Поделиться через

Параметры DNS Брандмауэра Azure

  • Статья

Вы можете настроить для Брандмауэра Azure пользовательский DNS-сервер и включить DNS-прокси. Эти параметры настраиваются при развертывании брандмауэра или позднее на странице Параметры DNS. По умолчанию Брандмауэр Azure использует Azure DNS, поэтому прокси-сервер DNS отключен.

Серверы DNS

DNS-сервер хранит доменные имена и разрешает их в IP-адреса. По умолчанию Брандмауэр Azure использует для разрешения имен Azure DNS. Параметр DNS-сервер позволяет настроить собственные DNS-серверы для разрешения имен в Брандмауэре Azure. Можно указать один или несколько серверов. При настройке нескольких DNS-серверов используемый сервер выбирается случайным образом. В Пользовательском DNSможно настроить не более 15 DNS-серверов.

Примечание.

Если экземпляр Брандмауэра Azure управляется через Диспетчер брандмауэра Azure, параметры DNS для него настраиваются в соответствующей политике Брандмауэра Azure.

Настройка пользовательских DNS-серверов

  1. В разделе Параметры для Брандмауэра Azure выберите Параметры DNS.
  2. В разделе DNS-серверов можно ввести или добавить существующие DNS-серверы, которые ранее были указаны в виртуальной сети.
  3. Выберите Применить.

Теперь брандмауэр направляет весь трафик DNS на указанные DNS-серверы для разрешения имен.

Снимок экрана: параметры DNS-серверов.

DNS-прокси

Вы можете настроить Брандмауэр Azure так, чтобы он действовал в качестве DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.

Если вы хотите включить в правилах сети фильтрацию по полным доменным именам (FQDN), включите DNS-прокси и обновите конфигурацию виртуальной машины, чтобы использовать брандмауэр в качестве DNS-прокси.

Конфигурация прокси-сервера D N S с помощью настраиваемого DNS-сервера.

Если вы включите в правилах сети фильтрацию по FQDN, но не настроите на клиентских виртуальных машинах использование брандмауэра в качестве DNS-прокси, то DNS-запросы от таких клиентов будут поступать на DNS-сервер в другое время или возвращать не тот ответ, который возвращает брандмауэр. Рекомендуется настроить клиентские виртуальные машины для использования Брандмауэр Azure в качестве DNS-прокси. Это ставит Брандмауэр Azure в путь клиентских запросов, чтобы избежать несоответствия.

Если Брандмауэр Azure выполняет роль DNS-прокси, поддерживаются два типа функций кэширования:

  • Положительный кэш: успешное разрешение DNS. Брандмауэр кэширует эти ответы в соответствии с TTL (срок жизни) в ответе максимум до 1 часа.

  • Отрицательный кэш: разрешение DNS не дает ответа или возвращает ответ об отсутствии разрешения. Брандмауэр кэширует эти ответы в соответствии с TTL в ответе максимум до 30 минут.

DNS-прокси сохраняет все IP-адреса, разрешенные по полным доменным именам в правилах сети. Рекомендуется использовать полные доменные имена, которые разрешаются в один IP-адрес.

Наследование политик

Параметры DNS политики, применяемые к автономному брандмауэру, переопределяют параметры DNS автономного брандмауэра. Дочерняя политика наследует все параметры DNS родительской политики, но может переопределить родительскую политику.

Например, чтобы использовать имена FQDN в правиле сети, необходимо включить прокси-сервер DNS. Но если в родительской политике не включен прокси-сервер DNS, дочерняя политика не будет поддерживать имена FQDN в правилах сети, если только вы не переопределяете этот параметр локально.

Настройка DNS-прокси

Для настройки DNS-прокси нужно выполнить следующие три шага.

