Dns-proxyinformation för Azure Firewall
Du kan konfigurera Azure Firewall så att den fungerar som en DNS-proxy. En DNS-proxy är en mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server.
Följande information beskriver viss implementeringsinformation för Azure Firewall DNS-proxy.
FQDN:er med flera A-poster
Azure Firewall fungerar som en standard-DNS-klient. Om flera A-poster finns i svaret lagrar brandväggen alla poster i cacheminnet och erbjuder dem till klienten i svaret. Om det finns en post per svar lagrar brandväggen bara en enda post. Det finns inget sätt för en klient att veta i förväg om den bör förvänta sig en eller flera A-poster i svar.
FQDN Time to Live (TTL)
När en FQDN TTL (time-to-live) håller på att upphöra att gälla cachelagras posterna och upphör att gälla enligt deras TTL:er. Förhämtning används inte, så brandväggen gör ingen sökning innan TTL upphör att gälla för att uppdatera posten.
Klienter som inte har konfigurerats för att använda brandväggens DNS-proxy
Om en klientdator är konfigurerad för att använda en DNS-server som inte är brandväggens DNS-proxy kan resultatet vara oförutsägbart.
Anta till exempel att en klientarbetsbelastning finns i USA, östra och använder en primär DNS-server i USA, östra. Dns-serverinställningarna för Azure Firewall konfigureras för en sekundär DNS-server som finns i USA, västra. Brandväggens DNS-server i USA, västra resulterar i ett annat svar än klientens i USA, östra.
Det här är ett vanligt scenario och varför klienter ska använda brandväggens DNS-proxyfunktioner. Klienter bör använda brandväggen som lösning om du använder FQDN i nätverksregler. Du kan säkerställa konsekvens för IP-adressmatchning av klienter och själva brandväggen.
I det här exemplet, om ett FQDN har konfigurerats i Nätverksregler, löser brandväggen FQDN till IP1 (IP-adress 1) och uppdaterar nätverksreglerna för att tillåta åtkomst till IP1. Om och när klienten löser samma FQDN till IP2 på grund av en skillnad i DNS-svar matchar anslutningsförsöket inte reglerna i brandväggen och nekas.
För HTTP/S FQDN i programregler parsar brandväggen ut det fullständiga domännamnet från värden eller SNI-huvudet, löser det och ansluter sedan till ip-adressen. Mål-IP-adressen som klienten försökte ansluta till ignoreras.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för