إعدادات DNS لجدار حماية Azure Firewall

يمكنك تكوين خادم DNS مخصص وتمكين وكيل DNS لـ Azure Firewall. تكوين هذه الإعدادات عند نشر جدار الحماية أو تكوينه لاحقاً من صفحة إعدادات DNS. بشكل افتراضي، إن Azure Firewall يستخدم Azure DNS ويتم تعطيل وكيل DNS.

خوادم DNS

يحافظ خادم DNS على أسماء المجالات ويحلها لعناوين IP. بشكل افتراضي، إن Azure Firewall يستخدم Azure DNS لتحليل الاسم. يتيح لك إعداد خادم DNS تكوين خوادم DNS الخاصة بك لتحليل اسم جدار حماية Azure. يمكنك تكوين خادم واحد أو عدة خوادم. إذا قمت بتكوين عدة خوادم DNS، فسيتم اختيار الخادم المستخدم بشكل عشوائي. يمكنك تكوين 15 خادم DNS كحد أقصى في DNS المخصص.

إشعار

بالنسبة لمثيلات Azure Firewall التي تتم إدارتها باستخدام Azure Firewall Manager، يتم تكوين إعدادات DNS في نهج Azure Firewall المرتبط.

التكوين الخاص بخوادم DNS المخصصة

بوابة

1. ضمن إعدادات Azure Firewall، حدد DNS Settings.
2. ضمن خوادم DNS، يمكنك كتابة أو إضافة خوادم DNS الموجودة التي تم تحديدها مسبقا في شبكتك الظاهرية.
3. حدد تطبيق.

يقوم جدار الحماية الآن بتوجيه حركة مرور DNS إلى خوادم DNS المحددة لتحليل الاسم.

المبادره القطريه

يقوم المثال التالي بتحديث Azure Firewall بخوادم DNS المخصصة باستخدام Azure CLI.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

هام

يتطلب الأمر az network firewallتثبيت ملحق Azure CLIazure-firewall. يمكنك تثبيته باستخدام الأمر az extension add --name azure-firewall.

بوويرشيل

يقوم المثال التالي بتحديث Azure Firewall بخوادم DNS المخصصة باستخدام Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

وكيل نظام أسماء المجالات (DNS)

يمكنك تكوين Azure Firewall ليعمل كوكيل DNS. وكيل DNS هو وسيط لطلبات DNS من الأجهزة الظاهرية للعميل إلى خادم DNS.

إذا كنت ترغب في تمكين FQDN (اسم المجال المؤهل بالكامل) في قواعد الشبكة، فقم بتمكين وكيل DNS وتحديث تكوين الجهاز الظاهري لاستخدام جدار الحماية كوكيل DNS.

إذا قمت بتمكين تصفية FQDN في قواعد الشبكة، ولم تقم بتكوين الأجهزة الظاهرية للعميل لاستخدام جدار الحماية كوكيل DNS، فقد تنتقل طلبات DNS من هؤلاء العملاء إلى خادم DNS في وقت مختلف أو تُرجع استجابة مختلفة مقارنةً بجدار الحماية. يوصى بتكوين الأجهزة الظاهرية للعميل لاستخدام جدار حماية Azure كوكيل DNS الخاص بهم. يؤدي هذا إلى وضع جدار حماية Azure في مسار طلبات العميل لتجنب عدم التناسق.

عندما يكون Azure Firewall هو وكيل DNS، فمن الممكن وجود نوعين من وظائف التخزين المؤقت:

• ذاكرة تخزين مؤقت إيجابية: حل DNS ناجح. يخزن جدار الحماية هذه الاستجابات مؤقتًا وفقًا لـTTL (وقت البقاء) في الاستجابة حتى ساعة واحدة كحد أقصى.

• ذاكرة التخزين المؤقت السلبية: ينتج عن حل نظام أسماء النطاقات عدم استجابة أو عدم حل. يخزن جدار الحماية هذه الاستجابات مؤقتًا وفقًا لـTTL في الاستجابة، بحد أقصى 30 دقيقة.

يقوم وكيل DNS بتخزين جميع عناوين IP التي تم حلها من FQDNs في قواعد الشبكة. كممارسة أفضل، استخدم FQDNs التي تحل إلى عنوان IP واحد.

توريث النهج

إعدادات DNS الخاصة بالنهج المطبقة على جدار حماية مستقل تتجاوز إعدادات DNS لجدار الحماية المستقل. يرث النهج التابع جميع إعدادات DNS الخاصة بالنهج الأصل، ولكنه قد يتجاوز النهج الأصلي.

