Firewall di Azure impostazioni DNS

  • Articolo

È possibile configurare un server DNS personalizzato e abilitare il proxy DNS per Firewall di Azure. Configurare queste impostazioni quando si distribuisce il firewall o configurarle in un secondo momento dalla pagina delle impostazioni DNS . Per impostazione predefinita, Firewall di Azure usa DNS di Azure e il proxy DNS è disabilitato.

Server DNS

Un server DNS gestisce e risolve i nomi di dominio agli indirizzi IP. Per impostazione predefinita, Firewall di Azure usa DNS di Azure per la risoluzione dei nomi. L'impostazione del server DNS consente di configurare i propri server DNS per la risoluzione dei nomi Firewall di Azure. È possibile configurare un singolo server o più server. Se si configurano più server DNS, il server usato viene scelto in modo casuale. È possibile configurare un massimo di 15 server DNS in DNS personalizzato.

Nota

Per le istanze di Firewall di Azure gestite tramite Firewall di Azure Manager, le impostazioni DNS vengono configurate nei criteri di Firewall di Azure associati.

Configurare server DNS personalizzati - portale di Azure

  1. In Firewall di Azure Impostazioni selezionare Impostazioni DNS.
  2. In server DNS è possibile digitare o aggiungere server DNS esistenti specificati in precedenza nella rete virtuale.
  3. Selezionare Applica.

Il firewall indirizza ora il traffico DNS ai server DNS specificati per la risoluzione dei nomi.

Screenshot che mostra le impostazioni per i server D N S.

Configurare server DNS personalizzati - Interfaccia della riga di comando di Azure

L'esempio seguente aggiorna Firewall di Azure con server DNS personalizzati usando l'interfaccia della riga di comando di Azure.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Importante

Il comando richiede l'installazione dell'estensione dell'interfaccia azure-firewall della riga di comando az network firewall di Azure. È possibile installarlo usando il comando az extension add --name azure-firewall.

Configurare server DNS personalizzati - Azure PowerShell

L'esempio seguente aggiorna Firewall di Azure con server DNS personalizzati usando Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

Proxy DNS

È possibile configurare Firewall di Azure per agire come proxy DNS. Un proxy DNS è un intermediario per le richieste DNS dalle macchine virtuali client a un server DNS.

Se si vuole abilitare il filtro FQDN (nome di dominio completo) nelle regole di rete, abilitare il proxy DNS e aggiornare la configurazione della macchina virtuale per usare il firewall come proxy DNS.

Configurazione proxy D N S usando un server D N S personalizzato.

Se si abilita il filtro FQDN nelle regole di rete e non si configurano macchine virtuali client per l'uso del firewall come proxy DNS, le richieste DNS da questi client potrebbero passare a un server DNS in un momento diverso o restituire una risposta diversa rispetto a quella del firewall. È consigliabile configurare le macchine virtuali client per usare il Firewall di Azure come proxy DNS. In questo modo Firewall di Azure nel percorso delle richieste client per evitare incoerenze.

Quando Firewall di Azure è un proxy DNS, sono possibili due tipi di funzione di memorizzazione nella cache:

  • Cache positiva: la risoluzione DNS ha esito positivo. Il firewall memorizza nella cache queste risposte in base al TTL (tempo da vivere) nella risposta fino a un massimo di 1 ora.

  • Cache negativa: la risoluzione DNS non comporta alcuna risposta o nessuna risoluzione. Il firewall memorizza nella cache queste risposte in base al TTL nella risposta, fino a un massimo di 30 minuti.

Il proxy DNS archivia tutti gli indirizzi IP risolti da FQDN nelle regole di rete. Come procedura consigliata, usare FQDN che si risolvono in un indirizzo IP.

Ereditarietà dei criteri

Le impostazioni DNS dei criteri applicate a un firewall autonomo eseguono l'override delle impostazioni DNS del firewall autonomo. Un criterio figlio eredita tutte le impostazioni DNS dei criteri padre, ma può eseguire l'override dei criteri padre.

