DNS-beállítások Azure Firewall
Konfigurálhat egyéni DNS-kiszolgálót, és engedélyezheti a DNS-proxyt Azure Firewall. Konfigurálja ezeket a beállításokat a tűzfal telepítésekor, vagy később a DNS-beállítások lapon. Alapértelmezés szerint Azure Firewall az Azure DNS-t használja, és a DNS-proxy le van tiltva.
DNS-kiszolgálók
A DNS-kiszolgálók a tartományneveket IP-címekre kezelik és oldják fel. Alapértelmezés szerint Azure Firewall az Azure DNS-t használja a névfeloldáshoz. A DNS-kiszolgáló beállításával saját DNS-kiszolgálókat konfigurálhat Azure Firewall névfeloldáshoz. Egyetlen kiszolgálót vagy több kiszolgálót is konfigurálhat. Ha több DNS-kiszolgálót konfigurál, a rendszer véletlenszerűen választja ki a használt kiszolgálót. Egyéni DNS-ben legfeljebb 15 DNS-kiszolgálót konfigurálhat.
Megjegyzés
A Azure Firewall Managerrel felügyelt Azure Firewall példányai esetében a DNS-beállítások a társított Azure Firewall házirendben vannak konfigurálva.
Egyéni DNS-kiszolgálók konfigurálása – Azure Portal
- A Azure Firewall Beállítások területen válassza a DNS-beállítások lehetőséget.
- A DNS-kiszolgálók területen beírhatja vagy hozzáadhatja a virtuális hálózatban korábban megadott meglévő DNS-kiszolgálókat.
- Kattintson az Alkalmaz gombra.
A tűzfal mostantól a DNS-forgalmat a megadott DNS-kiszolgálókra irányítja névfeloldás céljából.
Egyéni DNS-kiszolgálók konfigurálása – Azure CLI
Az alábbi példa egyéni DNS-kiszolgálókkal frissíti Azure Firewall az Azure CLI használatával.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Fontos
A parancshoz az network firewall
telepíteni kell az Azure CLI-bővítményt azure-firewall
. A telepítéshez használja a következő parancsot az extension add --name azure-firewall
: .
Egyéni DNS-kiszolgálók konfigurálása – Azure PowerShell
Az alábbi példa Azure PowerShell használatával frissíti Azure Firewall egyéni DNS-kiszolgálókkal.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
DNS-proxy
Konfigurálhatja a Azure Firewall DNS-proxyként való működésre. A DNS-proxy az ügyfél virtuális gépeiről a DNS-kiszolgálóra irányuló DNS-kérések közvetítője.
Ha engedélyezni szeretné az FQDN (teljes tartománynév) szűrését a hálózati szabályokban, engedélyezze a DNS-proxyt, és frissítse a virtuális gép konfigurációját, hogy DNS-proxyként használja a tűzfalat.
Ha engedélyezi az FQDN-szűrést a hálózati szabályokban, és nem konfigurálja az ügyfél virtuális gépeket úgy, hogy DNS-proxyként használják a tűzfalat, akkor előfordulhat, hogy ezektől az ügyfelektől érkező DNS-kérések más időpontban egy DNS-kiszolgálóra utaznak, vagy a tűzfalétól eltérő választ adnak vissza. Javasoljuk, hogy konfigurálja az ügyfél virtuális gépeket úgy, hogy a Azure Firewall használják DNS-proxyként. Ez az inkonzisztencia elkerülése érdekében Azure Firewall az ügyfélkérések elérési útjára helyezi.
Ha Azure Firewall DNS-proxy, két gyorsítótárazási függvénytípus lehetséges:
Pozitív gyorsítótár: A DNS-feloldás sikeres. A tűzfal ezeket a válaszokat a TTL (élettartam) szerint gyorsítótárazza a válaszban, legfeljebb 1 óráig.
Negatív gyorsítótár: A DNS-feloldás nem ad választ, vagy nincs megoldás. A tűzfal a válasz TTL-jének megfelelően gyorsítótárazza ezeket a válaszokat, legfeljebb 30 percig.
A DNS-proxy hálózati szabályokban tárolja az FQDN-ekből származó összes feloldott IP-címet. Ajánlott eljárásként használjon olyan teljes tartományneveket, amelyek egy IP-címre lesznek feloldva.
Szabályzatöröklés
Az önálló tűzfalra alkalmazott szabályzat DNS-beállításai felülbírálják az önálló tűzfal DNS-beállításait. A gyermekszabályzat örökli az összes szülőszabályzat DNS-beállításait, de felülbírálhatja a szülőházirendet.
