Websenseを使用してOpenDNS Umbrellaをインストールするためのベストプラクティスの理解
はじめに
このドキュメントでは、Websenseを使用してOpenDNS Umbrellaをインストールするためのベストプラクティスについて説明します。
概要
評価中(およびその後)にOpenDNSの可能性を最大限に引き出すには、すべての非内部DNSトラフィックがOpenDNSグローバルネットワークを指している必要があります。次の3つのWebsense環境が原因で、OpenDNSで一部のDNSトラフィックが欠落します。
-
オンプレミスプロキシは、Webサーバーによって開始されたDNS要求を解決しています(より一般的)
-
クラウドプロキシは、Webサーバによって開始されたDNS要求を解決しています(Webエンドポイントエージェントを使用するハイブリッド顧客が対象)
-
オンプレミスプロキシがクライアントの代わりにDNS要求を解決している(頻度は低い)
1)オンプレミスプロキシが、Webサーバーによって開始されたDNS要求を解決しています
-
Websense Content Gatewayは、明示的または透過的なプロキシモードで導入され、Webサーバとの接続が確立された後に開始されたDNS要求を、その設定に応じて解決できます。
-
これらのDNS要求がWebsenseの組み込みDNSプロキシキャッシングまたは別の再帰DNSサービスから解決される場合、OpenDNSはバイパスされます。
-
Websenseのサポート資料を参照してください。ご参考までに、Websenseが常にOpenDNSを使用して非内部DNS要求を解決するように設定されていることを確認してください。
Content Gateway Manager Help > DNS Resolver > DNS Variables > スプリットDNSオプションの使用
2)クラウドプロキシが、Webサーバによって開始されたDNS要求を解決している
-
残念ながら、Websenseでは、顧客がDNSサーバの設定を直接変更することはできません。
-
Websenseに対して、OpenDNSを指すように設定を手動で変更するように要求できるかどうかは不明です。
3)オンプレミスプロキシがクライアントに代わってDNS要求を解決している
-
これは、DNSプロキシキャッシングオプションが有効な場合に発生しますが、DNSプロキシキャッシングの設定はL4スイッチまたはCisco WCCPv2デバイスでのみ可能であり、一般的な環境ではありません。
-
DNSプロキシは、AおよびCNAME DNSエントリの要求にのみ応答します。その他のタイプの要求は応答されません。
-
ホスト名とIPアドレスのマッピングがDNSキャッシュにない場合、Content Gatewayは/etc/resolv.confファイルで指定されているDNSサーバに接続します。(注:resolv.confの最初のエントリのみが使用されます。これは、DNS要求が最初に意図されていたものと同じDNSサーバではない可能性があります)。
注:「Always Query Destination」オプションを使用すると、DNSルックアップの数が減り、Content Gatewayが明示的プロキシモードと透過的プロキシモードの両方で実行されていない場合は有効にできます。着信リクエストの元の宛先IPを常にARM(Adaptive Redirection Module)から取得するようにプロキシを設定します。 そして、要求のホスト名に対してDNSルックアップを実行する代わりに、そのIPを使用して発信元サーバを判別します。クライアントはすでにDNSルックアップを実行しているため、プロキシは実行する必要はありません。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
08-Oct-2025
|
初版 |
フィードバック