Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

DNSプロキシの概要

ドメインネームシステム(DNS)プロキシを使用すると、クライアントはSRX300、SRX320、SRX340、SRX345、SRX550M、またはSRX1500デバイスをDNSプロキシサーバーとして使用できます。DNSプロキシは、以前のルックアップをキャッシュすることでドメインルックアップのパフォーマンスを向上させます。典型的なDNSプロキシは、ホスト名が解決されるまで、検出した各ネームサーバーに新しいDNS解決クエリを発行することでDNSクエリを処理します。

DNSプロキシキャッシュ

DNSクエリがDNSプロキシによって解決されると、結果はデバイスのDNSキャッシュに保存されます。この保存されたキャッシュは、デバイスが同じドメインからの後続のクエリを解決し、ネットワークの遅延の遅延を回避するのに役立ちます。

プロキシキャッシュが利用できない場合、デバイスは設定されたDNSサーバーにクエリーを送信し、その結果、ネットワーク遅延が発生します。

DNSプロキシは、解決された各DNSクエリのキャッシュエントリーを維持します。これらのエントリーにはTTL(Time-to-Live)タイマーがあるため、デバイスはTTLに達して有効期限が切れると各エントリーをキャッシュからパージします。 clear system services dns-proxy cache コマンドを使用してキャッシュをクリアできます。そうしないと、キャッシュは TTL がゼロになると TTL とともに自動的に期限切れになります。

スプリットDNSを使用したDNSプロキシ

分割DNSプロキシ機能を使用すると、インターフェイスとドメイン名の両方に基づいてDNSクエリを分割するようにプロキシサーバーを設定できます。また、ネームサーバーのセットを設定し、特定のドメイン名に関連付けることもできます。そのドメイン名をクエリーすると、デバイスはDNSクエリーをそのドメイン名用に設定されたネームサーバーにのみDNSクエリを送信し、DNSクエリーを確実にローカライズします。

特定のドメイン名を解決するために使用するトランスポート方法(たとえば、デバイスがIPsec VPNまたはその他のセキュアなトンネルを介して企業ネットワークに接続する場合など)を設定できます。企業ネットワークに属するドメイン名を転送するようにセキュアなVPNトンネルを設定すると、DNS解決クエリーがISP DNSサーバーにリークされることはなく、企業ネットワーク内に含まれます。

また、デフォルトドメインの下にデフォルトドメイン(*)とネームサーバーのセットを設定して、ネームサーバーが設定されていないドメインのDNSクエリを解決することもできます。

各DNSプロキシは、インターフェイスに関連付けられている必要があります。インターフェイスにDNSプロキシ設定がない場合、そのインターフェイスで受信したDNSクエリはすべて破棄されます。

図1は、企業ネットワークで分割DNSプロキシがどのように機能するかを示しています。

図1:分割DNSNetwork diagram showing DNS query flow; DNS server in untrust zone manages external queries. Intranet servers accessed via VPN.を使用したDNSプロキシ

図 1 に示す企業ネットワークでは、DNS サーバーとして SRXシリーズ ファイアウォールを指している PC クライアントが www.your-isp.com と www.intranet.com の 2 つのクエリを行います。DNS プロキシは www.intranet.com を www.intranet.com DNS サーバー(203.0.113.253)にリダイレクトし、www.your-isp.com クエリは ISP DNS サーバー(209.100.3.130)にリダイレクトします。www.your-isp.com のクエリは、クリアテキストプロトコル(TCP/UDP)を使用して通常のDNSクエリとしてISP DNSサーバーに送信されますが、www.intranet.com ドメインのクエリは、セキュアなVPNトンネルを介してイントラネットのDNSサーバーに送信されます。

分割DNSプロキシには、次の利点があります。

  • 通常、ドメイン検索の方が効率的です。たとえば、企業ドメイン(acme.com など)向けのDNSクエリは、企業DNSサーバーにのみ送信され、その他のクエリはすべてISP DNSサーバーに送信されます。DNSルックアップを分割することで、企業サーバーの負荷を軽減し、企業ドメイン情報がインターネット上に漏洩するのを防ぐこともできます。

  • DNSプロキシを使用すると、選択したDNSクエリーをトンネルインターフェイス経由で送信できるため、悪意のあるユーザーがネットワークの内部設定を知るのを防ぎます。例えば、企業サーバー宛てのDNSクエリーは、トンネルインターフェイスを通過して、認証や暗号化などのセキュリティ機能を使用できます。

動的ドメインネームシステムクライアント

ダイナミックDNS(DDNS)を使用すると、クライアントは登録済みドメイン名のIPアドレスを動的に更新できます。この機能は、ISPがポイントツーポイントプロトコル(PPP)、ダイナミックホスト構成プロトコル(DHCP)、または外部認証(XAuth)を使用して、Webサーバーを保護するカスタマー構内機器(CPE)ルーター(セキュリティデバイスなど)のIPアドレスを動的に変更する場合に便利です。インターネットクライアントは、セキュリティデバイスのIPアドレスが以前に動的に変更されていても、ドメイン名を使用してWebサーバーに到達できます。

DDNSサーバーは、動的に変更されたアドレスとそれに関連付けられたドメイン名のリストを保持します。デバイスは、定期的に、またはIPアドレスの変更に応じて、この情報でこれらのDDNSサーバーを更新します。Junos OS DDNSクライアントは、dyndns.org や ddo.jp などの一般的なDDNSサーバーをサポートしています

図 2 は、DDNS クライアントの仕組みを示しています。

図2:ダイナミックDNS Network diagram showing DNS query process: Client A queries abc.gotip.org via DNS server in Untrust zone, through internet, to web server in Trust zone.

内部WebサーバーのIPアドレスは、ネットワークアドレス変換(NAT)によってデバイス上のuntrustゾーンインターフェイスのIPアドレスに変換されます。ホスト名 abc-host.com はDDNSサーバーに登録され、デバイスのuntrustゾーンインターフェイスのIPアドレスに関連付けられており、デバイス上のDDNSクライアントによって監視されます。abc-host.com のIPアドレスが変更されると、DDNSサーバーに新しいアドレスが通知されます。

図 2 に示すネットワーク内のクライアントが abc-host.com にアクセスする必要がある場合、クライアントはインターネット上の DNS サーバーにクエリーを実行します。クエリーがDDNSサーバーに到達すると、リクエストを解決し、abc-host.com の最新のIPアドレスをクライアントに提供します。

関連ドキュメント