Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode configurar um servidor DNS personalizado e habilitar o proxy DNS para o Firewall do Azure. Defina essas configurações ao implantar o firewall ou configure-as posteriormente na página Configurações de DNS . Por padrão, o Firewall do Azure usa o DNS do Azure e o Proxy DNS está desabilitado.
Servidores DNS
Um servidor DNS mantém e resolve nomes de domínio para endereços IP. Por padrão, o Firewall do Azure usa o DNS do Azure para resolução de nomes. A definição do servidor DNS permite-lhe configurar os seus próprios servidores DNS para a resolução de nomes da Firewall do Azure. Você pode configurar um único servidor ou vários servidores. Se você configurar vários servidores DNS, o servidor usado será escolhido aleatoriamente. Você pode configurar um máximo de 15 servidores DNS no DNS personalizado.
Observação
Para instâncias do Firewall do Azure gerenciadas usando o Gerenciador de Firewall do Azure, as configurações de DNS são definidas na política de Firewall do Azure associada.
Configurar servidores DNS personalizados
- Em Configurações do Firewall do Azure, selecione Configurações de DNS.
- Em Servidores DNS, você pode digitar ou adicionar servidores DNS existentes que foram especificados anteriormente em sua rede virtual.
- Selecione Aplicar.
O firewall agora direciona o tráfego DNS para os servidores DNS especificados para resolução de nomes.
Proxy DNS
Você pode configurar o Firewall do Azure para atuar como um proxy DNS. Um proxy DNS é um intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS.
Se você quiser habilitar a filtragem FQDN (nome de domínio totalmente qualificado) em regras de rede, habilite o proxy DNS e atualize a configuração da máquina virtual para usar o firewall como um proxy DNS.
Se você habilitar a filtragem FQDN em regras de rede, mas não configurar máquinas virtuais cliente para usar o Firewall do Azure como proxy DNS, as solicitações DNS desses clientes poderão ser resolvidas em momentos diferentes ou retornar resultados diferentes daqueles vistos pelo Firewall do Azure. Para garantir uma resolução DNS consistente e filtragem FQDN, configure as máquinas virtuais cliente para usar o Firewall do Azure como seu proxy DNS. Essa configuração garante que todas as solicitações DNS passem pelo firewall, evitando inconsistências.
Quando o Firewall do Azure é um proxy DNS, dois tipos de função de cache são possíveis:
Cache positivo: a resolução DNS foi bem-sucedida. O firewall coloca em cache essas respostas de acordo com o TTL (tempo de vida) contido na resposta, até um máximo de 1 hora.
Cache negativo: a resolução DNS não resulta em resposta ou resolução. O firewall armazena em cache essas respostas de acordo com o TTL na resposta, até um máximo de 30 minutos.
O proxy DNS armazena todos os endereços IP resolvidos de FQDNs em regras de rede. Como prática recomendada, use FQDNs que resolvem para um endereço IP.
Herança de políticas
As configurações de DNS de política aplicadas a um firewall autônomo substituem as configurações de DNS do firewall autônomo. Uma política filha herda todas as configurações de DNS da política pai, mas pode sobrepor a política pai.
Por exemplo, para usar FQDNs na regra de rede, o proxy DNS deve ser habilitado. Mas, se uma política principal não tiver o proxy DNS ativado, a política secundária não suportará FQDNs em regras de rede, a menos que localmente substitua esta configuração.
Configuração de proxy DNS
A configuração do proxy DNS requer três etapas:
- Habilite o proxy DNS nas configurações de DNS do Firewall do Azure.
- Opcionalmente, configure seu servidor DNS personalizado ou use o padrão fornecido.
- Configure o endereço IP privado do Firewall do Azure como um endereço DNS personalizado nas configurações do servidor DNS da rede virtual para direcionar o tráfego DNS para o Firewall do Azure.
Observação
Se você usar um servidor DNS personalizado, selecione um endereço IP da sua rede virtual que não faça parte da sub-rede do Firewall do Azure.
