- 締切済み
DMZ上のプロキシサーバの名前解決先
ひとつ知恵を貸してください。現在ネットワーク構築構想として、社内からインターネットへのHTTPアクセスは、DMZ上のプロキシサーバを仲介して行おうと考えています。またDNSサーバはキャッシュサーバを社内ネットワークに、コンテンツサーバをDMZに置こうと考えています。セキュリティ的に「キャシュサーバはDMZに置かない」という考えです。 ここで疑問なのですが、DMZ上のプロキシサーバがインターネットにアクセスする場合、当然名前解決が必要ですが、「この名前解決をどこに投げるか」ということなのです。DMZ上にDNSキャッシュサーバを置かないということは、社内ネットワーク上のキャッシュサーバに名前解決を投げるしかないと思うのですが、それがこの環境での最適解なのでしょうか。どうも「DMZ⇒社内ネットワーク」に穴をあけるというのが、気持ち悪い気がするのですが。。。いろいろとネットでプロキシサーバの名前解決について事例を漁ってみたのですが、明解な結果が得られなくて困っています。 それとも「DMZにはDNSキャッシュサーバを置かない」というポリシーと、「HTTPアクセスはDMZのProxyを通して行う」というポリシーは相容れないのでしょうか? もし事例などをご存知の方がいましたら、ぜひ考えを聞かせていただきたく、質問させていただきました。よろしくおねがいいたします。
- sorenore
- お礼率50% (1/2)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
>社内ネットワーク上のキャッシュサーバに名前解決を投げるしかないと思うのですが、それがこの環境での最適解なのでしょうか。どうも「DMZ⇒社内ネットワーク」に穴をあけるというのが、気持ち悪い気がするのですが。。。 これは一般的にはやらないと思います。 >それとも「DMZにはDNSキャッシュサーバを置かない」というポリシーと、「HTTPアクセスはDMZのProxyを通して行う」というポリシーは相容れないのでしょうか? 「プロキシサーバの名前解決は必ずDNSキャッシュサーバに問い合わせる」という要件が無いのであれば、相反することでは無いと思います。 質問者さんの要件を満たす構成は、 「プロキシサーバは、プロバイダDNSサーバ又は自社の外向けDNSサーバで名前解決を行う」 ということになるように思います。 >セキュリティ的に「キャシュサーバはDMZに置かない」という考えです。 この理由は何でしょうか? ファイアウォールやDNSキャッシュサーバ自体の武装化を適切に行えば、社内に置くのとセキュリティは変わらないと思います。 あと、「DMZにはDNSキャッシュサーバを置かない」には反することになりますが、プロキシサーバ自体にDNSキャッシュを持たせるのも一つの方法だと思います。 キャッシュにヒットする場合はプロキシサーバ外に通信が出ないというメリットがあります。
関連するQ&A
- プロキシサーバとDNSサーバについて
初歩的な質問ですいません。 社内LANにDNSサーバとプロキシサーバがある場合について教えてください。社内端末からインターネットにいく場合、端末はプロキシサーバとDNSサーバのどちらに先にアクセスするのでしょうか。 プロキシサーバにアクセス後、DNサーバに解決に行くのでしょうか。それとも、DNSを利用してプロキシの名前解決をしてからプロキシサーバにアクセスするものなのでしょうか。
- ベストアンサー
- ハードウェア・サーバー
- プロキシ経由でインターネットアクセスする場合のDNSリゾルバは?
情報処理試験の問題でいまいち理解できないところがあったので教えてください。 前提 1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。 2.DMZにプロキシサーバとDNSサーバがある。 3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。 このとき、FQDNに対する名前解決をするリゾルバはどの装置か。 という問題で、回答はプロキシサーバとなっています。 ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。 この場合の処理は以下のようになっていると思います。 A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。 B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。 C.プロキシサーバはそのIPアドレスのホストにアクセスする。 プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。 DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 外向け(DMZ)・内向けの名前解決について
現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- DMZ内のサーバー間で
FireWallのDMZ内にLinuxサーバが数台あります。いわゆるNATでアドレス変換する形で設置しており、各Linuxはプライベートのアドレスを割り振っています。 サーバ間でtelnetなどする時はプライベートのIPアドレスでアクセスするのが普通でしょうが、動作させているプログラムの関係でグローバルの方でもアクセスできるようにしたい場合、どうやって解決するのが一般的でしょうか? 現在はグローバルIPでtelnetなどしますとサーバに届かずタイムアウトになります。 DMZ内にはDNSもありnslookupで逆引きはできますけれども結局戻ってくるアドレスはグローバルIPなのでやはりアクセスできません。
- 締切済み
- その他(インターネット接続・通信)
- プロキシサーバのDNS名前解決タイムアウトエラー
CentOSでプロキシサーバをsquid及びDNSサーバをBIND9で運用において、プロキシのeht0の設定がDNS1のみ(セカンダリなし)で、ネットサーフィンしているときにたまにDNSの名前解決がタイムアウト(セカンダリがあればセカンダリに問い合わせる)になって、止まってしまうのですが、プロキシの挙動はプライマリしかDNSがない場合には、タイムアウト時に再度問い合わせもしくは、端末にエラーを返すことしないのでしょうか? もしくはエラーを返す場合のsquidの設定は何を指定すればよいのでしょうか。
- ベストアンサー
- ネットワーク
