Details van DNS-proxy voor Azure Firewall
U kunt Azure Firewall configureren om te fungeren als een DNS-proxy. Een DNS-proxy is een intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server.
In de volgende informatie worden enkele implementatiedetails voor De DNS-proxy van Azure Firewall beschreven.
FQDN's met meerdere A-records
Azure Firewall fungeert als een standaard-DNS-client. Als er meerdere A-records in het antwoord staan, slaat de firewall alle records in de cache op en biedt deze aan de client in het antwoord. Als er één record per antwoord is, slaat de firewall slechts één record op. Er is geen manier voor een client om van tevoren op de hoogte te zijn als er een of meerdere A-records in antwoorden moeten worden verwacht.
FQDN Time to Live (TTL)
Wanneer een FQDN TTL (time-to-live) bijna verloopt, worden records in de cache opgeslagen en verlopen volgens hun TTL's. Vooraf ophalen wordt niet gebruikt, dus de firewall voert geen zoekopdracht uit voordat TTL verloopt om de record te vernieuwen.
Clients die niet zijn geconfigureerd voor het gebruik van de DNS-firewallproxy
Als een clientcomputer is geconfigureerd voor het gebruik van een DNS-server die niet de firewall-DNS-proxy is, kunnen de resultaten onvoorspelbaar zijn.
Stel dat een clientworkload zich in US - oost bevindt en een primaire DNS-server gebruikt die wordt gehost in US - oost. Azure Firewall DNS-serverinstellingen worden geconfigureerd voor een secundaire DNS-server die wordt gehost in US - west. De DNS-server van de firewall die in US - west wordt gehost, resulteert in een andere reactie dan die van de client in US - oost.
Dit is een veelvoorkomend scenario en waarom clients de DNS-proxyfunctionaliteit van de firewall moeten gebruiken. Clients moeten de firewall gebruiken als hun resolver als u FQDN's in netwerkregels gebruikt. U kunt consistentie van IP-adressen garanderen door clients en de firewall zelf.
Als in dit voorbeeld een FQDN is geconfigureerd in netwerkregels, wordt de FQDN door de firewall omgezet in IP1 (IP-adres 1) en worden de netwerkregels bijgewerkt om toegang tot IP1 toe te staan. Als en wanneer de client dezelfde FQDN naar IP2 oplost vanwege een verschil in DNS-antwoord, komt de verbindingspoging niet overeen met de regels op de firewall en wordt geweigerd.
Voor HTTP/S-FQDN's in toepassingsregels parseert de firewall de FQDN van de host of SNI-header, lost deze op en maakt vervolgens verbinding met dat IP-adres. Het doel-IP-adres waarmee de client verbinding wilde maken, wordt genegeerd.