DNS-instellingen Azure Firewall
U kunt een aangepaste DNS-server configureren en DNS-proxy inschakelen voor Azure Firewall. Configureer deze instellingen wanneer u de firewall implementeert of configureer ze later op de pagina DNS-instellingen . Standaard gebruikt Azure Firewall Azure DNS en is de DNS-proxy uitgeschakeld.
DNS-servers
Een DNS-server onderhoudt en zet domeinnamen om in IP-adressen. Standaard gebruikt Azure Firewall Azure DNS voor naamomzetting. Met de dns-serverinstelling kunt u uw eigen DNS-servers configureren voor Azure Firewall naamomzetting. U kunt één server of meerdere servers configureren. Als u meerdere DNS-servers configureert, wordt de gebruikte server willekeurig gekozen. U kunt maximaal 15 DNS-servers configureren in Aangepaste DNS.
Notitie
Voor exemplaren van Azure Firewall die worden beheerd met Azure Firewall Manager, worden de DNS-instellingen geconfigureerd in het bijbehorende Azure Firewall-beleid.
Aangepaste DNS-servers configureren - Azure Portal
- Selecteer onder Azure Firewall Instellingende optie DNS-instellingen.
- Onder DNS-servers kunt u bestaande DNS-servers typen of toevoegen die eerder zijn opgegeven in uw virtuele netwerk.
- Selecteer Toepassen.
De firewall stuurt nu DNS-verkeer naar de opgegeven DNS-servers voor naamomzetting.
Aangepaste DNS-servers configureren - Azure CLI
In het volgende voorbeeld worden Azure Firewall bijgewerkt met aangepaste DNS-servers met behulp van de Azure CLI.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Belangrijk
Voor de opdracht az network firewall moet de Azure CLI-extensie azure-firewall zijn geïnstalleerd. U kunt deze installeren met behulp van de opdracht az extension add --name azure-firewall.
Aangepaste DNS-servers configureren - Azure PowerShell
In het volgende voorbeeld wordt Azure Firewall bijgewerkt met aangepaste DNS-servers met behulp van Azure PowerShell.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
DNS-proxy
U kunt Azure Firewall configureren om te fungeren als een DNS-proxy. Een DNS-proxy is een intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server.
Als u FQDN-filtering (Fully Qualified Domain Name) wilt inschakelen in netwerkregels, schakelt u de DNS-proxy in en werkt u de configuratie van de virtuele machine bij om de firewall als EEN DNS-proxy te gebruiken.
Als u FQDN-filtering inschakelt in netwerkregels en u geen virtuele clientmachines configureert om de firewall als EEN DNS-proxy te gebruiken, kunnen DNS-aanvragen van deze clients op een ander tijdstip naar een DNS-server worden verzonden of een ander antwoord retourneren dan die van de firewall. Het wordt aanbevolen om virtuele clientmachines te configureren voor het gebruik van de Azure Firewall als hun DNS-proxy. Dit plaatst Azure Firewall in het pad van de clientaanvragen om inconsistentie te voorkomen.
Wanneer Azure Firewall een DNS-proxy is, zijn er twee typen cachefuncties mogelijk:
Positieve cache: DNS-omzetting is geslaagd. De firewall slaat deze antwoorden in de cache op volgens de TTL (time to live) in het antwoord tot een maximum van 1 uur.
Negatieve cache: DNS-omzetting resulteert in geen reactie of geen resolutie. De firewall slaat deze antwoorden in de cache op volgens de TTL in het antwoord, tot een maximum van 30 minuten.
De DNS-proxy slaat alle omgezette IP-adressen van FQDN's op in netwerkregels. Als best practice kunt u FQDN's gebruiken die worden omgezet in één IP-adres.
Overname van beleid
Dns-beleidsinstellingen die worden toegepast op een zelfstandige firewall, overschrijven de DNS-instellingen van de zelfstandige firewall. Een onderliggend beleid neemt alle DNS-instellingen van het bovenliggende beleid over, maar kan het bovenliggende beleid overschrijven.
