Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Můžete nakonfigurovat vlastní server DNS a povolit proxy server DNS pro službu Azure Firewall. Tato nastavení nakonfigurujte při nasazení brány firewall nebo je nakonfigurujte později na stránce nastavení DNS. Azure Firewall ve výchozím nastavení používá Azure DNS a proxy DNS je zakázané.
Servery DNS
Server DNS udržuje a překládá názvy domén na IP adresy. Azure Firewall ve výchozím nastavení používá k překladu názvů Azure DNS. Nastavení serveru DNS umožňuje nakonfigurovat vlastní servery DNS pro překlad názvů služby Azure Firewall. Můžete nakonfigurovat jeden server nebo více serverů. Pokud nakonfigurujete více serverů DNS, zvolí se použitý server náhodně. Ve vlastním DNS můžete nakonfigurovat maximálně 15 serverů DNS.
Poznámka:
Pro instance služby Azure Firewall spravované pomocí Azure Firewall Manageru se nastavení DNS konfigurují v přidružených zásadách služby Azure Firewall.
Konfigurace vlastních serverů DNS
- V části Nastavení brány Azure Firewall vyberte Nastavení DNS.
- V části Servery DNS můžete zadat nebo přidat existující servery DNS, které byly dříve zadány ve vaší virtuální síti.
- Vyberte Použít.
Brána firewall teď směruje provoz DNS na zadané servery DNS pro překlad názvů.
Proxy server DNS
Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatelem požadavků DNS z klientských virtuálních počítačů na server DNS.
Pokud chcete povolit filtrování plně kvalifikovaného názvu domény (plně kvalifikovaný název domény) v pravidlech sítě, povolte proxy server DNS a aktualizujte konfiguraci virtuálního počítače tak, aby používala bránu firewall jako proxy server DNS.
Pokud povolíte filtrování Plně Kvalifikovaného Názvu Domény v pravidlech sítě, ale nenakonfigurujete klientské virtuální počítače tak, aby používaly Azure Firewall jako svůj proxy server DNS, mohou být požadavky DNS z těchto klientů přeloženy v různých časech nebo vrátit jiné výsledky, než které vidí Azure Firewall. Chcete-li zajistit konzistentní rozlišení DNS a filtrování FQDN, nakonfigurujte klientské virtuální počítače tak, aby používaly Azure Firewall jako svůj DNS proxy. Toto nastavení zajišťuje, že všechny požadavky DNS procházejí bránou firewall a brání nekonzistence.
Pokud je Azure Firewall proxy serverEM DNS, jsou možné dva typy funkcí ukládání do mezipaměti:
Kladná mezipaměť: Překlad DNS je úspěšný. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL (time to live) v odpovědi až do 1 hodiny.
Záporná mezipaměť: Výsledkem překladu DNS není žádná odpověď nebo žádné rozlišení. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL v odpovědi až do maximálního počtu 30 minut.
Proxy server DNS ukládá všechny přeložené IP adresy z plně kvalifikovaných názvů domén v pravidlech sítě. Osvědčeným postupem je použít plně kvalifikované názvy domén, které se přeloží na jednu IP adresu.
Dědičnost zásad
Nastavení DNS zásad použité pro samostatnou bránu firewall přepíší nastavení DNS samostatné brány firewall. Podřízená zásada dědí všechna nastavení DNS nadřazené zásady, ale může přepsat nadřazenou zásadu.
Pokud například chcete v pravidle sítě používat plně kvalifikované názvy domén, musí být povolený proxy server DNS. Pokud ale nadřazená zásada nemá povolený DNS proxy, podřízená zásada nepodporuje FQDN v pravidlech sítě, pokud toto nastavení nepřepíšete místně.
Konfigurace proxy serveru DNS
Konfigurace proxy serveru DNS vyžaduje tři kroky:
- Povolte proxy server DNS v nastavení DNS služby Azure Firewall.
- Volitelně můžete nakonfigurovat vlastní server DNS nebo použít zadaný výchozí.
- Nakonfigurujte privátní IP adresu služby Azure Firewall jako vlastní adresu DNS v nastavení serveru DNS vaší virtuální sítě, aby směrovali provoz DNS do služby Azure Firewall.
Poznámka:
Pokud používáte vlastní server DNS, vyberte z virtuální sítě IP adresu, která není součástí podsítě služby Azure Firewall.
Pokud chcete nakonfigurovat proxy server DNS, musíte nakonfigurovat nastavení serverů DNS virtuální sítě tak, aby používaly privátní IP adresu brány firewall. Pak povolte proxy DNS v nastavení DNS služby Azure Firewall.