Ad esempio, per usare FQDN nella regola di rete, è necessario abilitare il proxy DNS. Tuttavia, se un criterio padre non dispone di proxy DNS abilitato, i criteri figlio non supportano FQDN nelle regole di rete, a meno che non si esegue l'override locale di questa impostazione.

Configurazione proxy DNS

La configurazione del proxy DNS richiede tre passaggi:

  1. Abilitare il proxy DNS nelle impostazioni DNS Firewall di Azure.
  2. Facoltativamente, configurare il server DNS personalizzato o usare il valore predefinito specificato.
  3. Configurare l'indirizzo IP privato Firewall di Azure come indirizzo DNS personalizzato nelle impostazioni del server DNS di rete virtuale. Questa impostazione garantisce che il traffico DNS venga indirizzato a Firewall di Azure.

Configurare il proxy DNS - portale di Azure

Per configurare il proxy DNS, è necessario configurare l'impostazione dei server DNS di rete virtuale per usare l'indirizzo IP privato del firewall. Abilitare quindi il proxy DNS nelle impostazioni DNS Firewall di Azure.

Configurare i server DNS di rete virtuale
  1. Selezionare la rete virtuale in cui verrà instradato il traffico DNS attraverso l'istanza di Firewall di Azure.
  2. In Impostazioni selezionare Server DNS.
  3. In Server DNS selezionare Personalizzato.
  4. Immettere l'indirizzo IP privato del firewall.
  5. Selezionare Salva.
  6. Riavviare le macchine virtuali connesse alla rete virtuale in modo che vengano assegnate le nuove impostazioni del server DNS. Le macchine virtuali continuano a usare le impostazioni DNS correnti finché non vengono riavviate.
Abilitare il proxy DNS
  1. Selezionare l'istanza di Firewall di Azure.
  2. In Impostazioni selezionare Impostazioni DNS.
  3. Per impostazione predefinita, il proxy DNS è disabilitato. Quando questa impostazione è abilitata, il firewall è in ascolto sulla porta 53 e inoltra le richieste DNS ai server DNS configurati.
  4. Esaminare la configurazione dei server DNS per assicurarsi che le impostazioni siano appropriate per l'ambiente.
  5. Selezionare Salva.

Screenshot che mostra le impostazioni per il proxy D N S.

Configurare il proxy DNS - Interfaccia della riga di comando di Azure

È possibile usare l'interfaccia della riga di comando di Azure per configurare le impostazioni proxy DNS in Firewall di Azure. È anche possibile usarla per aggiornare le reti virtuali per usare Firewall di Azure come server DNS.

Configurare i server DNS di rete virtuale

Nell'esempio seguente viene configurata la rete virtuale da usare Firewall di Azure come server DNS.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Abilitare il proxy DNS

Nell'esempio seguente viene abilitata la funzionalità proxy DNS in Firewall di Azure.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Configurare il proxy DNS - Azure PowerShell

È possibile usare Azure PowerShell per configurare le impostazioni proxy DNS in Firewall di Azure. È anche possibile usarla per aggiornare le reti virtuali per usare Firewall di Azure come server DNS.

Configurare i server DNS di rete virtuale

Nell'esempio seguente viene configurata la rete virtuale per l'uso di Firewall di Azure come server DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Abilitare il proxy DNS

Nell'esempio seguente viene abilitata la funzionalità proxy DNS in Firewall di Azure.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Failover a disponibilità elevata

Il proxy DNS ha un meccanismo di failover che arresta l'uso di un server non integro e usa un altro server DNS disponibile.

Se tutti i server DNS non sono disponibili, non è disponibile alcun fallback in un altro server DNS.

Controlli di integrità

Il proxy DNS esegue cicli di controllo dell'integrità cinque secondi fino a quando i server upstream segnalano come non integri. I controlli di integrità sono una query DNS ricorsiva al server nome radice. Una volta considerato integro un server upstream, il firewall arresta i controlli di integrità fino all'errore successivo. Quando un proxy integro restituisce un errore, il firewall seleziona un altro server DNS nell'elenco.

Passaggi successivi