Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNS プロキシの概要

DNS(ドメイン名システム)プロキシを使用すると、クライアントは、DNS プロキシ サーバーとして SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 デバイスを使用できます。DNS プロキシは、以前の検索をキャッシュすることで、ドメインルックアップのパフォーマンスを向上させます。典型的な DNS プロキシは、ホスト名が解決されるまで、検出された各ネームサーバーに新しい DNS 解決クエリを発行することで、DNS クエリを処理します。

DNS プロキシキャッシュ

DNS クエリが DNS プロキシによって解決された場合、その結果はデバイスの DNS キャッシュに保存されます。このストアドキャッシュは、デバイスが同じドメインからの後続のクエリを解決し、ネットワーク遅延の遅延を回避するのに役立ちます。

プロキシキャッシュが利用できない場合、デバイスはそのクエリを構成された DNS サーバーに送信します。その結果、ネットワーク遅延が遅延してしまいます。

DNS プロキシは、解決された DNS クエリごとにキャッシュエントリを維持します。これらのエントリには time-to-live (TTL) タイマーが設定されているため、デバイスは TTL に達するたびにキャッシュから各エントリをパージし、期限切れになります。clear system services dns-proxy cacheコマンドを使用してキャッシュをクリアするか、キャッシュが0になるときに TTL とともに自動的に期限切れになります。

Dns プロキシ (分割 DNS 付き)

DNS プロキシの分割機能を使用すると、プロキシサーバーを構成して、インターフェイスとドメイン名の両方に基づいて DNS クエリを分割できます。また、一連のネームサーバーを設定し、それを特定のドメイン名に関連付けることもできます。そのドメイン名を照会すると、デバイスから DNS クエリが送信され、そのドメイン名に対して設定したネームサーバーのみが dns クエリのローカライズを行うようになります。

特定のドメイン名を解決するために使用するトランスポート方法を設定できます。たとえば、デバイスが IPsec VPN や他のセキュア トンネルを介してコーポレート ネットワークに接続する場合などです。セキュリティー保護された VPN トンネルを構成して企業ネットワークに属するドメイン名を転送する場合、DNS 解決クエリは ISP DNS サーバーにリークされず、企業ネットワーク内に含まれています。

また、デフォルトドメインの下にデフォルトドメイン (*) とネームサーバーのセットを設定して、ネームサーバーが構成されていないドメインの DNS クエリを解決することもできます。

各 DNS プロキシは、インターフェイスに関連付けられている必要があります。インターフェイスに DNS プロキシ構成がない場合、そのインターフェイスで受信したすべての DNS クエリが削除されます。

図 1は、企業ネットワークでの分割 DNS プロキシの仕組みを示しています。

図 1: Dns プロキシ (分割 DNS 付き)Dns プロキシ (分割 DNS 付き)

に示すコーポレート ネットワークでは、DNSサーバーとしてSRX シリーズデバイスを指摘するPCクライアントが、2つのクエリーを実行し、www.your-isp.com および www.intranet.com。 DNS プロキシは www.intranet.com をリダイレクトし、クエリーを www.intranet.com DNS サーバー 図 1 (203.0.113.253)にリダイレクトし、www.your-isp.com クエリーは ISP DNS サーバー(209.100.3.130)にリダイレクトされます。www.your-isp.com のクエリーはクリアテキスト プロトコル(TCP/UDP)を使用して通常の DNS クエリとして ISP DNS サーバーに送信されます。ただし、www.intranet.com ドメインのクエリーはセキュア VPN トンネルを使用してイントラネットの DNS サーバーに送信されます。

DNS プロキシの分割には、以下の利点があります。

  • ドメインルックアップは、通常、より効率的に行うことができます。たとえば、企業のドメイン (acme.com など) に対する DNS クエリは、企業 DNS サーバーにのみアクセスできますが、それ以外はすべて ISP DNS サーバーにアクセスすることが可能です。DNS 検索を分割すると、企業サーバーへの負荷が軽減され、企業のドメイン情報がインターネット上でリークを発生させることもなくなります。

  • DNS プロキシを使用すると、トンネルインターフェイスから選択した DNS クエリを送信できます。これにより、悪意のあるユーザーがネットワークの内部構成について学習することができなくなります。たとえば、企業のサーバーに対してバインドされた DNS クエリは、トンネルインターフェイスを通過して、認証や暗号化などのセキュリティ機能を使用することができます。

ダイナミックドメインネームシステムクライアント

ダイナミック DNS (DDNS) を使用すると、クライアントは登録されたドメイン名の IP アドレスを動的に更新できます。この機能は、ISP が Point-to-point プロトコル (PPP)、ダイナミックホスト構成プロトコル (DHCP)、外部認証 (XAuth) を使用して、顧客宅内機器 (セキュリティデバイスなど) の IP アドレスを動的に変更する場合に便利です。Web サーバーを保護します。インターネットクライアントは、セキュリティデバイスの IP アドレスが以前に動的に変更されている場合でも、ドメイン名を使用して Web サーバーにアクセスできます。

DDNS サーバーは、動的に変更されたアドレスとそれに関連付けられたドメイン名のリストを維持します。このデバイスは、これらの DDNS サーバーを定期的に、または IP アドレスの変更に応じて、この情報で更新します。Junos OS の DDNS クライアントは、dyndns.org や ddo.jp などの一般的な DDNS サーバーをサポートしています。

図 2は、DDNS クライアントの仕組みを示しています。

図 2: ダイナミック DNS ダイナミック DNS

内部 Web サーバーの IP アドレスは、ネットワークアドレス変換 (NAT) によってデバイス上の untrust zone インターフェイスの IP アドレスに変換されます。ホスト名 abc-host.com はDDNSサーバーに登録され、デバイスのDDNSクライアントによって監視される、デバイスの Untrustゾーン インターフェイスのIPアドレスに関連付けされています。Abc-host.com の IP アドレスが変更されると、その新しいアドレスの情報が DDNS サーバーに通知されます。

図 2示されているネットワーク内のクライアントが abc-host.com にアクセスする必要がある場合、クライアントはインターネット上の DNS サーバーに照会します。クエリーが DDNS サーバーに到達すると、その要求を解決し、クライアントに最新の IP アドレス abc-host.com を提供します。