Konfigurace serverů DNS virtuální sítě
- Vyberte virtuální síť, ve které se provoz DNS směruje přes instanci služby Azure Firewall.
- V části Nastavení vyberte servery DNS.
- V části Servery DNS vyberte Vlastní.
- Zadejte privátní IP adresu brány firewall.
- Zvolte Uložit.
- Restartujte virtuální počítače, které jsou připojené k virtuální síti, aby byly přiřazené nové nastavení serveru DNS. Virtuální počítače budou dál používat aktuální nastavení DNS, dokud se nerestartují.
Povolení proxy serveru DNS
- Vyberte instanci služby Azure Firewall.
- V části Nastavení vyberte DNS.
- Vyberte Povoleno pro nastavení DNS.
- Ve výchozím nastavení je proxy SERVER DNS zakázaný. Pokud je toto nastavení povolené, brána firewall naslouchá na portu 53 a předává požadavky DNS na nakonfigurované servery DNS.
- Zkontrolujte konfiguraci serverů DNS a ujistěte se, že jsou nastavení vhodná pro vaše prostředí.
- Zvolte Uložit.
Převzetí služeb při selhání s vysokou dostupností
Proxy server DNS má mechanismus převzetí služeb při selhání, který přestane používat zjištěný server, který není v pořádku, a používá jiný server DNS, který je k dispozici.
Pokud jsou všechny servery DNS nedostupné, není k dispozici žádný náhradní server DNS.
Kontroly stavu
Proxy server DNS provádí pětisekundové smyčky kontroly stavu, pokud nadřazené servery hlásí, že nejsou v pořádku. Kontroly stavu představují rekurzivní dotaz DNS na kořenový názvový server. Jakmile se nadřazený server považuje za v pořádku, brána firewall zastaví kontroly stavu až do další chyby. Když proxy server, který je v pořádku, vrátí chybu, brána firewall vybere v seznamu jiný server DNS.
Azure Firewall se zónami Azure Privátní DNS
Azure Firewall podporuje integraci se zónami Azure Private DNS, což umožňuje vyřešit názvy privátních domén. Když přidružíte zónu privátního DNS k virtuální síti, kde je nasazen Azure Firewall, může Azure Firewall přeložit názvy definované v této zóně.
Poznámka:
Tato integrace se týká překladu názvů prováděného samotnou službou Azure Firewall (například když brána firewall překládá plně kvalifikované názvy domén v pravidlech sítě nebo pravidlech aplikace). Dotazy DNS od podřízených klientů odesílaných do proxy DNS služby Azure Firewall se nepřekládají pomocí zón Azure Private DNS, pokud nakonfigurovaný nadřazený server DNS nemá k těmto zónám přístup. Proxy DNS jednoduše předává dotazy klientů na nakonfigurované nadřazené servery a nesloučí výsledky z Azure DNS.
Důležité
Vyhněte se vytváření záznamů DNS v privátních zónách DNS, které přepisují výchozí domény vlastněné Microsoftem. Přepsání těchto domén může zabránit Azure Firewallu v řešení kritických koncových bodů, což může narušit přenos správy a způsobit selhání funkcí, jako je protokolování, monitorování a aktualizace.
Následuje neexhausivní seznam domén vlastněných Microsoftem, které by se neměly přepisovat, protože provoz správy služby Azure Firewall může vyžadovat přístup k nim:
azclient.msazure.comcloudapp.netcore.windows.netlogin.microsoftonline.commicrosoft.commsidentity.comtrafficmanager.netvault.azure.netwindows.netmanagement.azure.comtable.core.windows.netstore.core.windows.netazure-api.netmicrosoftmetrics.comtime.windows.comservicebus.windows.netblob.storage.azure.netblob.core.windows.netarm-msedge.netcloudapp.azure.commonitoring.core.windows.net
Například provoz správy služby Azure Firewall vyžaduje přístup k účtům úložiště pomocí domény blob.core.windows.net. Pokud vytvoříte zónu privátního DNS pro *.blob.core.windows.net, a přidružíte ji k virtuální síti brány firewall, přepíšete výchozí překlad DNS a narušíte základní funkce brány firewall. Abyste se tomuto problému vyhnuli, nepřepište výchozí doménu. Místo toho vytvořte privátní zónu DNS pro jedinečnou subdoménu, například *.<unique-domain-name>.blob.core.windows.net.
Případně pokud chcete zabránit tomu, aby privátní zóny DNS ovlivnily službu Azure Firewall, nasaďte služby, které vyžadují zóny privátního DNS v samostatné virtuální síti. Tímto způsobem jsou zóny privátního DNS přidružené pouze k virtuální síti služby a nemají vliv na překlad DNS pro Azure Firewall.