Partilhar via

Configurações de DNS do Firewall do Azure

  • Artigo

Você pode configurar um servidor DNS personalizado e habilitar o proxy DNS para o Firewall do Azure. Defina essas configurações ao implantar o firewall ou configure-as posteriormente na página Configurações de DNS. Por padrão, o Firewall do Azure usa o DNS do Azure e o Proxy DNS está desabilitado.

Servidores DNS

Um servidor DNS mantém e resolve nomes de domínio para endereços IP. Por padrão, o Firewall do Azure usa o DNS do Azure para resolução de nomes. A definição do servidor DNS permite-lhe configurar os seus próprios servidores DNS para a resolução de nomes da Firewall do Azure. Você pode configurar um único servidor ou vários servidores. Se você configurar vários servidores DNS, o servidor usado será escolhido aleatoriamente. Você pode configurar um máximo de 15 servidores DNS no DNS personalizado.

Nota

Para instâncias do Firewall do Azure gerenciadas usando o Gerenciador de Firewall do Azure, as configurações de DNS são definidas na política de Firewall do Azure associada.

Configurar servidores DNS personalizados

  1. Em Configurações do Firewall do Azure, selecione Configurações de DNS.
  2. Em Servidores DNS, você pode digitar ou adicionar servidores DNS existentes que foram especificados anteriormente em sua rede virtual.
  3. Selecione Aplicar.

O firewall agora direciona o tráfego DNS para os servidores DNS especificados para resolução de nomes.

Captura de ecrã a mostrar definições para servidores DNS.

Proxy DNS

Você pode configurar o Firewall do Azure para atuar como um proxy DNS. Um proxy DNS é um intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS.

Se você quiser habilitar a filtragem FQDN (nome de domínio totalmente qualificado) em regras de rede, habilite o proxy DNS e atualize a configuração da máquina virtual para usar o firewall como um proxy DNS.

Configuração de proxy D N S usando um servidor DNS personalizado.

Se você habilitar a filtragem FQDN em regras de rede e não configurar máquinas virtuais cliente para usar o firewall como um proxy DNS, as solicitações DNS desses clientes poderão viajar para um servidor DNS em um horário diferente ou retornar uma resposta diferente em comparação com a do firewall. É recomendável configurar máquinas virtuais cliente para usar o Firewall do Azure como seu proxy DNS. Isso coloca o Firewall do Azure no caminho das solicitações do cliente para evitar inconsistências.

Quando o Firewall do Azure é um proxy DNS, dois tipos de função de cache são possíveis:

  • Cache positivo: a resolução DNS foi bem-sucedida. O firewall armazena em cache essas respostas de acordo com o TTL (tempo de vida) na resposta até um máximo de 1 hora.

  • Cache negativo: a resolução DNS resulta em nenhuma resposta ou nenhuma resolução. O firewall armazena em cache essas respostas de acordo com o TTL na resposta, até um máximo de 30 minutos.

O proxy DNS armazena todos os endereços IP resolvidos de FQDNs em regras de rede. Como prática recomendada, use FQDNs que resolvem para um endereço IP.

Herança de políticas

As configurações de DNS de política aplicadas a um firewall autônomo substituem as configurações de DNS do firewall autônomo. Uma política filho herda todas as configurações de DNS da política pai, mas pode substituir a política pai.

Por exemplo, para usar FQDNs na regra de rede, o proxy DNS deve ser habilitado. Mas se uma política pai não tiver o proxy DNS habilitado, a política filho não suportará FQDNs em regras de rede, a menos que você substitua localmente essa configuração.

Configuração de proxy DNS

A configuração do proxy DNS requer três etapas:

  1. Habilite o proxy DNS nas configurações de DNS do Firewall do Azure.
  2. Opcionalmente, configure seu servidor DNS personalizado ou use o padrão fornecido.
  3. Configure o endereço IP privado do Firewall do Azure como um endereço DNS personalizado nas configurações do servidor DNS da rede virtual para direcionar o tráfego DNS para o Firewall do Azure.

Nota

Se você optar por usar um servidor DNS personalizado, selecione qualquer endereço IP na rede virtual, excluindo aqueles na sub-rede do Firewall do Azure.

Para configurar o proxy DNS, você deve configurar a configuração dos servidores DNS da rede virtual para usar o endereço IP privado do firewall. Em seguida, habilite o proxy DNS nas configurações de DNS do Firewall do Azure.

Configurar servidores DNS de rede virtual
  1. Selecione a rede virtual onde o tráfego DNS é roteado através da instância do Firewall do Azure.
  2. Em Configurações, selecione Servidores DNS.
  3. Em Servidores DNS, selecione Personalizado.
  4. Insira o endereço IP privado do firewall.
  5. Selecione Guardar.
  6. Reinicie as VMs conectadas à rede virtual para que lhes sejam atribuídas as novas configurações do servidor DNS. As VMs continuam a usar suas configurações de DNS atuais até serem reiniciadas.
Ativar proxy DNS
  1. Selecione sua instância do Firewall do Azure.
  2. Em Configurações, selecione Configurações de DNS.
  3. Por padrão, o Proxy DNS está desabilitado. Quando esta definição está ativada, a firewall escuta na porta 53 e reencaminha os pedidos DNS para os servidores DNS configurados.
  4. Revise a configuração dos servidores DNS para certificar-se de que as configurações são apropriadas para seu ambiente.
  5. Selecione Guardar.

Failover de alta disponibilidade

O proxy DNS tem um mecanismo de failover que para de usar um servidor não íntegro detetado e usa outro servidor DNS disponível.

Se todos os servidores DNS não estiverem disponíveis, não haverá fallback para outro servidor DNS.

Controlos sanitários

O proxy DNS executa loops de verificação de integridade de cinco segundos enquanto os servidores upstream relatarem como não íntegros. As verificações de integridade são uma consulta DNS recursiva para o servidor de nomes raiz. Quando um servidor upstream é considerado íntegro, o firewall interrompe as verificações de integridade até o próximo erro. Quando um proxy íntegro retorna um erro, o firewall seleciona outro servidor DNS na lista.

Firewall do Azure com Zonas DNS Privadas do Azure

Ao usar uma zona DNS Privada do Azure com o Firewall do Azure, certifique-se de não criar mapeamentos de domínio que substituam os nomes de domínio padrão das contas de armazenamento e outros pontos de extremidade criados pela Microsoft. Se você substituir os nomes de domínio padrão, isso interromperá o acesso de tráfego de gerenciamento do Firewall do Azure às contas de armazenamento do Azure e outros pontos de extremidade. Isso interrompe as atualizações do firewall, o registro e/ou o monitoramento.

Por exemplo, o tráfego de gerenciamento de firewall requer acesso à conta de armazenamento com o nome de domínio blob.core.windows.net e o firewall depende do DNS do Azure para resoluções de FQDN para endereços IP.

Não crie uma Zona DNS Privada com o nome *.blob.core.windows.net de domínio e associe-a à rede virtual do Firewall do Azure. Se você substituir os nomes de domínio padrão, todas as consultas DNS serão direcionadas para a zona DNS privada, e isso interromperá as operações de firewall. Em vez disso, crie um nome de domínio exclusivo, como *.<unique-domain-name>.blob.core.windows.net para a zona DNS privada.

Como alternativa, você pode habilitar um link privado para uma conta de armazenamento e integrá-lo a uma zona DNS privada, consulte Inspecionar o tráfego de ponto de extremidade privado com o Firewall do Azure.

Próximos passos