Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

DNS 프록시 개요

DNS(Domain Name System) 프록시를 통해 클라이언트는 SRX300, SRX320, SRX340, SRX345, SRX550M 또는 SRX1500 디바이스를 DNS 프록시 서버로 사용할 수 있습니다. DNS 프록시는 이전 조회를 캐싱하여 도메인 조회 성능을 향상시킵니다. 일반적인 DNS 프록시는 호스트 이름이 확인될 때까지 감지한 각 이름 서버에 새 DNS 확인 쿼리를 실행하여 DNS 쿼리를 처리합니다.

DNS 프록시 캐시

DNS 쿼리가 DNS 프록시에 의해 확인되면 결과는 디바이스의 DNS 캐시에 저장됩니다. 이 저장된 캐시는 디바이스가 동일한 도메인에서 후속 쿼리를 해결하고 네트워크 대기 시간 지연을 방지하는 데 도움이 됩니다.

프록시 캐시를 사용할 수 없는 경우 디바이스는 구성된 DNS 서버로 쿼리를 전송하므로 네트워크 대기 시간이 지연됩니다.

DNS 프록시는 확인된 각 DNS 쿼리에 대한 캐시 항목을 유지 관리합니다. 이러한 항목에는 TTL(Time-to-Live) 타이머가 있으므로 디바이스는 TTL에 도달하고 만료될 때 캐시에서 각 항목을 제거합니다. 명령을 사용하여 캐시를 clear system services dns-proxy cache 지울 수 있으며, 그렇지 않으면 캐시가 0이 되면 TTL과 함께 캐시가 자동으로 만료됩니다.

스플릿 DNS를 사용하는 DNS 프록시

스플릿 DNS 프록시 기능을 사용하면 인터페이스와 도메인 이름을 기반으로 DNS 쿼리를 스플릿하도록 프록시 서버를 구성할 수 있습니다. 이름 서버 집합을 구성한 다음 지정된 도메인 이름과 연결할 수도 있습니다. 해당 도메인 이름을 쿼리할 때 디바이스는 DNS 쿼리의 현지화를 보장하기 위해 해당 도메인 이름에 대해 구성된 이름 서버에만 DNS 쿼리를 보냅니다.

지정된 도메인 이름을 확인하는 데 사용되는 전송 방법을 구성할 수 있습니다(예: 디바이스가 IPsec VPN 또는 기타 보안 터널을 통해 회사 네트워크에 연결되는 경우). 회사 네트워크에 속한 도메인 이름을 전송하도록 보안 VPN 터널을 구성하면 DNS 확인 쿼리가 ISP DNS 서버로 유출되지 않고 회사 네트워크 내에 포함됩니다.

기본 도메인 아래에 기본 도메인(*) 및 이름 서버 집합을 구성하여 이름 서버가 구성되지 않은 도메인에 대한 DNS 쿼리를 해결할 수도 있습니다.

각 DNS 프록시는 인터페이스와 연결되어야 합니다. 인터페이스에 DNS 프록시 구성이 없는 경우 해당 인터페이스에서 수신된 모든 DNS 쿼리가 삭제됩니다.

그림 1 에서는 회사 네트워크에서 분할 DNS 프록시가 작동하는 방식을 보여 줍니다.

그림 1: 스플릿 DNS를 사용하는 DNS 프록시스플릿 DNS를 사용하는 DNS 프록시

그림 1표시된 회사 네트워크에서, DNS 서버로 SRX 시리즈 방화벽을 가리키는 PC 클라이언트는 www.your-isp.com 과 www.intranet.com 에 대해 두 개의 쿼리를 수행하고, DNS 프록시는 www.intranet.com 쿼리를 www.intranet.com DNS 서버(203.0.113.253)로 리디렉션하고, www.your-isp.com 쿼리는 ISP DNS 서버(209.100.3.130)로 리디렉션합니다. www.your-isp.com 에 대한 쿼리는 일반 텍스트 프로토콜(TCP/UDP)을 사용하는 일반 DNS 쿼리로 ISP DNS 서버로 전송되지만 www.intranet.com 도메인에 대한 쿼리는 보안 VPN 터널을 통해 인트라넷의 DNS 서버로 이동합니다.

분할 DNS 프록시에는 다음과 같은 이점이 있습니다.

  • 도메인 조회는 일반적으로 더 효율적입니다. 예를 들어 회사 도메인(예: acme.com)에 대한 DNS 쿼리는 회사 DNS 서버로만 이동하지만 다른 모든 쿼리는 ISP DNS 서버로 이동할 수 있습니다. DNS 조회를 분할하면 회사 서버의 부하가 줄어들고 회사 도메인 정보가 인터넷으로 유출되는 것을 방지할 수 있습니다.

  • DNS 프록시를 사용하면 터널 인터페이스를 통해 선택한 DNS 쿼리를 전송할 수 있으므로 악의적인 사용자가 네트워크의 내부 구성에 대해 알 수 없습니다. 예를 들어 회사 서버에 바인딩된 DNS 쿼리는 터널 인터페이스를 통과하여 인증 및 암호화와 같은 보안 기능을 사용할 수 있습니다.

동적 DNS(Domain Name System) 클라이언트

동적 DNS(DDNS)를 사용하면 클라이언트가 등록된 도메인 이름의 IP 주소를 동적으로 업데이트할 수 있습니다. 이 기능은 ISP가 PPP(Point-to-Point Protocol), DHCP(Dynamic Host Configuration Protocol) 또는 XAuth(External Authentication)를 사용하여 웹 서버를 보호하는 CPE(Customer Premises Equipment) 라우터(예: 보안 디바이스)의 IP 주소를 동적으로 변경할 때 유용합니다. 인터넷 클라이언트는 보안 장치의 IP 주소가 이전에 동적으로 변경된 경우에도 도메인 이름을 사용하여 웹 서버에 연결할 수 있습니다.

DDNS 서버는 동적으로 변경된 주소 및 관련 도메인 이름 목록을 유지 관리합니다. 디바이스는 주기적으로 또는 IP 주소 변경에 대한 응답으로 이 정보로 이러한 DDNS 서버를 업데이트합니다. Junos OS DDNS 클라이언트는 dyndns.org 및 ddo.jp 와 같은 널리 사용되는 DDNS 서버를 지원합니다

그림 2 은(는) DDNS 클라이언트의 작동 방식을 보여줍니다.

그림 2: 동적 DNS 동적 DNS

내부 웹 서버의 IP 주소는 NAT(Network Address Translation)에 의해 디바이스의 신뢰할 수 없는 영역 인터페이스의 IP 주소로 변환됩니다. 호스트 이름 abc-host.com DDNS 서버에 등록되고 디바이스의 신뢰할 수 없는 영역 인터페이스의 IP 주소와 연결되며, 이는 디바이스의 DDNS 클라이언트에 의해 모니터링됩니다. abc-host.com 의 IP 주소가 변경되면 DDNS 서버에 새 주소가 통보됩니다.

그림 2 표시된 네트워크의 클라이언트가 abc-host.com 액세스해야 하는 경우 클라이언트는 인터넷에서 DNS 서버를 쿼리합니다. 쿼리가 DDNS 서버에 도달하면 요청을 해결하고 클라이언트에 최신 IP 주소 abc-host.com 를 제공합니다.

관련 항목