DMZ上のプロキシサーバの名前解決先

お返事が遅くなりましてすいません。丁寧なご回答ありがとうございます。 > これは一般的にはやらないと思います。 やはりそうですよね。ちょっと違和感があります。 > 質問者さんの要件を満たす構成は、 > 「プロキシサーバは、プロバイダDNSサーバ又は自社の外向けDNSサーバで名前解決を行う」 > ということになるように思います。 プロバイダDNSというのが無難な方法という気がしますね。外向けDNSは再帰問い合わせをさせないつもりなのです。 > この理由は何でしょうか？ > ファイアウォールやDNSキャッシュサーバ自体の武装化を適切に行えば、社内に置くのとセキュリティは変わらないと思います。 ファイアウォールとDNSの対策をきちんとやっていればDMZにキャッシュサーバを置いてもいいと考えていますが、今後新手のDNSキャッシュポイズニングの攻撃手法などに備え、ちょっと神経質になっております。 > プロキシサーバ自体にDNSキャッシュを持たせるのも一つの方法だと思います。 > キャッシュにヒットする場合はプロキシサーバ外に通信が出ないというメリットがあります。 なるほどそうですよね。そうすれば余計な通信が発生しないのでパフォーマンスの向上（名前解決時間）も見込めますよね。実はメールサーバのMXレコードの名前解決の問題もあり、そちらも同時に悩んでいるのでした。以前いた会社ではメールサーバにDNSキャッシュを持たせていました。 いろいろと考えを読ませていただいているうちに、 外向けDNS（いわゆるコンテンツサーバ）とは別に、「DMZ上のサーバのみが名前解決に利用できるDNSキャッシュサーバ」をDMZ上に用意できれば、多分それが一番いい落とし所のような気がしてきました。もちろんFWやDNSのセキュリティ対策をしっかりやることが前提です。 だいぶいくつかの方法のメリット・デメリット・リスクがまとまってきました。 ありがとうございます。もう少し整理して考えてみます。助かりました。