DNS-Einstellungen für Azure Firewall

  • Artikel

Sie können einen benutzerdefinierten DNS-Server konfigurieren und den DNS-Proxy für Azure Firewall aktivieren. Konfigurieren Sie diese Einstellungen, wenn Sie die Firewall bereitstellen, oder konfigurieren Sie die Einstellungen über die Seite DNS-Einstellungen zu einem späteren Zeitpunkt. Standardmäßig verwendet Azure Firewall Azure DNS, und der DNS-Proxy ist deaktiviert.

DNS-Server

Ein DNS-Server verwaltet Domänennamen und löst diese in IP-Adressen auf. Azure Firewall verwendet standardmäßig Azure DNS für die Namensauflösung. Mit der Einstellung DNS-Server können Sie eigene DNS-Server für die Namensauflösung von Azure Firewall konfigurieren. Sie können einen einzelnen Server oder mehrere Server konfigurieren. Wenn Sie mehrere DNS-Server konfigurieren, wird der verwendete Server nach dem Zufallsprinzip ausgewählt. Sie können in benutzerdefiniertem DNS maximal 15 DNS-Server konfigurieren.

Hinweis

Bei über Azure Firewall Manager verwalteten Azure Firewall-Instanzen werden die DNS-Einstellungen in der zugehörigen Azure Firewall-Richtlinie konfiguriert.

Konfigurieren benutzerdefinierter DNS-Server: Azure-Portal

  1. Wählen Sie unter Azure Firewall die Option Einstellungen und danach DNS-Einstellungen aus.
  2. Unter DNS-Server können Sie vorhandene DNS-Server eingeben oder hinzufügen, die zuvor in Ihrem virtuellen Netzwerk angegeben wurden.
  3. Wählen Sie Übernehmen.

Die Firewall leitet nun DNS-Datenverkehr zur Namensauflösung an die angegebenen DNS-Server weiter.

Screenshot, der Einstellungen für DNS-Server zeigt.

Konfigurieren benutzerdefinierter DNS-Server: Azure CLI

Das folgende Beispiel aktualisiert Azure Firewall über die Azure CLI mit benutzerdefinierten DNS-Servern.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Wichtig

Der Befehl az network firewall erfordert die Installation der Azure CLI-Erweiterung azure-firewall. Sie können sie mithilfe des Befehls az extension add --name azure-firewall installieren.

Konfigurieren benutzerdefinierter DNS-Server: Azure PowerShell

Das folgende Beispiel aktualisiert Azure Firewall über Azure PowerShell mit benutzerdefinierten DNS-Servern.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

DNS-Proxy

Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.

Wenn Sie die FQDN-Filterung (Fully Qualified Domain Name, vollqualifizierter Domänenname) in Netzwerkregeln aktivieren möchten, aktivieren Sie den DNS-Proxy, und aktualisieren Sie die Konfiguration des virtuellen Computers, um die Firewall als DNS-Proxy zu verwenden.

D N S-Proxykonfiguration mit einem benutzerdefinierten D N S-Server.

Wenn Sie die FQDN-Filterung in Netzwerkregeln aktivieren und virtuelle Clientcomputer nicht für die Verwendung der Firewall als DNS-Proxy konfigurieren, werden DNS-Anforderungen von diesen Clients möglicherweise zu einem anderen Zeitpunkt an einen DNS-Server gesendet, oder die DNS-Anforderungen geben eine andere Antwort als die Firewall zurück. Es wird empfohlen, virtuelle Clientcomputer so zu konfigurieren, dass Azure Firewall als DNS-Proxy verwendet wird. Dadurch wird Azure Firewall in den Pfad der Clientanforderungen eingefügt, um Inkonsistenzen zu vermeiden.

Wenn Azure Firewall ein DNS-Proxy ist, können zwei Arten von Zwischenspeicherungsfunktionen auftreten:

  • Positiver Cache: Die DNS-Auflösung ist erfolgreich. Die Antworten werden von der Firewall gemäß der TTL (Gültigkeitsdauer) maximal 1 Stunde lang in der Antwort zwischengespeichert.

  • Negativer Cache: Die DNS-Auflösung führt zu keiner Antwort oder keiner Auflösung. Die Antworten werden von der Firewall gemäß der TTL maximal 30 Minuten lang in der Antwort zwischengespeichert.

Der DNS-Proxy speichert alle aufgelösten IP-Adressen von FQDNs in Netzwerkregeln. Als Best Practice sollten Sie FQDNs verwenden, die in eine einzige IP-Adresse aufgelöst werden.

Richtlinienvererbung

DNS-Einstellungen einer Richtlinie, die auf eine eigenständige Firewall angewendet werden, setzen die DNS-Einstellungen der eigenständigen Firewall außer Kraft. Eine untergeordnete Richtlinie erbt alle DNS-Einstellungen der übergeordneten Richtlinie, kann jedoch die übergeordnete Richtlinie außer Kraft setzen.

