新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

DNSファイアウォール&ロードバランサー

エンタープライズDNSトラフィックを高速化し、悪意のあるクエリをブロック — 単一レイヤーで。

DNSはすべての現代アプリケーションが始まる場所です。すべてのセッション、API呼び出し、リモート接続はDNSクエリで始まります — しかしほとんどの企業ではDNSレイヤーは依然として単一サーバー、監視されておらず、外部に直接晒されています。 TR7 DNSファイアウォールおよびロードバランサーは、パフォーマンスとセキュリティの両軸でこのギャップを埋めます: DNSクエリはインテリジェントなアルゴリズムで複数のバックエンドリゾルバーに分散され、異常なサーバーはアクティブヘルスチェックで数秒以内にローテーションから外され、頻繁にリクエストされるレコードはクライアント近傍にキャッシュされ、現代的なDoT / DoH / DoQトランスポートはゲートウェイで終端されます。同じレイヤーがDNSファイアウォールルールを適用します — 悪意のあるクエリのブロック、ドメイン生成アルゴリズム(DGA)パターンの検出、DNS漏洩および増幅攻撃の緩和、地理、IP、レートベースのポリシーを単一のルールエンジンから適用します。 TR7プラットフォームアーキテクチャでは、このレイヤーは2つのアイデンティティを同時に持ちます: TR7 ADCのロードバランシング哲学をDNSプロトコルに拡張し、TR7 WAAPのセキュリティポリシーアプローチをDNSフローに拡げます。

5
DNSワークロード向けに調整されたロードバランシングアルゴリズム
3
終端される現代的DNSトランスポート — DoT、DoH、DoQ
11+
ファイアウォールアクションタイプ — ブロック、ドロップ、拒否、スプーフ、ルート、タグなど

DNSは企業で最も見落とされているセキュリティおよびパフォーマンスレイヤーです。

多くの組織はHTTPロードバランシング戦略を何年もかけて調整し、Webトラフィック向けに深いWAAP保護を構築する一方で、DNSインフラを静的IPを持つ単一の再帰サーバーとして扱います。その単一サーバーはパフォーマンスのボトルネックと高価値の攻撃ターゲットの両方になります。

パフォーマンス面では、遅いDNSレイヤーはすべてのユーザー向けトランザクションにレイテンシを押し込みます。適切なロードバランシングなしでは、飽和したリゾルバーがすべての下流ルックアップを遅延させます — また従来のエニーキャストベースのDNSクラスタは、オンプレ制御が必要なプライベートデータセンターでは管理が困難です。

セキュリティ面では、攻撃者はDNSが調査されることはほとんどないと知っています。DNSトンネリングツールは無害そうなTXTレコードを通じて何ギガバイトものデータを抽出し、DGA駆動のマルウェアはコマンド&コントロールを探して何千もランダム生成されたドメインに到達し、DNS増幅キャンペーンはオープンリゾルバーを反射ベクトルとして悪用し、ゲストネットワーク上のスタブクライアントは好きな上流リゾルバーにクエリを送り、組織が設けた他のすべてのセキュリティコントロールをバイパスします。

TR7 DNSファイアウォールおよびロードバランサーはDNSをファーストクラスのアプリケーションプロトコルとして扱い、HTTPサービスがすでに受けているのと同じロードバランシング、ヘルス管理、キャッシング、セキュリティポリシー適用に値するものとします。

当社のアプローチ

TR7はDNSをファーストクラスのアプリケーションプロトコルとして扱います: クエリはADC側から完全なロードバランシングとヘルス認識配信を受け、WAAP側からのポリシーエンジンを通過します — 同じゲートウェイを離れることなく。

DNSバックエンド全体のインテリジェントロードバランシング

複数のアルゴリズム — ラウンドロビン、最小未処理、コンシステントハッシュ、重み付きランダム、重み付きハッシュ — がDNSクエリをリゾルバーまたは権威プール全体に分散します。各アルゴリズムはワークロードに合わせます: 対称プールにはラウンドロビン、バックエンド応答時間が変動する場合は最小未処理、キャッシュアフィニティシナリオにはコンシステントハッシュ。

アクティブヘルスモニタリングがDNS経路を健全に保つ

構成可能なヘルスチェックがDNSバックエンドを継続的にプローブします — UDPクエリチェック、TCPクエリチェック、カスタム名前解決チェック。異常なサーバーは数秒以内にローテーションから外され、回復すると自動的に復帰します。TR7の他の部分がHTTPプールに使用するのと同じヘルスモデルがDNSプールに適用されます。

