Firebox における DNSWatch DNS 設定の優先度

Firebox で DNSWatch 実施設定が有効化されている場合は、DNSWatch サーバーがこれらの DNS サーバーよりも優先されます。

  • Firebox で構成したネットワーク (グローバル) DNS サーバー
    ローカル DNS サーバーがネットワーク DNS サーバーのリストの一番最初に表示される場合、DNSWatch はそのサーバーより優先されません。
  • Firebox で構成したインターフェイス DNS サーバー
  • ISP によって割り当てられた DNS サーバー (Firebox が DHCP または PPPoE クライアントの場合)
  • ローカル DNS サーバー上に構成されたパブリック DNS サーバーへのフォワーダ
  • ネットワーク ホストで手動で構成された DNS サーバー

Firebox で構成した DNS サーバーの詳細については、次を参照してください:Firebox の DNS について

Firebox がネットワークから DNSWatch に DNS 要求を送信するかどうかは、以下の要素に関係します:

Firebox DNS リゾルバのキャッシュと条件付き DNS 転送ルールの詳細については、次を参照してください:DNS 転送について

DNSWatch の実施オプションについての詳細は、次を参照してください:Firebox で DNSWatch を有効化する

DNSWatch 構成例については、次を参照してください:Firebox での DNSWatch 構成の例

DNSWatch DNS サーバー

DNSWatch を有効にすると、2 つの DNSWatch の IP アドレスが Firebox の構成に追加されます。プライマリ DNSWatch サーバーが利用できない場合、Firebox はセカンダリ DNSWatch サーバーへの接続を試みます。

内部インターフェイスで DNSWatch 実施を有効にすると、Firebox はすべてのアウトバウンド DNS 要求をそのインターフェイスから DNSWatch DNS サーバーにリダイレクトします。

ネットワーク (グローバル) DNS サーバー

ネットワーク (グローバル) DNS サーバーは、Firebox 上のすべてのインターフェイスおよびローカル プロセスの既定のDNS サーバーです。Firebox は、リスト内の他のサーバーより先に、ネットワーク DNS サーバーリストの最初のサーバーに DNS 要求を送信します。

ネットワーク DNS サーバーリストにローカル DNS サーバーが含まれている場合、ローカル DNS サーバーはリストの一番最初に表示される必要があります。ローカル DNS サーバーがネットワーク DNS サーバーのリストの一番最初に表示される場合、DNSWatch はそのサーバーより優先されません。

DNSWatch が 実施が無効な状態で有効化された場合:

  • DNSWatch DNS サーバーは、Firebox によって開始された DNS 要求、または Firebox IP アドレス宛ての DNS 要求の Network DNS サーバーリストの DNS サーバーよりも優先されます。例外が 1 つあります。ローカル DNS サーバーがネットワーク DNS サーバーのリストの一番最初に表示される場合、DNSWatch はそのサーバーより優先されません。
  • Firebox IP アドレスや DNSWatch IP アドレス以外の IP アドレス宛ての DNS 要求は、DNSWatch には送信されません。
  • DNS 転送機能が無効になっている場合、Firebox によって開始された、または Firebox 宛ての DNS 要求は DNSWatch に送信されます。
  • DNS 転送機能が有効になっている場合、Firebox によって開始された、または Firebox 宛ての DNS 要求は Firebox キャッシュによって解決され、条件付き DNS 転送ルールで指定された DNS サーバー、または DNSWatch に送信されます (この順番で)。

DNSWatch が 実施が有効な状態で有効化された場合:

  • DNSWatch DNS サーバーは、Firebox 上のネットワーク DNS サーバーリストの DNS サーバーよりも優先されます。例外が 1 つあります。ローカル DNS サーバーがネットワーク DNS サーバーのリストの一番最初に表示される場合、DNSWatch はそのサーバーより優先されません。
  • DNS 転送機能が有効になっている場合、Firebox によって開始された、または Firebox で受信した DNS 要求は Firebox キャッシュによって解決され、条件付き DNS 転送ルールで指定された DNS サーバー、または DNSWatch に送信されます (この順番で)。

