Podrobnosti o proxy serveru DNS služby Azure Firewall
Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatelem požadavků DNS z klientských virtuálních počítačů na server DNS.
Následující informace popisují některé podrobnosti implementace pro proxy DNS služby Azure Firewall.
Plně kvalifikované názvy domén s více záznamy A
Azure Firewall funguje jako standardní klient DNS. Pokud je v odpovědi více záznamů A, brána firewall uloží všechny záznamy v mezipaměti a nabídne je klientovi v odpovědi. Pokud existuje jeden záznam na odpověď, brána firewall ukládá jenom jeden záznam. Klient nemůže předem vědět, jestli by měl očekávat jeden nebo více záznamů A v odpovědích.
Hodnota TTL (FQDN Time to Live)
Pokud platnost hodnoty TTL plně kvalifikovaného názvu domény (time-to-live) brzy vyprší, záznamy se ukládají do mezipaměti a vyprší podle jejich TTLS. Předběžné načtení se nepoužívá, takže brána firewall před vypršením platnosti hodnoty TTL neaktualizuje záznam.
Klienti nenakonfigurovali pro použití proxy dns brány firewall
Pokud je klientský počítač nakonfigurovaný tak, aby používal server DNS, který není proxy dns brány firewall, může být výsledky nepředvídatelné.
Předpokládejme například, že úloha klienta je v oblasti USA – východ a používá primární server DNS hostovaný v oblasti USA – východ. Nastavení serveru DNS služby Azure Firewall jsou nakonfigurovaná pro sekundární server DNS hostovaný v oblasti USA – západ. Server DNS brány firewall hostovaný v oblasti USA – západ má za následek jinou odpověď než klient v oblasti USA – východ.
Jedná se o běžný scénář a proč by klienti měli používat funkci proxy serveru DNS brány firewall. Klienti by měli jako překladač použít bránu firewall, pokud v pravidlech sítě používáte plně kvalifikované názvy domén. Konzistenci překladu IP adres můžete zajistit klienty i samotnou bránou firewall.
Pokud je v tomto příkladu nakonfigurovaný plně kvalifikovaný název domény v pravidlech sítě, brána firewall přeloží plně kvalifikovaný název domény na IP1 (IP adresa 1) a aktualizuje pravidla sítě tak, aby umožňovala přístup k IP1. Pokud a když klient přeloží stejný plně kvalifikovaný název domény na IP2 kvůli rozdílu v odpovědi DNS, jeho pokus o připojení neodpovídá pravidlům v bráně firewall a je odepřen.
Pro plně kvalifikované názvy domén HTTP/S v pravidlech aplikace brána firewall parsuje plně kvalifikovaný název domény z hlavičky hostitele nebo SNI, přeloží ji a pak se k této IP adrese připojí. Cílová IP adresa, ke které se klient pokouší připojit, se ignoruje.