DNSファイアウォールルールがすべてのクエリにセキュリティポリシーを適用

クエリ名、クエリタイプ、ソースIP、EDNSオプション、正規表現、およびこれらの組み合わせに対するルールごとのマッチング。アクションにはブロック、ドロップ、拒否、切り詰め、制御された回答のスプーフ、別プールへのルーティング、下流調査用のクエリタグ付けが含まれます。ポリシーはクエリがバックエンドに送信される前に評価されます。

DNSレベルのレート制限と動的ブロック

レート制限はソースIPごと、クエリ名ごと、クエリタイプごと、または複合次元ごとに適用できます。動的ブロックは、トラフィックパターンが運用者定義の閾値を超えると自動的に有効化されます — NXDOMAINクエリでゲートウェイをフラッディングする単一ソースは運用者介入なしにスロットルまたは一時的にブロックされます。

機能

TR7 DNSファイアウォールおよびロードバランサーは、完全なTR7トラフィック管理哲学 — ロードバランシング、ヘルスチェック、キャッシング、ポリシー、可観測性 — をDNSプロトコルに持ち込みます。

DNSワークロード向けに調整された5つのロードバランシングアルゴリズム

均一プール向けのラウンドロビン、応答時間が変動するバックエンド向けの最小未処理、同じクエリが同じバックエンドに届くべきキャッシュアフィニティシナリオ向けのコンシステントハッシュと重み付きハッシュ、段階的なトラフィックシフト向けの重み付きランダム。各vServiceは独自のアルゴリズムを選びます。アルゴリズムは再起動なしにライブで変更できます。

サーバープールが異なるクエリカテゴリを異なるバックエンドにルーティング

内部企業ドメインは1つのプールで解決し、パブリックドメインは別のプール、パートナーゾーンは3つ目のプールで解決できます。プールごとのルーティングルールは、QNameパターン、ソースIP範囲、またはマッチしたポリシータグに基づいてクエリを向けます。同じゲートウェイが複数のDNSアーキテクチャをクリーンに提供します。

複数のプローブタイプによるアクティブヘルスチェック

TCPおよびUDP DNSクエリプローブ、カスタム名前解決プローブ、タイミングベースの応答チェックがバックエンドヘルスを継続的に検証します。閾値パラメータは、何回失敗したチェックでバックエンドが削除されるか、何回成功したチェックで復活するかを定義します。遅いバックエンドは応答していても削除でき — ユーザーに見えるレイテンシを防ぎます。

パケットキャッシュがバックエンド負荷を低減し応答を高速化

頻繁にリクエストされるレコードはTTL認識無効化を伴いゲートウェイにキャッシュされます。キャッシュは該当する場合DNSSECを尊重し、機密ゾーンに対して選択的にバイパスできます。キャッシュヒット率はリアルタイムメトリックに公開され、運用者はゲートウェイが吸収する負荷量を正確に確認できます。

QName、QType、ソースIP、EDNSにわたるルールごとのマッチング

ファイアウォールルールは、クエリ名(完全、サフィックス、正規表現)、クエリタイプ(A、AAAA、TXT、MX、ANY等)、ソースIP、EDNSクライアントサブネット、EDNSオプション、リクエストフラグの任意の組み合わせでマッチします。条件はAND/OR論理で結合できます。ルールは運用者定義の順序で評価され、明示的な許可/拒否セマンティクスがあります。

ブロック、ドロップ、拒否、切り詰め、スプーフ、ルートをカバーするアクションセット

ブロックは制御されたエラーを返し、ドロップは静かに破棄し、拒否はREFUSEDを返し、切り詰めはTCPフォールバックを強制し(増幅に有効)、スプーフは制御された回答を返し(NXDOMAINでブロック、シンクホールへリダイレクト、安全な代替を返す)、ルートはクエリを別プールに送信します。タグアクションは応答を変更せずに下流調査用にクエリをマークします。

DGAおよびDNSトンネリング検出

パターンベースおよび統計的検出が、アルゴリズム生成ドメインに対するクエリ(DGAマルウェアC2)、DNSベースのデータ漏洩に特徴的な異常なTXT/CNAMEペイロードを識別します。検出されたクエリは、ポリシーに応じてブロック、シンクホール、または分析担当者レビュー用にログのみとできます。