インターフェイス DNS サーバー

インターフェイスの DNS サーバーは、DHCP サーバーとしてインタ フェースを構成するときに指定できる任意の DNS サーバーです。

実施が無効な状態で DNSWatch を有効にし、インターフェイス DNS サーバーを指定した場合、DNS 要求は DNSWatch の代わりにインターフェイス DNS サーバーに送信されます。

実施が有効な状態で DNSWatch を有効にし、インターフェイス DNS サーバーを指定した場合:

  • DNSWatch DNS サーバーは、インターフェイス設定で指定された DNS サーバーよりも優先されます。
  • 外部リソースの DNS 要求は Firebox キャッシュによって解決され、条件付き DNS 転送ルールで指定された DNS サーバー、または DNSWatch に送信されます (この順番で)。

ISP から取得した DNS サーバー

Firebox が DHCP クライアントまたは PPPoE クライアントとして構成されている場合、Firebox は ISPから DNS サーバーを受け取ります。

DNSWatch が有効な場合:

  • DNSWatch DNS サーバーは、ISP のサーバーより優先されます。
  • Firebox は、ISP から DNS サーバーを取得し、情報を保存します。

ローカル DNS サーバーのフォワーダ

ローカル DNS サーバーは、プライベート ネットワーク上のホスト名のクエリを解決し、パブリックホスト名のクエリを解決する際は他の DNS サーバーに問い合わせます。DNS サーバーは、フォワーダとルート ヒントという 2 つの方法でパブリック ホスト名のクエリの解決を行います。

DNSWatch は、ルート ヒントと互換性がありません。Windows サーバーで、フォワーダおよびルート ヒントの両方が構成されていると、フォワーダが応答しない場合はルート ヒントが使用されます。DNSWatch で最良の結果を得るには、フォワーダ タブの 使用可能なフォワーダがない場合はルート ヒントを使用する オプションを解除することをお勧めします。

フォワーダが構成されているローカル DNS サーバーを使用している場合:

DNSWatch 実施が有効な場合

DNSWatch はローカル DNS サーバーで指定されたパブリック DNS フォワーダより優先されます。

Firebox は、実施を有効にするとポート 53 のトラフィックを監視するため、パブリック ドメインの DNS 要求は、ローカル DNS サーバー設定で指定されたパブリック フォワーダ宛ての要求であっても、DNSWatch に送信されます。

Windows DNS フォワーダのスクリーンショット

Windows Server 2016 で DNS フォワーダとして構成されたパブリック DNS サーバー

DNSWatch 実施が無効で、Firebox IP アドレスがローカル DNS サーバーでフォワーダとして指定されている場合

ローカル DNS サーバーに送信されたパブリック ドメインの DNS 要求は、DNSWatch に要求を転送する Firebox に転送されます。

Windows Server で構成された DNS フォワーダのスクリーンショット

Windows Server 2016 で DNS フォワーダとして構成された Firebox のスクリーンショット

ホストで手動で構成された DNS サーバー

ネットワーク上のホストは、DNS サーバー設定で手動で構成される場合があります。

DNSWatch 実施が有効な場合

DNSWatch は、ホスト上で手動で構成されたパブリック DNS サーバーより優先されます。

Firebox は、実施を有効にするとポート 53 のトラフィックを監視するため、パブリック ドメインの DNS 要求は、異なる DNS サーバー宛ての要求であっても、DNSWatch に送信されます。

DNSWatch 実施が無効で、ホストがパブリック DNS サーバーで構成されている場合

パブリック ドメイン宛ての DNS 要求は、ホスト設定で指定された DNS サーバーに送信されます。DNS 要求は DNSWatch にリダイレクトされません。

このホストを DNSWatch で保護するには、DNSWatch 実施を有効にしたくない場合、そのホスト上の手動で構成された DNS サーバーを Firebox IP アドレスまたは DNSWatch サーバーの IP アドレスに変更することをお勧めします。

DNSWatch 実施が無効で、Firebox IP アドレスがホスト設定で DNS サーバーとして設定されている場合

パブリック ドメインの DNS 要求は、DNSWatch に要求を転送する Firebox に転送されます。

関連情報:

WatchGuard DNSWatch について

Firebox での DNSWatch 構成の例

DNSWatch サービス ステータスを監視する

Firebox の DNS について

DNS 転送について

ネットワーク DNS および WINS サーバーを構成する

IPv4 DHCP サーバーを構成する