Paramètres DNS du Pare-feu Azure
Vous pouvez configurer un serveur DNS personnalisé et activer le proxy DNS pour le pare-feu Azure. Configurez ces paramètres lorsque vous déployez le pare-feu ou configurez-les plus tard à partir de la page Paramètres DNS. Par défaut, le pare-feu Azure utilise Azure DNS et le Proxy DNS est désactivé.
Serveurs DNS
Un serveur DNS gère et résout les noms de domaine en adresses IP. Par défaut, le Pare-feu Azure utilise Azure DNS pour la résolution de noms. Le paramètre Serveur DNS vous permet de configurer vos propres serveurs DNS pour la résolution de noms du Pare-feu Azure. Vous pouvez configurer un ou plusieurs serveurs. Si vous configurez plusieurs serveurs DNS, le serveur utilisé est choisi de façon aléatoire. Vous pouvez configurer au maximum 15 serveurs DNS dans DNS personnalisé.
Notes
Pour les instances Pare-feu Azure gérés à l’aide d’Azure Firewall Manager, les paramètres DNS sont configurés dans la stratégie Pare-feu Azure associée.
Configurer des serveurs DNS personnalisés
- Sous Paramètres du pare-feu Azure, sélectionnez Paramètres DNS.
- Sous Serveurs DNS, vous pouvez saisir ou ajouter des serveurs DNS existants, précédemment spécifiés dans votre réseau virtuel.
- Sélectionnez Appliquer.
Le pare-feu dirige désormais le trafic DNS vers les serveurs DNS spécifiés pour la résolution de noms.
Proxy DNS
Vous pouvez configurer le Pare-feu Azure pour qu’il agisse comme proxy DNS. Un proxy DNS est un intermédiaire pour les requêtes DNS entre des machines virtuelles clientes et un serveur DNS.
Si vous souhaitez activer le filtrage des nom de domaine complets (FQDN) dans les règles de réseau, activez le proxy DNS et mettez à jour la configuration de la machine virtuelle pour utiliser le pare-feu comme proxy DNS.
Si vous activez le filtrage des noms de domaine complets dans les règles de réseau et que vous ne configurez pas les machines virtuelles clientes pour utiliser le pare-feu comme proxy DNS, les requêtes DNS de ces clients risquent d’être transmises à un serveur DNS à un moment différent ou de renvoyer une réponse différente de celle du pare-feu. Il est recommandé de configurer les machines virtuelles clientes pour qu’elles utilisent le Pare-feu Azure comme proxy DNS. Cela place le Pare-feu Azure sur le trajet des demandes du client pour éviter toute incohérence.
Lorsque Pare-feu Azure est un proxy DNS, deux types de fonctions de mise en cache sont possibles :
Cache positif : la résolution DNS est réussie. Le pare-feu met en cache ces réponses en fonction de la durée de vie (TTL) dans la réponse pendant jusqu’à une heure.
Cache négatif : la résolution DNS ne produit aucune réponse ni aucune résolution. Le pare-feu met en cache ces réponses en fonction de la durée de vie (TTL) dans la réponse pendant jusqu’à 30 minutes.
Le proxy DNS stocke toutes les adresses IP résolues à partir de noms de domaine complets dans des règles de réseau. En guise de bonne pratique, utilisez des noms de domaine complets qui se résolvent en une seule adresse IP.
Héritage de stratégie
Les paramètres DNS de stratégie appliqués à un pare-feu autonome remplacent les paramètres DNS du pare-feu autonome. Une stratégie enfant hérite de tous les paramètres DNS de la stratégie parente, mais elle peut remplacer la stratégie parente.
Par exemple, pour utiliser des noms de domaine complets dans la règle réseau, le proxy DNS doit être activé. Toutefois, si une stratégie parente n’a pas de proxy DNS activé, la stratégie enfant ne prend pas en charge les noms de domaine complets dans les règles de réseau, sauf si vous remplacez localement ce paramètre.
Configuration du proxy DNS
La configuration du proxy DNS nécessite trois étapes :
- Activez le proxy DNS dans les paramètres DNS de Pare-feu Azure.
