Azure Firewall DNS-proxygegevens
U kunt Azure Firewall configureren om te fungeren als een DNS-proxy. Een DNS-proxy is een intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server.
In de volgende informatie worden enkele implementatiedetails voor Azure Firewall DNS-proxy beschreven.
FQDN's met meerdere A-records
Azure Firewall fungeert als een standaard-DNS-client. Als er meerdere A-records in het antwoord staan, slaat de firewall alle records op in de cache. Als er één record per antwoord is, slaat de firewall slechts één record op. Er is geen manier voor een client om van tevoren te weten of deze een of meer A-records in antwoorden moet verwachten.
FQDN Time to Live (TTL)
Wanneer een FQDN-TTL (time-to-live) bijna verloopt, worden records in de cache opgeslagen en verlopen op basis van hun TTL's. Vooraf ophalen wordt niet gebruikt, dus de firewall voert geen zoekactie uit voordat de TTL verloopt om de record te vernieuwen.
Clients die niet zijn geconfigureerd voor het gebruik van de DNS-proxy van de firewall
Als een clientcomputer is geconfigureerd voor het gebruik van een DNS-server die niet de firewall-DNS-proxy is, kunnen de resultaten onvoorspelbaar zijn.
Stel dat een clientworkload zich in US - oost bevindt en een primaire DNS-server gebruikt die wordt gehost in US - oost. Azure Firewall DNS-serverinstellingen zijn geconfigureerd voor een secundaire DNS-server die wordt gehost in US - west. De DNS-server van de firewall die wordt gehost in US - west resulteert in een ander antwoord dan die van de client in US - oost.
Dit is een veelvoorkomend scenario en waarom clients de DNS-proxyfunctionaliteit van de firewall moeten gebruiken. Clients moeten de firewall als hun resolver gebruiken als u FQDN's gebruikt in netwerkregels. U kunt zorgen voor consistentie van IP-adresomzetting door clients en de firewall zelf.
Als in dit voorbeeld een FQDN is geconfigureerd in Netwerkregels, zet de firewall de FQDN om naar IP1 (IP-adres 1) en worden de netwerkregels bijgewerkt om toegang tot IP1 toe te staan. Als en wanneer de client dezelfde FQDN naar IP2 omzet vanwege een verschil in DNS-antwoord, komt de verbindingspoging niet overeen met de regels op de firewall en wordt deze geweigerd.
Voor HTTP/S-FQDN's in toepassingsregels parseert de firewall de FQDN van de host- of SNI-header, zet deze om en maakt vervolgens verbinding met dat IP-adres. Het doel-IP-adres waarmee de client verbinding wilde maken, wordt genegeerd.