ゲートウェイでの増幅攻撃緩和

DNS増幅攻撃はオープンリゾルバーを悪用してターゲットを反射トラフィックでフラッディングします。TR7はANYクエリ、大きな応答パターン、ソーススプーフィング指標を検出し、反射がワイヤーに届く前にレスポンスレート制限とソース検証アクションを適用します。ゲートウェイは決して増幅ベクトルになりません。

地理、ASN、アクセス制御ポリシー

クエリはソース国、ASN、IP範囲、または時間ウィンドウで評価できます。ブロックリスト、許可リスト、条件付きアクションポリシーは、TR7 WAAPのHTTPレイヤーと同じ方法でDNSレイヤーに適用されます — 同じポリシーエディタ、同じ適用モデルを使用します。

現代的なDNSトランスポートサポート — DoT、DoH、DoQ

TLS上のDNS(DoT、RFC 7858)、HTTPS上のDNS(DoH、RFC 8484)、QUIC上のDNS(DoQ、RFC 9250)がゲートウェイで終端されます。証明書管理はHTTPサービスと同じTR7証明書ストアを使用します。現代的なスタブリゾルバーやブラウザDoHクライアントがネイティブに接続します。

EDNSクライアントサブネット(ECS)処理

下流リゾルバーから渡されたECS情報は尊重、上書き、プライバシー保護プレフィックスにマスク、または完全に削除できます。動作はポリシーごとで、一部のフローではプライバシーコンプライアンスを許可しつつ、他のフローでは地理的精度を保ちます。

構造化ロギングとリアルタイムメトリック

すべてのクエリ、判断、アクションはSIEM互換のフォーマットで構造化ログストリームに書き込まれます。リアルタイムメトリックはクエリ率、応答時間、キャッシュヒット率、バックエンドヘルス、ルールマッチ数を公開します。運用者はTR7がHTTP向けに提供するのと同じ可観測性の深さでDNSトラフィックを確認します。

運用の深さ

DNSファイアウォールおよびロードバランサーは、ルール順序、プールトポロジー、キャッシュ調整、トランスポートプロトコル選択、監査保持と共に運用されます。

01

ルール評価順序と明示的セマンティクス

ファイアウォールルールはデフォルトでトップダウンで最初のマッチが勝ちで評価されます。ルールごとのタグにより、下流ルールが以前のマッチに基づいて異なる動作をできます。チェーン上部の明示的な許可ルールは、汎用ブロックルールが適用される前に既知の良好トラフィックをピン留めし、本番環境での誤検知を排除します。

02

プールトポロジーとプール選択

バックエンドプールは目的別にリゾルバーをグループ化します: 企業内部、パブリック再帰、パートナーゾーン、シンクホールプール。プールごとのルーティングルールは、QName、ソースIP、またはマッチしたタグに基づいてクエリを向けます。プールフェイルオーバー閾値により、単一の異常バックエンドがすべてのトラフィックを吸収することを防ぎます。

03

パケットキャッシュ調整

キャッシュサイズ、TTL動作、ECS認識キャッシング、機密ゾーンの選択的バイパスはすべて運用者制御です。ネガティブ応答キャッシング(NXDOMAIN、NODATA)は、DGA感染ネットワークに典型的な高NX率ワークロードでバックエンド負荷を低減します。

04

トランスポートプロトコル選択

プレーンUDP/TCP DNS、DoT、DoH、DoQはvServiceリスナーごとに有効化できます。現代的なクライアントは優先トランスポートをネゴシエートし、古いクライアントはUDPにフォールバックします。証明書および暗号ポリシーは中央TR7 TLSプロファイルプールと整合します。

05

監査保持とSIEMストリーミング

クエリごとの監査レコードはコンプライアンスウィンドウのために保持できます。大量環境ではサンプリングを適用できます。構造化JSONログはSIEMに直接ストリームされます。運用者はプールごとに完全保持、サンプル保持、イベントのみ保持を選択します。

06

高可用性動作

DNSセッションはプロトコルレベルでステートレスなため、アクティブノード間のフェイルオーバーはほとんどのクエリで透過的です。TCP DNSセッションと長いDoH接続はHAペア間で調整され、中断を最小化します。ヘルスチェック状態とキャッシュ状態はノードごとに独立して管理されます。

使用場面

企業内部DNSの堅牢化

内部ネットワークを提供する企業リゾルバーはレート制限、クエリフィルタリング、監査ロギング、高可用性を獲得します。エンドポイントはもはや任意の外部リゾルバーにクエリを送れず、DGA感染ホストはゲートウェイで検出およびブロックされます。

