Impostazioni DNS dei criteri di Firewall di Azure
È possibile configurare un server DNS personalizzato e abilitare il proxy DNS per Firewall di Azure. Configurare queste impostazioni quando si distribuisce il firewall o configurarle in un secondo momento dalla pagina Impostazioni DNS. Per impostazione predefinita, Firewall di Azure usa DNS di Azure e Proxy DNS è disabilitato.
Server DNS
Un server DNS gestisce e risolve i nomi dominio in indirizzi IP. Per impostazione predefinita, Firewall di Azure usa DNS di Azure per la risoluzione dei nomi. L'impostazione server DNS consente di configurare i propri server DNS per la risoluzione dei nomi di Firewall di Azure. È possibile configurare un singolo server o più server. Se si configurano più server DNS, il server usato viene scelto in modo casuale. È possibile configurare un massimo di 15 server DNS in DNS personalizzato.
Nota
Per le istanze di Firewall di Azure gestite tramite Gestione firewall di Azure, le impostazioni DNS vengono configurate nei criteri di Firewall di Azure associati.
Configurare server DNS personalizzati
- In Impostazioni di Firewall di Azure selezionare impostazioni DNS.
- In server DNSè possibile digitare o aggiungere server DNS esistenti specificati in precedenza nella rete virtuale.
- Selezionare Applica.
Il firewall indirizza ora il traffico DNS ai server DNS specificati per la risoluzione dei nomi.
Proxy DNS
È possibile configurare Firewall di Azure in modo che agisca da proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.
Se si vuole abilitare il filtro FQDN (nome di dominio completo) nelle regole di rete, abilitare il proxy DNS e aggiornare la configurazione della macchina virtuale per usare il firewall come proxy DNS.
Se si abilita il filtro FQDN nelle regole di rete e non si configurano le macchine virtuali client per l'uso del firewall come proxy DNS, le richieste DNS provenienti da questi client potrebbero passare a un server DNS in un momento diverso o restituire una risposta diversa rispetto a quella del firewall. È consigliabile configurare le macchine virtuali client per l'uso di Firewall di Azure come proxy DNS. In questo modo Firewall di Azure viene incluso nel percorso delle richieste client per evitare incoerenze.
Quando Firewall di Azure è un proxy DNS, sono possibili due tipi di funzioni di memorizzazione nella cache:
Cache positiva: la risoluzione DNS ha esito positivo. Il firewall memorizza nella cache queste risposte in base al TTL (time to live) nella risposta fino a un massimo di 1 ora.
Cache negativa: la risoluzione DNS non restituisce alcuna risposta o nessuna risoluzione. Il firewall memorizza nella cache queste risposte in base al TTL (time to live) nella risposta fino a un massimo di 30 minuti.
Il proxy DNS archivia tutti gli indirizzi IP risolti da FQDN nelle regole di rete. Come procedura consigliata, usare FQDN che si risolvono in un indirizzo IP.
Ereditarietà dei criteri
Le impostazioni DNS dei criteri applicate a un firewall autonomo sostituiscono le impostazioni DNS del firewall autonomo. Un criterio figlio eredita tutte le impostazioni DNS del criterio padre, ma può eseguire l'override del criterio padre.
Ad esempio, per usare FQDN nella regola di rete, è necessario abilitare il proxy DNS. Ma se un criterio padre non ha il proxy DNS abilitato, il criterio figlio non supporterà i nomi di dominio completi nelle regole di rete, a meno che non si esegua l'override locale di questa impostazione.
Configurazione del proxy DNS
La configurazione del proxy DNS richiede tre passaggi:
- Abilitare il proxy DNS nelle impostazioni DNS del Firewall di Azure.
- Facoltativamente, configurare il server DNS personalizzato o usare l'impostazione predefinita specificata.
- Configurare l'indirizzo IP privato di Firewall di Azure come indirizzo DNS personalizzato nelle impostazioni del server DNS della rete virtuale. Questa impostazione garantisce che il traffico DNS venga indirizzato a Firewall di Azure.
Per configurare il proxy DNS, è necessario configurare l'impostazione dei server DNS di rete virtuale per l'uso dell'indirizzo IP privato del firewall. Abilitare quindi il proxy DNS nelle Impostazioni DNS Firewall di Azure.
Configurare i server DNS di rete virtuale
- Selezionare la rete virtuale in cui viene instradato il traffico DNS tramite l'istanza di Firewall di Azure.
- In Impostazioni selezionare Server DNS.
- In Server DNS selezionare Personalizzato.
- Immettere l'indirizzo IP privato del firewall.
- Seleziona Salva.
- Riavviare le macchine virtuali connesse alla rete virtuale in modo che vengano assegnate le nuove impostazioni del server DNS. Le macchine virtuali continuano a usare le impostazioni DNS correnti fino al riavvio.
Abilitare il proxy DNS
- Selezionare l'istanza di Firewall di Azure.
- In Impostazioni, selezionare impostazioni DNS.
- Per impostazione predefinita, proxy DNS è disabilitato. Quando questa impostazione è abilitata, il firewall rimane in ascolto sulla porta 53 e inoltra le richieste DNS ai server DNS configurati.
- Rivedere la configurazione dei server DNS per assicurarsi che le impostazioni siano appropriate per l'ambiente in uso.
- Seleziona Salva.
Failover a disponibilità elevata
Il proxy DNS ha un meccanismo di failover che smette di usare un server non integro rilevato e usa un altro server DNS disponibile.
Se tutti i server DNS non sono disponibili, non è possibile eseguire il fallback in un altro server DNS.
Controlli di integrità
Il proxy DNS esegue cicli di controllo dell'integrità di cinque secondi, finché i server upstream segnalano la non integrità. I controlli di integrità sono una query DNS ricorsiva al server dei nomi radice. Quando un server upstream è considerato integro, il firewall arresta i controlli di integrità fino all'errore successivo. Quando un proxy integro restituisce un errore, il firewall seleziona un altro server DNS nell'elenco.