Ha például FQDN-eket szeretne használni a hálózati szabályban, engedélyezni kell a DNS-proxyt. Ha azonban egy szülőszabályzaton nincs engedélyezve a DNS-proxy, a gyermekházirend csak akkor támogatja a teljes tartományneveket a hálózati szabályokban, ha helyileg felülbírálja ezt a beállítást.
DNS-proxy konfigurálása
A DNS-proxy konfigurálásához három lépés szükséges:
- Engedélyezze a DNS-proxyt Azure Firewall DNS-beállításokban.
- Igény szerint konfigurálhatja az egyéni DNS-kiszolgálót, vagy használhatja a megadott alapértelmezettet.
- Konfigurálja a Azure Firewall magánhálózati IP-címet egyéni DNS-címként a virtuális hálózati DNS-kiszolgáló beállításaiban. Ez a beállítás biztosítja, hogy a DNS-forgalom Azure Firewall legyen irányítva.
DNS-proxy konfigurálása – Azure Portal
A DNS-proxy konfigurálásához konfigurálnia kell a virtuális hálózati DNS-kiszolgálók beállítását a tűzfal magánhálózati IP-címének használatára. Ezután engedélyezze a DNS-proxyt a Azure Firewall DNS-beállításokban.
Virtuális hálózati DNS-kiszolgálók konfigurálása
- Válassza ki azt a virtuális hálózatot, amelyen a DNS-forgalom a Azure Firewall példányon keresztül lesz átirányítva.
- A Beállítások területen válassza a DNS-kiszolgálók lehetőséget.
- A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
- Adja meg a tűzfal magánhálózati IP-címét.
- Válassza a Mentés lehetőséget.
- Indítsa újra a virtuális hálózathoz csatlakoztatott virtuális gépeket, és rendelje hozzájuk az új DNS-kiszolgáló beállításait. A virtuális gépek továbbra is az aktuális DNS-beállításokat használják, amíg újra nem indulnak.
DNS-proxy engedélyezése
- Válassza ki a Azure Firewall példányt.
- A Beállítások területen válassza a DNS-beállítások lehetőséget.
- Alapértelmezés szerint a DNS-proxy le van tiltva. Ha ez a beállítás engedélyezve van, a tűzfal figyeli az 53-at, és továbbítja a DNS-kéréseket a konfigurált DNS-kiszolgálóknak.
- Tekintse át a DNS-kiszolgálók konfigurációját, és győződjön meg arról, hogy a beállítások megfelelnek a környezetének.
- Válassza a Mentés lehetőséget.
DNS-proxy konfigurálása – Azure CLI
Az Azure CLI-vel konfigurálhatja a DNS-proxybeállításokat Azure Firewall. A virtuális hálózatok frissítésére is használható, hogy a Azure Firewall DNS-kiszolgálóként használhassa.
Virtuális hálózati DNS-kiszolgálók konfigurálása
Az alábbi példa úgy konfigurálja a virtuális hálózatot, hogy a Azure Firewall használja DNS-kiszolgálóként.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
DNS-proxy engedélyezése
Az alábbi példa engedélyezi a DNS-proxy funkciót Azure Firewall.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
DNS-proxy konfigurálása – Azure PowerShell
A AZURE POWERSHELL használatával konfigurálhatja a DNS-proxybeállításokat Azure Firewall. A virtuális hálózatok frissítésére is használható, hogy a Azure Firewall DNS-kiszolgálóként használhassa.
Virtuális hálózati DNS-kiszolgálók konfigurálása
Az alábbi példa úgy konfigurálja a virtuális hálózatot, hogy a Azure Firewall DNS-kiszolgálóként használja.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
DNS-proxy engedélyezése
Az alábbi példa engedélyezi a DNS-proxy funkciót Azure Firewall.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Magas rendelkezésre állású feladatátvétel
A DNS-proxy olyan feladatátvételi mechanizmussal rendelkezik, amely leáll egy észlelt, nem kifogástalan állapotú kiszolgáló használatával, és egy másik elérhető DNS-kiszolgálót használ.
Ha az összes DNS-kiszolgáló nem érhető el, nincs tartalék egy másik DNS-kiszolgálóra.
Állapotellenőrzések
A DNS-proxy öt másodperces állapot-ellenőrzési ciklusokat hajt végre mindaddig, amíg a felsőbb rétegbeli kiszolgálók állapota nem megfelelő. Az állapot-ellenőrzések a gyökérnév-kiszolgáló rekurzív DNS-lekérdezései. Ha egy felsőbb rétegbeli kiszolgáló kifogástalan állapotúnak minősül, a tűzfal a következő hibaig leállítja az állapot-ellenőrzéseket. Ha egy kifogástalan állapotú proxy hibát ad vissza, a tűzfal kiválaszt egy másik DNS-kiszolgálót a listában.