Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNS プロキシーの概要

DNS(ドメイン ネーム システム)プロキシーを使用すると、クライアントは SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 デバイスを DNS プロキシー サーバーとして使用できます。DNS プロキシは、以前のルックアップをキャッシュすることで、ドメイン ルックアップのパフォーマンスを向上させます。一般的な DNS プロキシは、ホスト名が解決されるまで検出された各ネーム サーバーに新しい DNS 解決クエリを発行することで、DNS クエリを処理します。

DNS プロキシ キャッシュ

DNS クエリが DNS プロキシによって解決されると、結果はデバイスの DNS キャッシュに保存されます。この保存されたキャッシュは、デバイスが同じドメインからの後続のクエリを解決し、ネットワーク遅延を回避するのに役立ちます。

プロキシ キャッシュが使用できない場合、デバイスはクエリを設定済みの DNS サーバーに送信し、ネットワーク遅延が発生します。

DNS プロキシは、解決された各 DNS クエリのキャッシュ エントリを保持します。これらのエントリにはTTL(Time-to-Live)タイマーがあるため、デバイスはTTLに達して期限切れになると、キャッシュから各エントリーをパージします。コマンドを使用してキャッシュを clear system services dns-proxy cache 消去するか、キャッシュがゼロになるとTTLとともに自動的に期限切れになります。

スプリットDNSを使用したDNSプロキシ

分割DNSプロキシ機能を使用すると、インターフェイスとドメイン名の両方に基づいてDNSクエリを分割するようにプロキシサーバーを設定できます。ネーム サーバーのセットを設定し、指定されたドメイン名に関連付けることもできます。そのドメイン名をクエリすると、DNS クエリのローカライズを確実にするために、そのドメイン名に対して構成されているネーム サーバーにのみ DNS クエリが送信されます。

特定のドメイン名の解決に使用するトランスポート方法を設定できます。たとえば、デバイスが IPsec VPN やその他のセキュア トンネルを介して企業ネットワークに接続する場合などです。企業ネットワークに属するドメイン名を転送するようにセキュア VPN トンネルを設定すると、DNS 解決クエリは ISP DNS サーバーに漏洩せず、社内ネットワークに含まれます。

デフォルト ドメイン(*) とネーム サーバーのセットをデフォルト ドメインの下で設定して、ネーム サーバーが構成されていないドメインの DNS クエリを解決することもできます。

各 DNS プロキシはインターフェイスに関連付ける必要があります。インターフェイスに DNS プロキシ設定がない場合、そのインターフェイスで受信したすべての DNS クエリは削除されます。

図 1 は、分割 DNS プロキシが企業ネットワークでどのように機能するかを示しています。

図 1: スプリットDNSを使用したDNSプロキシスプリットDNSを使用したDNSプロキシ

図 1示すコーポレート ネットワークでは、DNS サーバーが 2 つのクエリを実行する際に SRX シリーズ デバイスを指す PC クライアントが、www.your-isp.com と www.intranet.com に対して、 DNS プロキシは、www.intranet.com、クエリを www.intranet.com DNS サーバー(203.0.113.253)にリダイレクトします。一方、www.your-isp.com クエリは ISP DNS サーバー(209.100.3.130)にリダイレクトされます。www.your-isp.com のクエリは、クリア テキスト プロトコル(TCP/UDP)を使用した通常の DNS クエリとして ISP DNS サーバーに送信されますが、www.intranet.com ドメインのクエリは、セキュア VPN トンネルを介してイントラネットの DNS サーバーに送信されます。

分割 DNS プロキシには、次のようなメリットがあります。

  • 通常、ドメイン ルックアップの方が効率的です。たとえば、企業ドメイン(acme.com など)に対する DNS クエリは、専用のコーポレート DNS サーバーに移動し、その他すべてのクエリは ISP DNS サーバーに移動できます。DNS ルックアップを分割すると、企業サーバーの負荷が軽減され、企業ドメイン情報がインターネットに漏洩するのを防ぐことができます。

  • DNS プロキシを使用すると、選択した DNS クエリをトンネル インターフェイスを介して送信できるため、悪意のあるユーザーはネットワークの内部設定について学習できなくなります。たとえば、企業サーバーにバインドされた DNS クエリは、トンネル インターフェイスを通過して、認証や暗号化などのセキュリティ機能を使用できます。

動的ドメイン・ネーム・システム・クライアント

動的 DNS(DDNS)により、クライアントは登録済みドメイン名の IP アドレスを動的に更新できます。この機能は、ISP が PPP(Point-to-Point Protocol)、DHCP(Dynamic Host Configuration Protocol)、または外部認証(XAuth)を使用して、Web サーバーを保護する加入者宅内機器(CPE)ルーター(セキュリティ デバイスなど)の IP アドレスを動的に変更する場合に便利です。インターネット クライアントは、セキュリティ デバイスの IP アドレスが以前に動的に変更された場合でも、ドメイン名を使用して Web サーバーにアクセスできます。

DDNS サーバーは、動的に変更されたアドレスとそれに関連するドメイン名のリストを保持します。デバイスは、この情報を使用して、または IP アドレスの変更に応じて、これらの DDNS サーバーを定期的に更新します。Junos OS DDNSクライアントは、dyndns.org や ddo.jp などの一般的なDDNSサーバーをサポートしています。

図 2 は、DDNS クライアントの仕組みを示しています。

図 2: 動的 DNS 動的 DNS

内部 Web サーバーの IP アドレスは、ネットワーク アドレス変換(NAT)によって、デバイス上の untrust ゾーン インターフェイスの IP アドレスに変換されます。ホスト名 abc-host.com はDDNSサーバーに登録され、デバイス上のDDNSクライアントによって監視されるデバイスの信頼できないゾーンインターフェイスのIPアドレスに関連付けられています。abc-host.com の IP アドレスが変更されると、DDNS サーバーに新しいアドレスが通知されます。

に示 図 2 すネットワーク内のクライアントが abc-host.com にアクセスする必要がある場合、クライアントはインターネット上の DNS サーバーにクエリを実行します。クエリが DDNS サーバーに到達すると、要求が解決され、クライアントに abc-host.com の最新の IP アドレスが提供されます。