Azure Firewall detalhes do Proxy DNS
Pode configurar Azure Firewall para atuar como um proxy DNS. Um proxy DNS é um intermediário para pedidos DNS de máquinas virtuais cliente para um servidor DNS.
As seguintes informações descrevem alguns detalhes de implementação para Azure Firewall Proxy de DNS.
FQDNs com vários registos A
Azure Firewall funciona como um cliente DNS padrão. Se existirem vários registos A na resposta, a firewall armazena todos os registos na cache. Se existir um registo por resposta, a firewall armazena apenas um registo. Não há como um cliente saber antecipadamente se deve esperar um ou vários registos A em respostas.
FQDN Time to Live (TTL)
Quando um TTL FQDN (time-to-live) está prestes a expirar, os registos são colocados em cache e expirados de acordo com os respetivos TTLs. A pré-obtenção não é utilizada, pelo que a firewall não faz uma pesquisa antes da expiração do TTL para atualizar o registo.
Clientes não configurados para utilizar o proxy DNS da firewall
Se um computador cliente estiver configurado para utilizar um servidor DNS que não seja o proxy DNS da firewall, os resultados podem ser imprevisíveis.
Por exemplo, suponha que uma carga de trabalho de cliente está no E.U.A. Leste e utiliza um servidor DNS primário alojado no E.U.A. Leste. Azure Firewall as definições do servidor DNS estão configuradas para um servidor DNS secundário alojado no E.U.A. Oeste. O servidor DNS da firewall alojado no E.U.A. Oeste resulta numa resposta diferente da do cliente no E.U.A. Leste.
Este é um cenário comum e por que motivo os clientes devem utilizar a funcionalidade de proxy DNS da firewall. Os clientes devem utilizar a firewall como resolução se utilizar FQDNs em Regras de rede. Pode garantir a consistência da resolução de endereços IP por parte dos clientes e da própria firewall.
Neste exemplo, se um FQDN estiver configurado em Regras de rede, a firewall resolve o FQDN para IP1 (endereço IP 1) e atualiza as regras de rede para permitir o acesso ao IP1. Se e quando o cliente resolver o mesmo FQDN para IP2 devido a uma diferença na resposta DNS, a tentativa de ligação não corresponderá às regras na firewall e será negada.
Para FQDNs HTTP/S nas regras da aplicação, a firewall analisa o FQDN do anfitrião ou cabeçalho SNI, resolve-o e, em seguida, liga-se a esse endereço IP. O endereço IP de destino ao qual o cliente estava a tentar ligar-se é ignorado.