Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

DNS プロキシの概要

DNS(ドメインネームシステム)プロキシを使用すると、クライアントはSRX300、SRX320、SRX340、SRX345、SRX550M、またはSRX1500デバイスをDNSプロキシサーバーとして使用できます。DNS プロキシは、以前のルックアップをキャッシュすることでドメイン ルックアップのパフォーマンスを向上させます。一般的なDNSプロキシは、ホスト名が解決されるまで検出された各ネームサーバーに新しいDNS解決クエリーを発行することで、DNSクエリーを処理します。

DNS プロキシ キャッシュ

DNS クエリーが DNS プロキシによって解決されると、その結果はデバイスの DNS キャッシュに保存されます。この格納されたキャッシュは、デバイスが同じドメインからの後続のクエリーを解決し、ネットワーク遅延の遅延を回避するのに役立ちます。

プロキシキャッシュが利用できない場合、デバイスは設定されたDNSサーバーにクエリーを送信し、結果としてネットワーク遅延が発生します。

DNS プロキシは、解決された DNS クエリーごとにキャッシュ エントリーを維持します。これらのエントリーにはTTL(Time-to-live)タイマーがあるため、デバイスはTTLに達して有効期限が切れると、キャッシュから各エントリーをパージします。コマ ンドを使用してキャッシュを clear system services dns-proxy cache クリアするか、キャッシュがゼロになると TTL とともに自動的に期限切れになります。

スプリットDNSを使用したDNSプロキシ

分割DNSプロキシ機能を使用すると、プロキシサーバーを構成して、インターフェイスとドメイン名の両方に基づいてDNSクエリーを分割できます。ネームサーバーのセットを設定し、指定されたドメイン名に関連付けることもできます。そのドメイン名をクエリーすると、デバイスはDNSクエリーを、そのドメイン名用に設定されたネームサーバーのみに送信し、DNSクエリーをローカリゼーションできるようにします。

特定のドメイン名を解決するために使用するトランスポート方法を設定できます。たとえば、デバイスがIPsec VPNやその他のセキュアトンネルを介して企業ネットワークに接続する場合などです。セキュアVPNトンネルを設定して、コーポレートネットワークに属するドメイン名を転送する場合、DNS解決クエリーはISP DNSサーバーにリークされず、企業ネットワークに含まれます。

また、デフォルトドメイン(*)とネームサーバーのセットをデフォルトドメインの下で設定して、ネームサーバーが設定されていないドメインのDNSクエリーを解決することもできます。

各 DNS プロキシは、インターフェイスに関連付けられている必要があります。インターフェイスにDNSプロキシ設定がない場合、そのインターフェイスで受信したすべてのDNSクエリーが削除されます。

図 1 は、企業ネットワークにおける分割 DNS プロキシの仕組みを示しています。

図 1: スプリットDNSを使用したDNSプロキシスプリットDNSを使用したDNSプロキシ

図 1示す企業ネットワークでは、SRXシリーズファイアウォールをDNSサーバーとして指し示すPCクライアントが、www.your-isp.com と www.intranet.com という2つのクエリーを実行します。 DNSプロキシは、www.intranet.com、クエリーを www.intranet.com DNSサーバー(203.0.113.253)にリダイレクトし、www.your-isp.com クエリーはISP DNSサーバー(209.100.3.130)にリダイレクトされます。www.your-isp.com のクエリーは、クリアテキストプロトコル(TCP/UDP)を使用した通常のDNSクエリーとしてISP DNSサーバーに送信されますが、www.intranet.com ドメインのクエリは、セキュアVPNトンネルを介してイントラネットのDNSサーバーに送信されます。

分割 DNS プロキシには、次の利点があります。

  • 通常、ドメイン ルックアップの方が効率的です。たとえば、企業ドメイン(acme.com など)に対するDNSクエリーは、企業のDNSサーバーのみに移動し、その他はすべてISP DNSサーバーに移動できます。DNS ルックアップを分割することで、企業サーバーの負荷が軽減され、企業ドメイン情報がインターネットに漏洩するのを防ぐことができます。

  • DNS プロキシを使用すると、選択した DNS クエリーをトンネル インターフェイスを介して送信でき、悪意のあるユーザーはネットワークの内部構成について学習できなくなります。たとえば、企業サーバーにバインドされたDNSクエリーは、トンネルインターフェイスを通過して、認証や暗号化などのセキュリティ機能を使用できます。

動的ドメイン名システム クライアント

ダイナミックDNS(DDNS)を使用すると、クライアントは登録されたドメイン名のIPアドレスを動的に更新できます。この機能は、ISP が PPP(Point-to-Point Protocol)、DHCP(Dynamic Host Configuration Protocol)、または外部認証(XAuth)を使用して、Web サーバーを保護する加入者宅内機器(CPE)ルーター(セキュリティ デバイスなど)の IP アドレスを動的に変更する場合に便利です。インターネットクライアントは、セキュリティデバイスのIPアドレスが以前に動的に変更されている場合でも、ドメイン名を使用してWebサーバーにアクセスできます。

DDNS サーバーは、動的に変更されたアドレスとそれに関連するドメイン名のリストを維持します。デバイスは、これらのDDNSサーバーをこの情報で定期的に更新するか、IPアドレスの変更に応じて更新します。Junos OS DDNSクライアントは、dyndns.org や ddo.jp などの一般的なDDNSサーバーをサポートしています。

図 2 は、DDNS クライアントの仕組みを示しています。

図 2: ダイナミックDNS ダイナミックDNS

内部 Web サーバーの IP アドレスは、ネットワーク アドレス変換(NAT)によって、デバイス上の untrust ゾーン インターフェイスの IP アドレスに変換されます。ホスト名 abc-host.com はDDNSサーバーに登録され、デバイス上のDDNSクライアントによって監視されるデバイスの untrustゾーンインターフェイスのIPアドレスに関連付けられています。abc-host.com の IP アドレスが変更されると、DDNS サーバーに新しいアドレスが通知されます。

に示 図 2 すネットワーク内のクライアントが abc-host.com にアクセスする必要がある場合、クライアントはインターネット上の DNS サーバーにクエリーを実行します。クエリーがDDNSサーバーに到達すると、その要求を解決し、クライアントに abc-host.com の最新のIPアドレスを提供します。

関連項目