公開向け再帰リゾルバーの保護

公開DNSサービスを運用する組織 — ISP、ホスティングプロバイダー、公共部門ポータル — はゲートウェイで増幅攻撃を終端します。レート制限、ソース検証、応答パターンチェックにより、リゾルバーが反射ベクトルとして悪用されることを防ぎます。

DNSベースのデータ漏洩防止

ヘルスケア、金融、政府ネットワークは、TXTレコードベースの漏洩およびトンネリング技術の検出層を追加します。疑わしいフローはシンクホール化されるか、分析担当者レビュー用に完全なセッションコンテキストと共に記録されます。

TR7 GTM向けの権威DNS第一防御線

TR7 GTMがマルチ地域アプリケーション用に権威DNSを提供する場合、DNSファイアウォールおよびロードバランサーはGTMの前面にレート制限、キャッシング、ファイアウォールレイヤーとして配置されます。GTMはルーティングインテリジェンスに集中し、ゲートウェイは敵対的トラフィックを吸収します。

よくある質問

これはTR7 GTMと同じものですか?
いいえ。TR7 GTMは権威DNSサービスです — そこにゾーンをホストし、インテリジェントなルーティングロジックで自身のドメインに関するクエリに応答します。TR7 DNSファイアウォールおよびロードバランサーはDNSバックエンド(再帰リゾルバー、権威サーバー、TR7 GTM自体のいずれか)の前面に立つプロキシおよびセキュリティゲートウェイで、ロードバランシング、キャッシング、ファイアウォールルール、レート制限、現代的トランスポートサポートを追加します。両者は相互補完します: GTMが権威ルーティングインテリジェンスを提供し、DNSファイアウォールおよびロードバランサーがDNSレイヤーの配信と保護を提供します。
どのDNSトランスポートがサポートされますか?
UDPおよびTCP上のプレーンDNS(RFC 1035)、TLS上のDNS(DoT、RFC 7858)、HTTPS上のDNS(DoH、RFC 8484)、QUIC上のDNS(DoQ、RFC 9250)。TLSベースのトランスポートの証明書管理はHTTPサービスと同じTR7証明書ストアを使用します。現代的なスタブリゾルバーやブラウザ側DoHクライアントがネイティブに接続します。
DGAマルウェアからどう保護しますか?
ドメイン生成アルゴリズムは何千ものランダムに見えるドメイン名を生成し、マルウェアがコマンド&コントロールインフラを見つけられるようにします。パターンベースおよび統計的検出がこれらのクエリを識別します — 短いランダムラベル、異常な文字分布、単一ソースからの高いNXDOMAIN率。検出されたクエリは、ポリシーに応じてブロック、制御されたホストへのシンクホール、または分析担当者レビュー用にログのみとされます。
ゲートウェイ自体が増幅ベクトルになりませんか?
いいえ。ゲートウェイは大きな応答が反射される前にレスポンスレート制限(ソースIPごと、クエリ名ごと)、ソース検証、ANYクエリスロットリング、既知の悪意のあるソースのブロックを適用します。運用者はまた、最小応答サイズポリシーを強制し、歴史的に増幅パターンを示すクエリにTCPを要求できます。ゲートウェイは増幅試行を吸収するよう設計されており、増幅しません。
DNSSEC署名済み応答をキャッシュできますか?
はい。パケットキャッシュはDNSSEC認識でRRSIG TTLを尊重します。運用者は、フレッシュネスがパフォーマンスより重要なゾーンに対してキャッシュを選択的にバイパスし、典型的なワークロードでは大量クエリの大部分を依然としてキャッシュできます。
TR7 ADCおよびTR7 WAAPと並行してどう動作しますか?
ADCおよびWAAPが使用するのと同じvServiceモデル、同じバックエンドプール定義、同じヘルスチェックインフラ、同じポリシーエディタを使用します。構成はプラットフォーム全体で一貫しており、運用者は別のDNS固有ツールを学ぶ必要はありません。機能として、ADC(配信側: ロードバランシング、キャッシング、現代的トランスポート)とWAAP(セキュリティ側: ファイアウォールルール、レート制限、増幅緩和)の両方によって認識されます。

DNSをHTTPトラフィックと同じ配信および保護レイヤーの下に置く

インテリジェントなロードバランシング、アクティブヘルスチェック、現代的トランスポート、完全なファイアウォールルールエンジン — すべて1つのゲートウェイで。お客様のDNSインフラ上でライブセットアップをご案内します。