- DMZサーバーは通常は物理サーバーなのでしょうか
ある業務用の社内サーバーがあり、社内からはWebブラウザで httpでアクセスできています。 このWebサーバーを社外からスマホやWEBブラウザでアクセス するためには、セキュリティーのために外部アクセス用の DMZサーバーとFirewallを用意する必要がある、と言われたの ですが、このような用途のDMZサーバーは、一般的にどのように 準備をするものでしょうか。 1)物理サーバーとして社内に立てる 2)仮想サーバーとして社内に立てる 3)ルーターを追加してDMZの機能を有効にする 4)AWSを使って外部に立てる また、上記のどれでも可能な場合、一番メンテナンスに手間が かからず費用も最小限なのはどのケースでしょうか。
- 締切済み
- ネットワーク
- Internet(サイト)の接続速度が遅い
初心者です。 お願いします。 現在、インターネットVPNにてネットワークを形成しています。ファイアウォールで内部セグメント、DMZに分かれている内で、DMZにwebサーバ、外部メール(DNSサーバ)、VPNルータ経由で内部に社内メールサーバ(プロキシサーバ)があります。 外部からインターネットアクセスするとどうもアクセス速度が遅いです。何か解決策がございますか? ご回答宜しくお願いします。 環境: プロキシサーバ:Redhat3.0 squid.conf編集済み 設定: squid.conf:http=8080 acl xx.xx.1.0 http_accses 上記を入力 INTERNETオプション: プロキシアドレス設定
- ベストアンサー
- その他([技術者向] コンピューター)
- プロキシについて教えてください。
とても初歩的な質問で申し訳ございません。 プロキシの導入要否について、悩んでおります。 よく、プロキシの解説文等に、 「セキュリティを高めるため。プロキシ・サーバーを経由してWebアクセスをすると,直接インターネット上のWebサーバーにアクセスするのはプロキシ・サーバーになる。つまり,Webサーバーから見ると,プロキシ・サーバーしか見えなくなり,社内にあるパソコンの姿は見えない。これはインターネットから社内のパソコンを隠すことになり,セキュリティの向上になる。」 というような表現がされるわけです。 これは、これで理解できるのですが、通常企業でインターネット接続を行う場合には、ルータを設置するわけで、ルータ上で通常はNATが掛けられて、プロキシと同様に、パソコンの姿は外部からは見えなくなると思いますが、どうでしょうか? (長年、ネットワークの仕事に携わってますが、ちょっと不安・・) また、プロキシを経由して外部にアクセスしたからといって、悪質なコードが埋め込まれたWebサイトに万が一アクセスしてしまった場合などは、html自体はProxyは経由するものの、PCのブラウザが解釈して表示する訳ですので、Proxyが入っているからこのような攻撃を防げるとは言えない・・という理解でよいでしょうか? よろしくお願いします。
- ベストアンサー
- ネットワーク
- LAN内に立てたWEBサーバーの名前解決
LAN内に立てたWEBサーバーの名前解決がある程度時間が経過すると失敗します。IPアドレスを直接入力するとアクセスできます。 名前解決はDNSを用い、 WEBサーバーはLinuxのApache、 DNSはLinux上でBIND、 クライアントはWindows7で、WEBサーバー、DNS、クライアントは同一ネットワークにあります。 アクセス出来ない状態でWindowsから nslookup ホスト名 と入力するとDNSサーバーからの答えとしてIPアドレスは返ってきますが ipconfig /displaydns を入力するとそのWEBサーバーは一覧に出てこなくなります。 そこで net stop dnscache net start dnscache とDNS Clientを再起動すると、ホスト名でアクセスできます。 BINDのレコードですがTTLは604800を指定しています。 DNS Clientをいちいち再起動すること無く、運用できないものでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- プロキシサーバとDNSキャッシュサーバの違いについて
プロキシサーバとDNSキャッシュサーバの違いについて教えてください。ブラウジングしたアドレスをキャッシュする以外にはどういう違いがあるのでしょうか?宜しくお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
補足
お返事が遅くなりましてすいません。丁寧なご回答ありがとうございます。 > これは一般的にはやらないと思います。 やはりそうですよね。ちょっと違和感があります。 > 質問者さんの要件を満たす構成は、 > 「プロキシサーバは、プロバイダDNSサーバ又は自社の外向けDNSサーバで名前解決を行う」 > ということになるように思います。 プロバイダDNSというのが無難な方法という気がしますね。外向けDNSは再帰問い合わせをさせないつもりなのです。 > この理由は何でしょうか? > ファイアウォールやDNSキャッシュサーバ自体の武装化を適切に行えば、社内に置くのとセキュリティは変わらないと思います。 ファイアウォールとDNSの対策をきちんとやっていればDMZにキャッシュサーバを置いてもいいと考えていますが、今後新手のDNSキャッシュポイズニングの攻撃手法などに備え、ちょっと神経質になっております。 > プロキシサーバ自体にDNSキャッシュを持たせるのも一つの方法だと思います。 > キャッシュにヒットする場合はプロキシサーバ外に通信が出ないというメリットがあります。 なるほどそうですよね。そうすれば余計な通信が発生しないのでパフォーマンスの向上(名前解決時間)も見込めますよね。実はメールサーバのMXレコードの名前解決の問題もあり、そちらも同時に悩んでいるのでした。以前いた会社ではメールサーバにDNSキャッシュを持たせていました。 いろいろと考えを読ませていただいているうちに、 外向けDNS(いわゆるコンテンツサーバ)とは別に、「DMZ上のサーバのみが名前解決に利用できるDNSキャッシュサーバ」をDMZ上に用意できれば、多分それが一番いい落とし所のような気がしてきました。もちろんFWやDNSのセキュリティ対策をしっかりやることが前提です。 だいぶいくつかの方法のメリット・デメリット・リスクがまとまってきました。 ありがとうございます。もう少し整理して考えてみます。助かりました。