DNS プロキシの概要
ドメイン名システム(DNS)プロキシを使用すると、クライアントはSRX300、SRX320、SRX340、SRX345、SRX550M、またはSRX1500デバイスをDNSプロキシサーバーとして使用できます。DNS プロキシは、以前のルックアップをキャッシュすることで、ドメイン検索のパフォーマンスを向上させます。一般的な DNS プロキシーは、ホスト名が解決されるまで、検出した各ネーム・サーバーに新しい DNS 解決クエリーを発行して、DNS クエリーを処理します。
DNS プロキシ キャッシュ
DNS クエリが DNS プロキシによって解決されると、結果はデバイスの DNS キャッシュに保存されます。この保存されたキャッシュは、デバイスが同じドメインからの後続のクエリを解決し、ネットワーク遅延を回避するのに役立ちます。
プロキシ キャッシュが使用できない場合、デバイスは設定された DNS サーバーにクエリーを送信するため、ネットワーク遅延が発生します。
DNS プロキシは、解決された DNS クエリごとにキャッシュ エントリを保持します。これらのエントリにはTTL(Time-to-live)タイマーがあるため、デバイスはTTLに達して有効期限が切れると、キャッシュから各エントリをパージします。を使用してキャッシュをクリアできます clear system services dns-proxy cache
コマンド 、またはキャッシュがゼロになるとTTLとともに自動的に期限切れになります。
スプリット DNS を使用した DNS プロキシ
分割DNSプロキシ機能を使用すると、インターフェイスとドメイン名の両方に基づいてDNSクエリを分割するようにプロキシサーバーを構成できます。また、ネームサーバーのセットを構成し、特定のドメイン名に関連付けることもできます。そのドメイン名をクエリーすると、デバイスはそのドメイン名用に設定されたネームサーバーにのみ DNS クエリーを送信し、DNS クエリーのローカリゼーションを確保します。
デバイスが IPsec VPN またはその他のセキュア トンネルを介して企業ネットワークに接続する場合など、特定のドメイン名の解決に使用するトランスポート方法を構成できます。企業ネットワークに属するドメイン名を転送するようにセキュリティで保護された VPN トンネルを構成すると、DNS 解決クエリは ISP DNS サーバーに漏洩せず、企業ネットワーク内に含まれます。
また、デフォルト・ドメインの下にデフォルト・ドメイン (*) とネーム・サーバーのセットを構成して、ネーム・サーバーが構成されていないドメインの DNS 照会を解決することもできます。
各 DNS プロキシは、インターフェイスに関連付けられている必要があります。インターフェイスに DNS プロキシ構成がない場合、そのインターフェイスで受信したすべての DNS クエリはドロップされます。
図 1 分割 DNS プロキシが企業ネットワークでどのように機能するかを示します。
図 1に示す企業ネットワークでは、DNSサーバーが www.your-isp.com と www.intranet.com の2つのクエリを行う際にSRXシリーズファイアウォールを指すPCクライアント。DNSプロキシは、www.intranet.com、クエリを www.intranet.com DNSサーバー(203.0.113.253)にリダイレクトし、www.your-isp.com クエリーはISP DNSサーバー(209.100.3.130)にリダイレクトします。www.your-isp.com のクエリは、クリア テキスト プロトコル (TCP/UDP) を使用した通常の DNS クエリとして ISP DNS サーバーに送信されますが、www.intranet.com ドメインのクエリは、セキュリティで保護された VPN トンネルを介してイントラネットの DNS サーバーに送信されます。
分割 DNS プロキシには、次の利点があります。
ドメイン検索は通常、より効率的です。たとえば、企業ドメイン (acme.com など) 向けの DNS クエリは、企業の DNS サーバーに排他的に送信され、他のすべてのクエリは ISP DNS サーバーに送信されます。DNS 参照を分割すると、企業サーバーの負荷が軽減され、企業ドメイン情報がインターネットに漏洩するのを防ぐことができます。
DNSプロキシを使用すると、選択したDNSクエリをトンネルインターフェイスを介して送信できるため、悪意のあるユーザーがネットワークの内部構成を知るのを防ぐことができます。たとえば、企業サーバー宛ての DNS クエリは、認証や暗号化などのセキュリティ機能を使用するためにトンネル インターフェイスを通過できます。
動的ドメイン ネーム システム クライアント
動的 DNS (DDNS) を使用すると、クライアントは登録済みドメイン名の IP アドレスを動的に更新できます。この機能は、ISP がポイントツーポイント プロトコル(PPP)、動的ホスト構成プロトコル(DHCP)、または外部認証(XAuth)を使用して、Web サーバーを保護する顧客宅内機器(CPE)ルーター(セキュリティ デバイスなど)の IP アドレスを動的に変更する場合に役立ちます。インターネットクライアントは、セキュリティデバイスのIPアドレスが以前に動的に変更された場合でも、ドメイン名を使用してWebサーバーにアクセスできます。
DDNS サーバーは、動的に変更されたアドレスとそれに関連付けられたドメイン名のリストを保持します。デバイスは、定期的またはIPアドレスの変更に応じて、この情報でこれらのDDNSサーバーを更新します。Junos OS DDNSクライアントは、dyndns.org や ddo.jp などの一般的なDDNSサーバーをサポートします
図 2 は、DDNSクライアントの仕組みを示しています。
内部 Web サーバーの IP アドレスは、ネットワーク アドレス変換(NAT)によって、デバイス上の信頼されていないゾーン インターフェイスの IP アドレスに変換されます。ホスト名 abc-host.com はDDNSサーバーに登録され、デバイス上のDDNSクライアントによって監視されているデバイスのuntrust zoneインターフェイスのIPアドレスに関連付けられます。abc-host.com の IP アドレスが変更されると、DDNS サーバーには新しいアドレスが通知されます。
図 2 に示すネットワーク内のクライアントが abc-host.com にアクセスする必要がある場合、クライアントはインターネット上の DNS サーバーにクエリを実行します。クエリが DDNS サーバーに到達すると、要求が解決され、クライアントに最新の IP アドレス abc-host.com が提供されます。