最新のBIG‐IP GTMがご提供するDNS機能概要最新のBIG‐IP GTMがご提供するDNS機能概要DNS機能概要DNS機能概要

2

DNSサービスと広域負荷分散によるDNSサ ビスと広域負荷分散によるクラウド環境の負荷分散

シンプルで強固なクラウド環境のDNS環境管理:• DNSのクエリが確実に最適なデータセンタ若しくはクラウドへとルーティングされ

る環境を実現

© F5 Networks, Inc.

る環境を実現• クラウド環境におけるDNSのクエリの管理性とキャッシング機能の強化を実現• アプリケーションのレスポンス向上よりインフラの大幅な強化

3

DNSサービスによってご提供する価値

DDoS攻撃への対策10倍以上のスケーラビリティ、70%のコスト削減

DNS64などによるユーザー利便性とインフラの統合

DNSインフラの管理性向上

アクセス管理

利便性とインフラの統合

IPv6 to IPv4

セキュアなDNSクエリとレスポンス地理情報に基づくルーティング管理：ジオロケーション

IPv6 to IPv4 

© F5 Networks, Inc.

http://f5.com

4

アプリケーション可用性向上とDNSサービスアプリケ ション可用性向上とDNSサ ビス

BIG‐IP Global Traffic Manager (GTM)モジュールの機能概要

アプリケーションとデータの最適化

動的なデ タセンタ間の負荷分散• 動的なデータセンタ間の負荷分散• DNSとアプリケーションのヘルスモニタリング• ジオロケーション・ルーティング• 自動的なサイト間フェイルオーバー

IP 6/IP 4変換

Data Center 1

Data Center 2

• IPv6/IPv4変換• DNSスケーラビリティ強化• DNSキャッシングとリゾルビング

アプリケ シ ンとデ タのセキ リティ強化アプリケーションとデータのセキュリティ強化

• トランザクションの確実性向上• DNS iRulesによる利便性、柔軟性強化• リアルタイムなDNSSEC署名• リアルタイムなDNSSEC署名• DNSSEC Validation機能• DNSインフラを狙うDDoS攻撃対策• DNSファイアーウォール

© F5 Networks, Inc.

5

課題：DNSは攻撃に対して脆弱課題：DNSは攻撃に対して脆弱GTM DNS Firewall機能

D CData Center

DNS Servers www.company.com

LDNS

複数の攻撃 ポイズ ング• DNSへ複数の攻撃: DDoS, Cacheポイズニング, Man‐in‐the‐middle• アプリケーションはタイムアウト

• 顧客を喪失 および生産性の低下

© F5 Networks, Inc.

顧客を喪失、および生産性の低下

• 収益性とブランドイメージの損失

6

ソリューション：完全な DNSインフラの保護ソリュ ション：完全な DNS インフラの保護GTM DNS Firewall機能

Data Center

company comcompany.com

X QA i

LDNS

F5 DNS Firewall Services

• ハイパフォーマンスDNS –マルチコアGTM

• スケーラブルDNS ‐ DNS ExpressX

F5 DNS Firewall Services

• 複数デバイスを活用した負荷分散‐ IP Anycast

• Secure DNSクエリ ‐ DNSSEC

A

© F5 Networks, Inc.

• ルートベースで近いDCへ誘導 ‐ Geolocation

• Complete DNS control with – DNS iRules 

Qi

7

DNS ExpressによるSecurity対策DNS ExpressによるSecurity対策

GTM DNS Firewall機能DNS Server

極めて高性能なAuthoritative DNSサーバ

100万単位のレコードを管理

100万qps (query per second)を凌駕する応答性能100万qps (query per second)を凌駕する応答性能

メモリ上で稼働する “Authoritative DNS”

BindをPrimaryサーバとしセキュリティ対策

ManageDNS

RecordsOS

NIC AdminAuthRoles

D iAnswer

DNS Express in TMOS

DynamicDNSDHCP

DNSQuery

AnswerDNSQuery

AnswerDNSQuery

LDNSLDNS

© F5 Networks, Inc.

125k QPS

600k QPS

1.5Mil QPS

3Mil QPS

6MilQPS

2Mil QPS

8

DNS Securityによる対策DNS Security による対策GTM DNS Firewall機能

••• http://f5.com

Data Center

© F5 Networks, Inc.

9

DNSのトータルコントロール with DNS iRulesDNSのト タルコントロ ル with DNS iRulesGTM DNS Firewall機能

DNSトラフィックの検査と操作• DNSトラフィックの検査と操作

• DNSの保護と高パフォーマンスClient Side

Egress

• DNS iRulesを使用したサービス

• Custom Query loggingDNS filt i

Last Action

DNSX

• DNS filtering• Rate limiting• Query/Zone specific LB

GTM Build

DNSSEC Answer

GTM Rewrite

DNS_RESPONSE

• Honeypot Responses

• DNS iRules例: ブラックホール

DNSSEC Sign

Ingress

DNS_REQUEST

• 禁止されたFQDNへのDNSリクエストを横取りし、リクエストのログを記録するようなコンテンツをホストしているLTMのVirtual ServerのAレコードを返答する。

© F5 Networks, Inc.

10

DNS iRulesの動作例DNS iRulesの動作例

• ブロッキングページをデザイン

• ユーザがブラックリストサイトにアクセス時にブロックページにより通知

• 会社におけるインターネットアクセスの利用ポリシのリマインドも可能

の イパフ ンスによりす ての ク リ を処理• GTMのハイパフォーマンスによりすべてのDNSクエリーを処理

ブロックページの例：IE9, Firefox 8.0.1, Chrome and Safari on IOS5.0 (iPad2)

© F5 Networks, Inc.