向上させます。

[透過 的 Web プロキシ] を参照してください。