Als u bijvoorbeeld FQDN's in de netwerkregel wilt gebruiken, moet de DNS-proxy zijn ingeschakeld. Maar als voor een bovenliggend beleid geen DNS-proxy is ingeschakeld, biedt het onderliggende beleid geen ondersteuning voor FQDN's in netwerkregels, tenzij u deze instelling lokaal overschrijft.
DNS-proxyconfiguratie
Voor de configuratie van de DNS-proxy zijn drie stappen vereist:
- Schakel de DNS-proxy in Azure Firewall DNS-instellingen in.
- U kunt desgewenst uw aangepaste DNS-server configureren of de standaardinstelling gebruiken.
- Configureer het Azure Firewall privé-IP-adres als een aangepast DNS-adres in de DNS-serverinstellingen van uw virtuele netwerk. Deze instelling zorgt ervoor dat DNS-verkeer wordt omgeleid naar Azure Firewall.
DNS-proxy configureren - Azure Portal
Als u de DNS-proxy wilt configureren, moet u de instelling voor de DNS-servers van uw virtuele netwerk configureren voor het gebruik van het privé-IP-adres van de firewall. Schakel vervolgens de DNS-proxy in in de Azure Firewall DNS-instellingen.
DNS-servers voor virtuele netwerken configureren
- Selecteer het virtuele netwerk waar het DNS-verkeer via het Azure Firewall-exemplaar wordt gerouteerd.
- Selecteer onder Instellingen de optie DNS-servers.
- Selecteer onder DNS-servers de optie Aangepast.
- Voer het privé-IP-adres van de firewall in.
- Selecteer Opslaan.
- Start de VM's die zijn verbonden met het virtuele netwerk opnieuw op, zodat ze de nieuwe DNS-serverinstellingen krijgen toegewezen. VM's blijven hun huidige DNS-instellingen gebruiken totdat ze opnieuw worden opgestart.
DNS-proxy inschakelen
- Selecteer uw Azure Firewall exemplaar.
- Selecteer onder Instellingende optie DNS-instellingen.
- Dns-proxy is standaard uitgeschakeld. Wanneer deze instelling is ingeschakeld, luistert de firewall op poort 53 en stuurt dns-aanvragen door naar de geconfigureerde DNS-servers.
- Controleer de configuratie van de DNS-servers om er zeker van te zijn dat de instellingen geschikt zijn voor uw omgeving.
- Selecteer Opslaan.
DNS-proxy configureren - Azure CLI
U kunt de Azure CLI gebruiken om DNS-proxyinstellingen te configureren in Azure Firewall. U kunt het ook gebruiken om virtuele netwerken bij te werken om Azure Firewall te gebruiken als de DNS-server.
DNS-servers voor virtuele netwerken configureren
In het volgende voorbeeld wordt het virtuele netwerk geconfigureerd voor het gebruik van Azure Firewall als de DNS-server.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
DNS-proxy inschakelen
In het volgende voorbeeld wordt de functie DNS-proxy ingeschakeld in Azure Firewall.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
DNS-proxy configureren - Azure PowerShell
U kunt Azure PowerShell gebruiken om DNS-proxyinstellingen te configureren in Azure Firewall. U kunt het ook gebruiken om virtuele netwerken bij te werken om Azure Firewall te gebruiken als de DNS-server.
DNS-servers voor virtuele netwerken configureren
In het volgende voorbeeld wordt het virtuele netwerk geconfigureerd voor het gebruik van Azure Firewall als dns-server.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
DNS-proxy inschakelen
In het volgende voorbeeld wordt de functie DNS-proxy ingeschakeld in Azure Firewall.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Failover met hoge beschikbaarheid
DNS-proxy heeft een failovermechanisme dat stopt met het gebruik van een gedetecteerde beschadigde server en een andere BESCHIKBARE DNS-server gebruikt.
Als alle DNS-servers niet beschikbaar zijn, is er geen terugval naar een andere DNS-server.
Statuscontroles
Dns-proxy voert statuscontrolelussen van vijf seconden uit zolang de upstream-servers rapporteren als beschadigd. De statuscontroles zijn een recursieve DNS-query naar de hoofdnaamserver. Zodra een upstream-server als in orde wordt beschouwd, stopt de firewall de statuscontroles tot de volgende fout. Wanneer een proxy in orde een fout retourneert, selecteert de firewall een andere DNS-server in de lijst.