  1. Включите DNS-прокси в параметрах DNS для Брандмауэра Azure.
  2. При желании настройте пользовательский DNS-сервер или используйте значение по умолчанию.
  3. Настройте частный IP-адрес Брандмауэр Azure в качестве пользовательского DNS-адреса в параметрах DNS-сервера виртуальной сети, чтобы направлять трафик DNS в Брандмауэр Azure.

Примечание.

Если вы решили использовать пользовательский DNS-сервер, выберите любой IP-адрес в виртуальной сети, за исключением тех, кто входит в подсеть Брандмауэр Azure.

Чтобы настроить DNS-прокси, необходимо указать для DNS-сервера виртуальной сети частный IP-адрес брандмауэра. После этого включите DNS-прокси в параметрах DNS для Брандмауэра Azure.

Настройка DNS-серверов для виртуальной сети
  1. Выберите виртуальную сеть, в которой трафик DNS направляется через экземпляр Брандмауэр Azure.
  2. В разделе Параметры выберите DNS-серверы.
  3. Для параметра DNS-серверы выберите значение Пользовательский.
  4. Введите частный IP-адрес брандмауэра.
  5. Выберите Сохранить.
  6. Перезагрузите виртуальные машины, подключенные к виртуальной сети, чтобы назначить им новые параметры DNS-сервера. До перезагрузки виртуальные машины будут использовать прежние параметры DNS.
Включение DNS-прокси
  1. Выберите экземпляр Брандмауэра Azure.
  2. В разделе Параметры выберите Параметры DNS.
  3. По умолчанию DNS-прокси отключен. Если этот параметр включен, брандмауэр прослушивает порт 53 и переадресовывает запросы DNS на настроенные DNS-серверы.
  4. Проверьте конфигурацию DNS-серверов и убедитесь, что параметры соответствуют вашей среде.
  5. Выберите Сохранить.

Отработка отказа для высокодоступных систем

В прокси-сервере DNS используется механизм отработки отказа, который прерывает работу с обнаруженным неработоспособным сервером и использует другой доступный DNS-сервер.

Если все DNS-серверы недоступны, откат к другому DNS-серверу отсутствует.

Проверки работоспособности

Прокси-сервер DNS выполняет пятисекундный цикл проверки работоспособности в течение всего времени, когда вышестоящее серверы сообщают о неработоспособности. Проверки работоспособности — это рекурсивный DNS-запрос к корневому серверу доменных имен. После того как вышестоящий сервер признается работоспособным, брандмауэр останавливает проверку работоспособности до следующей ошибки. Если работоспособный прокси-сервер возвращает ошибку, брандмауэр выбирает другой DNS-сервер в списке.

Брандмауэр Azure с зонами Частная зона DNS Azure

При использовании зоны Azure Частная зона DNS с Брандмауэр Azure убедитесь, что вы не создаете сопоставления доменов, которые переопределяют доменные имена по умолчанию учетных записей хранения и других конечных точек, созданных корпорацией Майкрософт. При переопределении доменных имен по умолчанию он прерывает доступ к учетным записям хранения Azure и другим конечным точкам Брандмауэр Azure управления трафиком. Это нарушает обновление брандмауэра, ведение журнала и /или мониторинг.

Например, для трафика управления брандмауэром требуется доступ к учетной записи хранения с доменным именем blob.core.windows.net, а брандмауэр использует Azure DNS для полного доменного имени для разрешения IP-адресов.

Не создавайте зону Частная зона DNS с доменным именем *.blob.core.windows.net и свяжите ее с виртуальной сетью Брандмауэр Azure. Если переопределить доменные имена по умолчанию, все запросы DNS направляются в частную зону DNS, и это нарушает операции брандмауэра. Вместо этого создайте уникальное доменное имя, например *.<unique-domain-name>.blob.core.windows.net для частной зоны DNS.

Кроме того, можно включить приватный канал для учетной записи хранения и интегрировать его с частной зоной DNS, см. раздел "Проверка трафика частной конечной точки с помощью Брандмауэр Azure".

Следующие шаги