Um beispielsweise FQDNs in der Netzwerkregel zu verwenden, sollte der DNS-Proxy aktiviert sein. Wenn für eine übergeordnete Richtlinie jedoch kein DNS-Proxy aktiviert ist, unterstützt die untergeordnete Richtlinie keine FQDNs in Netzwerkregeln, es sei denn, Sie setzen diese Einstellung lokal außer Kraft.

Konfiguration des DNS-Proxys

Für die Konfiguration des DNS-Proxy sind drei Schritte erforderlich:

  1. Aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.
  2. Konfigurieren Sie optional den benutzerdefinierten DNS-Server, oder verwenden Sie die bereitgestellten Standardwerte.
  3. Konfigurieren Sie die private IP-Adresse von Azure Firewall als benutzerdefinierte DNS-Adresse in den DNS-Servereinstellungen Ihres virtuellen Netzwerks. Durch diese Einstellung wird sichergestellt, dass DNS-Datenverkehr an Azure Firewall weitergeleitet wird.

Konfigurieren des DNS-Proxys: Azure-Portal

Zum Konfigurieren des DNS-Proxys müssen Sie die DNS-Servereinstellung des virtuellen Netzwerks so konfigurieren, dass die private IP-Adresse der Firewall verwendet wird. Aktivieren Sie dann den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.

Konfigurieren der DNS-Server für das virtuelle Netzwerk
  1. Wählen Sie das virtuelle Netzwerk aus, an das der DNS-Datenverkehr über die Azure Firewall-Instanz weitergeleitet werden soll.
  2. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  3. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  4. Geben Sie die private IP-Adresse der Firewall ein.
  5. Wählen Sie Speichern aus.
  6. Starten Sie die mit dem virtuellen Netzwerk verbundenen VMs, damit ihnen die neuen DNS-Servereinstellungen zugewiesen werden. VMs nutzen ihre aktuellen DNS-Einstellungen weiter, bis sie neu gestartet werden.
Aktivieren des DNS-Proxys
  1. Wählen Sie Ihre Azure Firewall-Instanz aus.
  2. Klicken Sie unter Einstellungen auf die Option DNS-Einstellungen.
  3. Der DNS-Proxy ist standardmäßig deaktiviert. Wenn diese Einstellung aktiviert ist, lauscht die Firewall an Port 53 und leitet DNS-Anforderungen an die konfigurierten DNS-Server weiter.
  4. Überprüfen Sie die Konfiguration der DNS-Server, um sicherzustellen, dass die Einstellungen zu Ihrer Umgebung passen.
  5. Wählen Sie Speichern aus.

Screenshot, der Einstellungen für den DNS-Proxy zeigt.

Konfigurieren des DNS-Proxys: Azure CLI

Sie können die Azure CLI verwenden, um DNS-Proxyeinstellungen in Azure Firewall zu konfigurieren. Sie können sie auch verwenden, um virtuelle Netzwerke für die Verwendung von Azure Firewall als DNS-Server zu aktualisieren.

Konfigurieren der DNS-Server für das virtuelle Netzwerk

Im folgenden Beispiel wird das virtuelle Netzwerk so konfiguriert, dass Azure Firewall als DNS-Server verwendet wird.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Aktivieren des DNS-Proxys

Das folgende Beispiel aktiviert das DNS-Proxyfeature in Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Konfigurieren des DNS-Proxys: Azure PowerShell

Sie können Azure PowerShell verwenden, um DNS-Proxyeinstellungen in Azure Firewall zu konfigurieren. Sie können sie auch verwenden, um virtuelle Netzwerke für die Verwendung von Azure Firewall als DNS-Server zu aktualisieren.

Konfigurieren der DNS-Server für das virtuelle Netzwerk

Im folgenden Beispiel wird das virtuelle Netzwerk so konfiguriert, dass Azure Firewall als ein DNS-Server verwendet wird.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Aktivieren des DNS-Proxys

Das folgende Beispiel aktiviert das DNS-Proxyfeature in Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Hochverfügbarkeitsfailover

Der DNS-Proxy verfügt über einen Failovermechanismus, der die Verwendung eines erkannten fehlerhaften Servers beendet und einen anderen verfügbaren DNS-Server verwendet.

Wenn alle DNS-Server nicht verfügbar sind, gibt es kein Fallback auf einen anderen DNS-Server.

Integritätsprüfungen

Der DNS-Proxy führt fünfsekündige Schleifen zur Integritätsprüfung aus, solange die Upstreamserver als fehlerhaft gemeldet werden. Bei den Integritätsprüfungen handelt es sich um eine rekursive DNS-Abfrage an den Stammnamenserver. Sobald ein Upstreamserver als fehlerfrei angesehen wird, beendet die Firewall die Integritätsprüfungen bis zum nächsten Fehler. Wenn ein fehlerfreier Proxy einen Fehler zurückgibt, wählt die Firewall einen anderen DNS-Server in der Liste aus.

Nächste Schritte