Para configurar o proxy DNS, você deve configurar a configuração dos servidores DNS da rede virtual para usar o endereço IP privado do firewall. Em seguida, habilite o proxy DNS nas configurações de DNS do Firewall do Azure.
Configurar servidores DNS de rede virtual
- Selecione a rede virtual onde o tráfego DNS é roteado através da instância do Firewall do Azure.
- Em Configurações, selecione Servidores DNS.
- Em Servidores DNS, selecione Personalizado.
- Insira o endereço IP privado do firewall.
- Selecione Guardar.
- Reinicie as VMs conectadas à rede virtual para que lhes sejam atribuídas as novas configurações do servidor DNS. As VMs continuam a usar suas configurações de DNS atuais até serem reiniciadas.
Ativar proxy DNS
- Selecione sua instância do Firewall do Azure.
- Em Configurações, selecione Configurações de DNS.
- Por padrão, o Proxy DNS está desabilitado. Quando esta definição está ativada, a firewall escuta na porta 53 e reencaminha os pedidos DNS para os servidores DNS configurados.
- Revise a configuração dos servidores DNS para certificar-se de que as configurações são apropriadas para seu ambiente.
- Selecione Guardar.
Failover de alta disponibilidade
O proxy DNS tem um mecanismo de transferência que, ao detetar um servidor instável, para de o usar e passa a utilizar outro servidor DNS disponível.
Se todos os servidores DNS não estiverem disponíveis, não haverá fallback para outro servidor DNS.
Controlos sanitários
O proxy DNS realiza verificações de integridade de cinco segundos continuamente, enquanto os servidores upstream estiverem não saudáveis. As verificações de integridade são uma consulta DNS recursiva para o servidor de nomes raiz. Quando um servidor upstream é considerado íntegro, o firewall interrompe as verificações de integridade até o próximo erro. Quando um proxy íntegro retorna um erro, o firewall seleciona outro servidor DNS na lista.
Firewall do Azure com Zonas DNS Privadas do Azure
O Firewall do Azure dá suporte à integração com zonas de DNS Privado do Azure, permitindo que ele resolva nomes de domínio privados. Quando você associa uma zona DNS privada à rede virtual onde o Firewall do Azure está implantado, o firewall pode resolver nomes definidos nessa zona.
Importante
Evite criar registros DNS em zonas DNS privadas que substituam domínios padrão de propriedade da Microsoft. A substituição desses domínios pode impedir que o Firewall do Azure resolva pontos de extremidade críticos, o que pode interromper o tráfego de gerenciamento e fazer com que recursos como registro, monitoramento e atualizações falhem.
A seguir está uma lista não exaustiva de domínios de propriedade da Microsoft que não devem ser substituídos, pois o tráfego de gerenciamento do Firewall do Azure pode exigir acesso a eles:
azclient.msazure.comcloudapp.netcore.windows.netlogin.microsoftonline.commicrosoft.commsidentity.comtrafficmanager.netvault.azure.netwindows.netmanagement.azure.comtable.core.windows.netstore.core.windows.netazure-api.netmicrosoftmetrics.comtime.windows.comservicebus.windows.netblob.storage.azure.netblob.core.windows.netarm-msedge.netcloudapp.azure.commonitoring.core.windows.net
Por exemplo, o tráfego de gerenciamento do Firewall do Azure requer acesso a contas de armazenamento usando o domínio blob.core.windows.net. Caso crie uma zona DNS privada para *.blob.core.windows.net e a associe à rede virtual do firewall, substituirá a resolução DNS padrão e interromperá as operações essenciais do firewall. Para evitar esse problema, não substitua o domínio padrão. Em vez disso, crie uma zona DNS privada para um subdomínio exclusivo, como *.<unique-domain-name>.blob.core.windows.net.
Como alternativa, para impedir que as zonas DNS privadas afetem o Firewall do Azure, implante os serviços que exigem zonas DNS privadas em uma rede virtual separada. Dessa forma, as zonas DNS privadas são associadas apenas à rede virtual de serviço e não afetam a resolução de DNS para o Firewall do Azure.