على سبيل المثال، لاستخدام FQDNs في قاعدة الشبكة، يجب تمكين وكيل DNS. ولكن إذا كانت النهج الرئيسي لا يشتمل على وكيل DNS ممكّناً، فلن يدعم النهج الفرعي FQDNs في قواعد الشبكة إلا إذا تجاوزت هذا الإعداد محلياً.

تكوين وكيل DNS

يتطلب تكوين وكيل DNS ثلاث خطوات:

1. تمكين وكيل DNS في إعدادات Azure Firewall DNS.
2. اختيارياً، قم بتكوين خادم DNS المخصص أو استخدم الافتراضي المقدم.
3. تكوين عنوان IP الخاص بـ Azure Firewall كعنوان DNS مخصص في إعدادات خادم DNS للشبكة الظاهرية. يضمن هذا الإعداد توجيه حركة مرور DNS إلى Azure Firewall.

بوابة

لتكوين وكيل DNS، يجب عليك تكوين إعداد خوادم DNS للشبكة الظاهرية لاستخدام عنوان IP الخاص بجدار الحماية. ثم قم بتمكين وكيل DNS في إعدادات Azure Firewall DNS.

تكوين خوادم DNS للشبكة الظاهرية

1. حدد الشبكة الظاهرية حيث يتم توجيه حركة مرور DNS من خلال مثيل Azure Firewall.
2. ضمن Settings، اختر DNS servers.
3. ضمن DNS servers، اختر Custom.
4. أدخل عنوان IP الخاص بجدار الحماية.
5. حدد حفظ.
6. أعد تشغيل الأجهزة الظاهرية المتصلة بالشبكة الظاهرية حتى يتم تعيين إعدادات خادم DNS الجديد لهم. تستمر الأجهزة الظاهرية في استخدام إعدادات DNS الحالية الخاصة بها حتى تتم إعادة تشغيلها.

قم بتمكين وكيل DNS

1. حدد مثيل Azure Firewall الخاص بك.
2. ضمن Settings، حدد DNS settings.
3. افتراضياً، يتم تعطيل وكيل DNS. عند تمكين هذا الإعداد، يستمع جدار الحماية إلى المنفذ 53 ويعيد توجيه طلبات DNS إلى خوادم DNS التي تم تكوينها.
4. راجع تكوين خوادم DNS للتأكد من أن الإعدادات مناسبة لبيئتك.
5. حدد حفظ.

المبادره القطريه

يمكنك استخدام Azure CLI لتكوين إعدادات وكيل DNS في Azure Firewall. يمكنك أيضاً استخدامه لتحديث الشبكات الظاهرية لاستخدام Azure Firewall كخادم DNS.

تكوين خوادم DNS للشبكة الظاهرية

يقوم المثال التالي بتكوين الشبكة الظاهرية لاستخدام جدار حماية Azure كخادم DNS.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>

قم بتمكين وكيل DNS

يقوم المثال التالي بتمكين ميزة وكيل DNS في Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

بوويرشيل

يمكنك استخدام Azure PowerShell لتكوين إعدادات وكيل DNS في Azure Firewall. يمكنك أيضاً استخدامه لتحديث الشبكات الظاهرية لاستخدام Azure Firewall كخادم DNS.

تكوين خوادم DNS للشبكة الظاهرية

يقوم المثال التالي بتكوين الشبكة الظاهرية لاستخدام Azure Firewall كخادم DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork

قم بتمكين وكيل DNS

يقوم المثال التالي بتمكين ميزة وكيل DNS في Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

قابلية وصول عالية - تجاوز الفشل

يحتوي وكيل DNS على آلية تجاوز الفشل التي تتوقف عن استخدام خادم غير صحي تم اكتشافه وتستخدم خادم DNS آخر متوفر.

إذا كانت جميع خوادم DNS غير متوفرة، فلا توجد أي نسخة احتياطية لخادم DNS آخر.

فحوصات صحية

ينفذ وكيل DNS حلقات التحقق من الصحة لمدة خمس ثوانٍ طالما أن خوادم المصدر تشير إلى أنها غير صحية. عمليات التحقق من الصحة هي استعلام DNS متكرر إلى خادم اسم الجذر. بمجرد اعتبار خادم المصدر سليمًا، يوقف جدار الحماية عمليات التحقق من الصحة حتى الخطأ التالي. عندما يقوم وكيل سليم بإرجاع خطأ، يحدد جدار الحماية خادم DNS آخر في القائمة.

الخطوات التالية

• تفاصيل وكيل DNS الخاص بـ Azure Firewall
• تصفية FQDN في قواعد الشبكة