Azure Firewall podrobnosti o proxy serveru DNS
Můžete nakonfigurovat Azure Firewall tak, aby fungovaly jako proxy server DNS. Proxy server DNS je zprostředkovatel požadavků DNS z klientských virtuálních počítačů na server DNS.
Následující informace popisují některé podrobnosti o implementaci Azure Firewall proxy serveru DNS.
Plně kvalifikované názvy domén s více záznamy A
Azure Firewall funguje jako standardní klient DNS. Pokud je v odpovědi více záznamů A, brána firewall uloží všechny záznamy do mezipaměti. Pokud pro každou odpověď existuje jeden záznam, brána firewall ukládá jenom jeden záznam. Neexistuje způsob, jak by klient předem věděl, jestli má v odpovědích očekávat jeden nebo více záznamů A.
Hodnota TTL (Time to Live) plně kvalifikovaného názvu domény
Když brzy vyprší platnost hodnoty TTL (Time to Live) plně kvalifikovaného názvu domény, záznamy se ukládají do mezipaměti a jejich platnost vyprší podle jejich hodnot TTL. Předběžné načítání se nepoužívá, takže brána firewall před vypršením platnosti hodnoty TTL neprovádí vyhledávání za účelem aktualizace záznamu.
Klienti nejsou nakonfigurovaní tak, aby používali proxy server DNS brány firewall
Pokud je klientský počítač nakonfigurovaný tak, aby používal server DNS, který není proxy serverEM DNS brány firewall, můžou být výsledky nepředvídatelné.
Předpokládejme například, že úloha klienta je v oblasti USA – východ a používá primární server DNS hostovaný v oblasti USA – východ. Azure Firewall nastavení serveru DNS jsou nakonfigurovaná pro sekundární server DNS hostovaný v oblasti USA – západ. Výsledkem serveru DNS brány firewall hostovaného v oblasti USA – západ je jiná odpověď než odpověď klienta v oblasti USA – východ.
Jedná se o běžný scénář a důvod, proč by klienti měli používat funkci proxy serveru DNS brány firewall. Pokud v pravidlech sítě používáte plně kvalifikované názvy domén, klienti by měli jako překladač používat bránu firewall. Můžete zajistit konzistenci překladu IP adres ze strany klientů a samotné brány firewall.
Pokud je v tomto příkladu nakonfigurovaný plně kvalifikovaný název domény v pravidlech sítě, brána firewall přeloží plně kvalifikovaný název domény na IP1 (IP adresu 1) a aktualizuje pravidla sítě tak, aby umožňovala přístup k IP1. Pokud klient přeloží stejný plně kvalifikovaný název domény na IP2 kvůli rozdílu v odpovědi DNS, jeho pokus o připojení nebude odpovídat pravidlům brány firewall a bude zamítnut.
V případě plně kvalifikovaných názvů domén HTTP/S v pravidlech aplikací brána firewall analyzuje plně kvalifikovaný název domény z hlavičky hostitele nebo SNI, přeloží ho a pak se k této IP adrese připojí. Cílová IP adresa, ke které se klient pokoušel připojit, se ignoruje.