- Si vous le souhaitez, configurez votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
- Configurez l’adresse IP privée de Pare-feu Azure en tant qu’adresse DNS personnalisée dans les paramètres du serveur DNS de votre réseau virtuel afin de diriger le trafic DNS vers le pare-feu Azure.
Remarque
Si vous choisissez d’utiliser un serveur DNS personnalisé, sélectionnez n’importe quelle adresse IP dans le réseau virtuel, à l’exclusion de celles du sous-réseau du Pare-feu Azure.
Pour configurer le proxy DNS, vous devez configurer le paramètre des serveurs DNS de votre réseau virtuel pour utiliser l’adresse IP privée du pare-feu. Activez ensuite le proxy DNS dans les paramètres DNS de Pare-feu Azure.
Configurer les serveurs DNS du réseau virtuel
- Sélectionnez le réseau virtuel dans lequel le trafic DNS est routé au moyen de l’instance Pare-feu Azure.
- SousParamètres, sélectionnez Serveurs DNS.
- Sous Serveurs DNS, sélectionnez Personnalisé.
- Saisissez l’adresse IP privée du pare-feu.
- Sélectionnez Enregistrer.
- Redémarrez les machines virtuelles connectées au réseau virtuel, afin que les nouveaux paramètres de serveur DNS leur soient attribués. Les machines virtuelles continuent d’utiliser leurs paramètres DNS actuels jusqu’à ce qu’elles soient redémarrées.
Activer le proxy DNS
- Sélectionnez votre instance Pare-feu Azure.
- Sous Paramètres, sélectionnez Paramètres DNS.
- Le proxy DNS est désactivé par défaut. Lorsque ce paramètre est activé, le pare-feu écoute le port 53 et transfère les requêtes DNS aux serveurs DNS configurés.
- Vérifiez la configuration des serveurs DNS pour vous assurer que les paramètres sont adaptés à votre environnement.
- Cliquez sur Enregistrer.
Basculement vers la haute disponibilité
Le proxy DNS dispose d’un mécanisme de basculement qui met fin à l’utilisation d’un serveur non sain détecté et utilise un autre serveur DNS disponible.
Si tous les serveurs DNS sont indisponibles, il n’y a pas d’autre serveur DNS de secours.
Contrôles d'intégrité
Le proxy DNS effectue des boucles de contrôle d’intégrité de cinq secondes tant que les serveurs en amont sont signalés comme étant défectueux. Les contrôles d’intégrité consistent en une requête DNS récursive sur le serveur de noms racine. Une fois qu’un serveur en amont est considéré comme sain, le pare-feu met fin aux contrôles d’intégrité jusqu’à l’erreur suivante. Quand un proxy sain retourne une erreur, le pare-feu sélectionne un autre serveur DNS dans la liste.
Pare-feu Azure avec des zones DNS privées Azure
Lorsque vous utilisez une zone DNS privée Azure avec pare-feu Azure, veillez à ne pas créer de mappages de domaine qui remplacent les noms de domaine par défaut des comptes de stockage et d’autres points de terminaison créés par Microsoft. Si vous remplacez les noms de domaine par défaut, cela interrompt l’accès du trafic de gestion du Pare-feu Azure aux comptes de stockage Azure et à d’autres points de terminaison. Cela interrompt les mises à jour du pare-feu, la journalisation et/ou la surveillance.
Par exemple, le trafic de gestion du pare-feu nécessite l’accès au compte de stockage avec le nom de domaine blob.core.windows.net et le pare-feu s’appuie sur Azure DNS pour la résolution des noms de domaine complets en adresses IP.
Ne créez pas de zone DNS privée avec le nom de domaine *.blob.core.windows.net
et associez-la au réseau virtuel du Pare-feu Azure. Si vous remplacez les noms de domaine par défaut, toutes les requêtes DNS sont dirigées vers la zone DNS privée, ce qui interrompt les opérations de pare-feu. Au lieu de cela, créez un nom de domaine unique tel que *.<unique-domain-name>.blob.core.windows.net
pour la zone DNS privée.
Vous pouvez également activer une liaison privée pour un compte de stockage et l’intégrer à une zone DNS privée, consultez Inspecter le trafic de point de terminaison privé avec le Pare-feu Azure.