Descripción general del proxy DNS
Un proxy del sistema de nombres de dominio (DNS) permite a los clientes utilizar un dispositivo SRX300, SRX320, SRX340, SRX345, SRX550M o SRX1500 como servidor proxy DNS. Un proxy DNS mejora el rendimiento de la búsqueda de dominio al almacenar en caché las búsquedas anteriores. Un proxy DNS típico procesa las consultas DNS emitiendo una nueva consulta de resolución DNS a cada servidor de nombres que ha detectado hasta que se resuelve el nombre de host.
Caché de proxy DNS
Cuando un proxy DNS resuelve una consulta DNS, el resultado se almacena en la caché DNS del dispositivo. Esta caché almacenada ayuda al dispositivo a resolver consultas posteriores desde el mismo dominio y evitar retrasos en la latencia de red.
Si la memoria caché de proxy no está disponible, el dispositivo envía la consulta al servidor DNS configurado, lo que provoca retrasos en la latencia de red.
El proxy DNS mantiene una entrada de caché para cada consulta DNS resuelta. Estas entradas tienen un temporizador de tiempo de vida (TTL) para que el dispositivo purgue cada entrada de la memoria caché a medida que alcanza su TTL y caduca. Puede borrar una memoria caché con el comando , o la caché caducará automáticamente junto con TTL cuando llegue a cero.clear system services dns-proxy cache
Proxy DNS con DNS dividido
La característica de proxy DNS dividido le permite configurar el servidor proxy para dividir la consulta DNS en función de la interfaz y el nombre de dominio. También puede configurar un conjunto de servidores de nombres y asociarlos con un nombre de dominio determinado. Cuando consulta ese nombre de dominio, el dispositivo envía las consultas DNS solo a los servidores de nombres que están configurados para ese nombre de dominio para garantizar la localización de las consultas DNS.
Puede configurar el método de transporte utilizado para resolver un nombre de dominio determinado, por ejemplo, cuando el dispositivo se conecta a la red corporativa a través de una VPN IPsec o cualquier otro túnel seguro. Cuando configura un túnel VPN seguro para transportar los nombres de dominio que pertenecen a la red corporativa, las consultas de resolución DNS no se filtran al servidor DNS del ISP y se encuentran dentro de la red corporativa.
También puede configurar un conjunto de servidores de nombres y dominios predeterminados (*) en el dominio predeterminado para resolver las consultas DNS de un dominio para el que no está configurado un servidor de nombres.
Cada proxy DNS debe estar asociado a una interfaz. Si una interfaz no tiene una configuración de proxy DNS, se descartarán todas las consultas DNS recibidas en esa interfaz.
Figura 1 muestra cómo funciona el proxy DNS dividido en una red corporativa.
En la red corporativa mostrada en Figura 1, un cliente de PC que apunta al firewall de la serie SRX como su servidor DNS realiza dos consultas: a www.your-isp.com y a www.intranet.com, El proxy DNS redirige la consulta www.intranet.com al servidor DNS de www.intranet.com (203.0.113.253), mientras que la consulta www.your-isp.com se redirige al servidor DNS del ISP (209.100.3.130). Aunque la consulta de www.your-isp.com se envía al servidor DNS del ISP como una consulta DNS normal mediante protocolos de texto sin cifrar (TCP/UDP), la consulta para el dominio www.intranet.com va a los servidores DNS de la intranet a través de un túnel VPN seguro.
Un proxy DNS dividido tiene las siguientes ventajas:
Las búsquedas de dominio suelen ser más eficientes. Por ejemplo, las consultas DNS destinadas a un dominio corporativo (como acme.com) pueden ir exclusivamente al servidor DNS corporativo, mientras que todas las demás van al servidor DNS del ISP. La división de las búsquedas DNS reduce la carga en el servidor corporativo y también puede evitar que la información del dominio corporativo se filtre a Internet.
Un proxy DNS le permite transmitir consultas DNS seleccionadas a través de una interfaz de túnel, lo que evita que los usuarios malintencionados conozcan la configuración interna de una red. Por ejemplo, las consultas DNS enlazadas al servidor corporativo pueden pasar a través de una interfaz de túnel para usar características de seguridad como la autenticación y el cifrado.
Cliente del Sistema de nombres de dominio dinámico
El DNS dinámico (DDNS) permite a los clientes actualizar dinámicamente las direcciones IP de los nombres de dominio registrados. Esta característica es útil cuando un ISP utiliza el protocolo punto a punto (PPP), el protocolo de configuración dinámica de host (DHCP) o la autenticación externa (XAuth) para cambiar dinámicamente la dirección IP de un enrutador de equipo local del cliente (CPE) (como un dispositivo de seguridad) que protege un servidor web. Los clientes de Internet pueden comunicarse con el servidor Web mediante un nombre de dominio, incluso si la dirección IP del dispositivo de seguridad ha cambiado dinámicamente anteriormente.
Un servidor DDNS mantiene una lista de las direcciones cambiadas dinámicamente y sus nombres de dominio asociados. El dispositivo actualiza estos servidores DDNS con esta información periódicamente o en respuesta a cambios de dirección IP. El cliente DDNS de Junos OS admite servidores DDNS populares, como dyndns.org y ddo.jp
Figura 2 ilustra cómo funciona el cliente DDNS.
La dirección IP del servidor web interno se traduce mediante la traducción de direcciones de red (NAT) a la dirección IP de la interfaz de zona de no confianza en el dispositivo. El nombre de host abc-host.com está registrado en el servidor DDNS y está asociado con la dirección IP de la interfaz de zona de no confianza del dispositivo, que es supervisada por el cliente DDNS en el dispositivo. Cuando se cambia la dirección IP de abc-host.com, se informa al servidor DDNS de la nueva dirección.
Si un cliente de la red que se muestra en necesita acceder a abc-host.com, el cliente consulta los servidores DNS en Internet.Figura 2 Cuando la consulta llega al servidor DDNS, resuelve la solicitud y proporciona al cliente la dirección IP más reciente de abc-host.com.