Configuración DNS de Azure Firewall
Puede configurar un servidor DNS personalizado y habilitar el proxy DNS para Azure Firewall. Configure estas opciones al implementar el firewall o posteriormente desde la página Configuración DNS. De forma predeterminada, Azure Firewall usa Azure DNS y el proxy DNS está deshabilitado.
Servidores DNS
Un servidor DNS mantiene y resuelve los nombres de dominio en direcciones IP. De forma predeterminada, Azure Firewall usa Azure DNS para la resolución de nombres. La configuración de servidor DNS le permite configurar sus propios servidores DNS para la resolución de nombres de Azure Firewall. Puede configurar un único servidor o varios servidores. Si configura varios servidores DNS, el servidor que se usa se elige aleatoriamente. Puede configurar un máximo de 15 servidores DNS en un DNS personalizado.
Nota:
En el caso de instancias de Azure Firewall administradas mediante Azure Firewall Manager, la configuración de DNS se establece en la directiva de Azure Firewall asociada.
Configuración de servidores DNS personalizados
- En Configuración de Azure Firewall, seleccione Configuración DNS.
- En Servidores DNS, puede escribir o agregar servidores DNS existentes que se hayan especificado previamente en la red virtual.
- Seleccione Aplicar.
El firewall dirige ahora el tráfico DNS a los servidores DNS especificados para la resolución de nombres.
Proxy DNS
Puede configurar Azure Firewall para que actúe como proxy DNS. Un proxy DNS es un intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS.
Si desea habilitar el filtrado de FQDN (nombre de dominio completo) en las reglas de red, habilite el proxy DNS y actualice la configuración de la máquina virtual para usar el firewall como proxy DNS.
Si habilita el filtrado de FQDN en reglas de red y no configura máquinas virtuales cliente para que usen el firewall como proxy DNS, las solicitudes DNS de estos clientes podrían viajar a un servidor DNS en un momento diferente o devolver una respuesta diferente en comparación con la del firewall. Se recomienda configurar las máquinas virtuales cliente para que usen Azure Firewall como proxy DNS. Esto coloca a Azure Firewall en la ruta de acceso de las solicitudes de cliente para evitar incoherencias.
Hay dos tipos de función de almacenamiento en caché que se producen cuando Azure Firewall es un proxy DNS:
Caché positiva: la resolución de DNS se realiza correctamente. El firewall almacena en la caché estas respuestas según el TTL (período de vida) de la respuesta hasta un máximo de 1 hora.
Caché negativa: la resolución de DNS no obtiene respuesta ni resolución. El firewall almacena en la caché estas respuestas según el TTL de la respuesta hasta un máximo de 30 minutos.
El proxy DNS almacena todas las direcciones IP resueltas de FQDN en reglas de red. Como procedimiento recomendado, use FQDN que se resuelvan en una dirección IP.
Herencia de directivas
La configuración de DNS de directivas aplicada a un firewall independiente invalida la configuración de DNS de ese firewall. Una directiva secundaria hereda toda la configuración de DNS de la directiva principal, pero puede invalidar esta.
Por ejemplo, para usar nombres de dominio completos en la regla de red, se debe habilitar el proxy DNS. Sin embargo, si una directiva principal no tiene habilitado el proxy DNS, la directiva secundaria no admitirá nombres de dominio completos en las reglas de red a menos que se invalide localmente esta configuración.
Configuración de proxy DNS
La configuración del proxy DNS requiere tres pasos:
- Habilite el proxy DNS en la configuración DNS de Azure Firewall.
- Opcionalmente, configure el servidor DNS personalizado o use el valor predeterminado proporcionado.
- Configure la dirección IP privada de Azure Firewall como una dirección DNS personalizada en la configuración del servidor DNS de la red virtual para dirigir el tráfico DNS a Azure Firewall.
Nota:
Si decide usar un servidor DNS personalizado, seleccione cualquier dirección IP dentro de la red virtual, excepto las de la subred de Azure Firewall.
Para configurar el proxy DNS, debe configurar los servidores DNS de la red virtual para que usen la dirección IP privada del firewall. Luego, habilite el proxy DNS en la configuración DNS de Azure Firewall.
Configuración de los servidores DNS de la red virtual
- Seleccione la red virtual a la que se enrutará el tráfico DNS mediante la instancia de Azure Firewall.
- En Configuración, seleccione Servidores DNS.
- En Servidores DNS, seleccione Personalizado.
- Escriba la dirección IP privada del firewall.
- Seleccione Guardar.
- Reinicie las máquinas virtuales conectadas a la red virtual para que se les asigne la nueva configuración del servidor DNS. Hasta que se reinicien, las máquinas virtuales seguirán usando la configuración de DNS que consideran actual.
Habilitación del proxy DNS
- Seleccione la instancia de Azure Firewall.
- En Configuración, seleccione Configuración DNS.
- De manera predeterminada, el proxy DNS está deshabilitado. Cuando este parámetro está habilitao, el firewall escucha en el puerto 53 y reenvía las solicitudes DNS a los servidores DNS configurados.
- Revise la configuración de los servidores DNS para asegurarse de que la configuración sea adecuada para su entorno.
- Seleccione Guardar.
Conmutación por error de alta disponibilidad
El proxy DNS tiene un mecanismo de conmutación por error que deja de usar un servidor en mal estado que se haya detectado y usa otro servidor DNS que esté disponible.
Si todos los servidores DNS no están disponibles, no hay ninguna reserva para otro servidor DNS.
Comprobaciones de estado
El proxy DNS realiza bucles de comprobación de estado de cinco segundos, siempre y cuando los servidores ascendentes se informen como incorrectos. Las comprobaciones de estado son una consulta de DNS recursiva al servidor de nombres raíz. Una vez que un servidor ascendente se considere correcto, el firewall detiene las comprobaciones de estado hasta el siguiente error. Cuando un proxy correcto devuelve un error, el firewall selecciona otro servidor DNS en la lista.
Azure Firewall con zonas DNS privadas de Azure
Al usar una zona DNS privada de Azure con Azure Firewall, asegúrese de no crear asignaciones de dominio que invaliden los nombres de dominio predeterminados de las cuentas de almacenamiento y otros puntos de conexión creados por Microsoft. Si invalida los nombres de dominio predeterminados, se interrumpe el acceso del tráfico de administración de Azure Firewall a las cuentas de almacenamiento de Azure y a otros puntos de conexión. Esto interrumpe las actualizaciones, el registro o la supervisión del firewall.
Por ejemplo, el tráfico de administración del firewall necesita acceso a la cuenta de almacenamiento con el nombre de dominio blob.core.windows.net y el firewall se basa en resoluciones de Azure DNS para FQDN en direcciones IP.
No cree una zona DNS privada con el nombre de dominio *.blob.core.windows.net
y asóciela a la red virtual de Azure Firewall. Si invalida los nombres de dominio predeterminados, todas las consultas DNS se dirigen a la zona DNS privada y esto interrumpe las operaciones de firewall. En su lugar, cree un nombre de dominio único, como *.<unique-domain-name>.blob.core.windows.net
para la zona DNS privada.
Como alternativa, puede habilitar un vínculo privado para una cuenta de almacenamiento e integrarla con una zona DNS privada; vea Inspección del tráfico del punto de conexión privado con Azure Firewall.