Detalhes do Proxy DNS do Firewall do Azure
Você pode configurar o Firewall do Azure para atuar como um proxy DNS. Um proxy DNS é um intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS.
As informações a seguir descrevem alguns detalhes de implementação para o Proxy DNS do Firewall do Azure.
FQDNs com vários registros A
O Firewall do Azure atua como um cliente DNS padrão. Se vários registros A estiverem na resposta, o firewall armazenará todos os registros em cache e os oferecerá ao cliente na resposta. Se houver um registro por resposta, o firewall armazenará apenas um único registro. Não há como um cliente saber com antecedência se deve esperar um ou vários registros A nas respostas.
FQDN Tempo de Vida (TTL)
Quando um FQDN TTL (time-to-live) está prestes a expirar, os registros são armazenados em cache e expirados de acordo com seus TTLs. A pré-busca não é usada, portanto, o firewall não faz uma pesquisa antes da expiração do TTL para atualizar o registro.
Clientes não configurados para usar o proxy DNS do firewall
Se um computador cliente estiver configurado para usar um servidor DNS que não seja o proxy DNS do firewall, os resultados poderão ser imprevisíveis.
Por exemplo, suponha que uma carga de trabalho de cliente esteja no Leste dos EUA e use um servidor DNS primário hospedado no Leste dos EUA. As configurações do servidor DNS do Firewall do Azure são definidas para um servidor DNS secundário hospedado no Oeste dos EUA. O servidor DNS do firewall hospedado no Oeste dos EUA resulta em uma resposta diferente da do cliente no Leste dos EUA.
Este é um cenário comum e por isso os clientes devem usar a funcionalidade de proxy DNS do firewall. Os clientes devem usar o firewall como resolvedor se você usar FQDNs em regras de rede. Você pode garantir a consistência da resolução de endereços IP pelos clientes e pelo próprio firewall.
Neste exemplo, se um FQDN estiver configurado em Regras de rede, o firewall resolverá o FQDN para IP1 (endereço IP 1) e atualizará as regras de rede para permitir o acesso ao IP1. Se e quando o cliente resolver o mesmo FQDN para IP2 devido a uma diferença na resposta DNS, sua tentativa de conexão não corresponderá às regras do firewall e será negada.
Para FQDNs HTTP/S em Regras de aplicativo, o firewall analisa o FQDN do host ou do cabeçalho SNI, resolve-o e se conecta a esse endereço IP. O endereço IP de destino ao qual o cliente estava tentando se conectar é ignorado.