Condividi tramite


Firewall di Azure dettagli del proxy DNS

È possibile configurare Firewall di Azure come proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.

Le informazioni seguenti descrivono alcuni dettagli di implementazione per Firewall di Azure proxy DNS.

FQDN con più record A

Firewall di Azure funge da client DNS standard. Se nella risposta sono presenti più record A, il firewall archivia tutti i record nella cache e li offre al client nella risposta. Se è presente un record per risposta, il firewall archivia solo un singolo record. Non c'è modo per un client di sapere in anticipo se dovrebbe aspettarsi uno o più record A nelle risposte.

FQDN Time to Live (TTL)

Quando un TTL FQDN (time-to-live) sta per scadere, i record vengono memorizzati nella cache e scaduti in base ai relativi TTL. La prelettura non viene usata, quindi il firewall non esegue una ricerca prima della scadenza TTL per aggiornare il record.

Client non configurati per l'uso del proxy DNS del firewall

Se un computer client è configurato per l'uso di un server DNS che non è il proxy DNS del firewall, i risultati possono essere imprevedibili.

Si supponga, ad esempio, che un carico di lavoro client si trova negli Stati Uniti orientali e usi un server DNS primario ospitato negli Stati Uniti orientali. Firewall di Azure le impostazioni del server DNS sono configurate per un server DNS secondario ospitato negli Stati Uniti occidentali. Il server DNS del firewall ospitato negli Stati Uniti occidentali genera una risposta diversa da quella del client negli Stati Uniti orientali.

Questo è uno scenario comune e perché i client devono usare la funzionalità proxy DNS del firewall. I client devono usare il firewall come resolver se si usano FQDN nelle regole di rete. È possibile garantire la coerenza della risoluzione degli indirizzi IP da parte dei client e del firewall stesso.

In questo esempio, se un FQDN è configurato in Regole di rete, il firewall risolve il nome di dominio completo in IP1 (indirizzo IP 1) e aggiorna le regole di rete per consentire l'accesso a IP1. Se e quando il client risolve lo stesso FQDN in IP2 a causa di una differenza nella risposta DNS, il tentativo di connessione non corrisponde alle regole nel firewall e viene negato.

Per gli FQDN HTTP/S nelle regole dell'applicazione, il firewall analizza il nome di dominio completo dall'intestazione host o SNI, lo risolve e quindi si connette a tale indirizzo IP. L'indirizzo IP di destinazione a cui il client stava tentando di connettersi viene ignorato.

Passaggi successivi