DNS Proxy ayrıntılarını Azure Güvenlik Duvarı
Azure Güvenlik Duvarı BIR DNS proxy'si olarak davranacak şekilde yapılandırabilirsiniz. DNS ara sunucusu, istemci sanal makinelerinden DNS sunucusuna dns istekleri için bir aracıdır.
Aşağıdaki bilgiler, Azure Güvenlik Duvarı DNS Ara Sunucusu için bazı uygulama ayrıntılarını açıklar.
Birden çok A kaydı olan FQDN'ler
Azure Güvenlik Duvarı standart bir DNS istemcisi işlevi görür. Yanıtta birden çok A kaydı varsa, güvenlik duvarı tüm kayıtları önbellekte depolar ve yanıtta istemciye sunar. Yanıt başına bir kayıt varsa, güvenlik duvarı yalnızca tek bir kayıt depolar. İstemcinin yanıtlarda bir veya birden çok A kaydı beklemesi gerekip gerekmediğini önceden bilmesine imkan yoktur.
FQDN Yaşam Süresi (TTL)
FQDN TTL'lerinin (yaşam süresi) süresi dolmak üzereyken, kayıtların TTL'lerine göre önbelleğe alınır ve süresi dolar. Önceden getirme kullanılmaz, bu nedenle güvenlik duvarı kaydı yenilemek için TTL süre sonu öncesinde arama yapmaz.
İstemciler güvenlik duvarı DNS ara sunucusunu kullanacak şekilde yapılandırılmamış
bir istemci bilgisayar, güvenlik duvarı DNS ara sunucusu olmayan bir DNS sunucusu kullanacak şekilde yapılandırılmışsa, sonuçlar öngörülemez olabilir.
Örneğin, bir istemci iş yükünün ABD Doğu bölgesinde olduğunu ve ABD Doğu'da barındırılan bir birincil DNS sunucusu kullandığını varsayalım. Azure Güvenlik Duvarı DNS sunucusu ayarları, ABD Batı'da barındırılan ikincil bir DNS sunucusu için yapılandırılır. Güvenlik duvarının ABD Batı'da barındırılan DNS sunucusu, ABD Doğu'daki istemciden farklı bir yanıt verir.
Bu yaygın bir senaryodur ve istemcilerin neden güvenlik duvarının DNS proxy işlevselliğini kullanması gerekir. Ağ kurallarında FQDN kullanıyorsanız istemciler çözümleyici olarak güvenlik duvarını kullanmalıdır. İstemciler ve güvenlik duvarı tarafından IP adresi çözümleme tutarlılığını sağlayabilirsiniz.
Bu örnekte, Ağ kurallarında bir FQDN yapılandırıldıysa, güvenlik duvarı FQDN'yi IP1'e (IP adresi 1) çözümler ve ağ kurallarını IP1'e erişime izin verecek şekilde güncelleştirir. İstemci, DNS yanıtında bir fark nedeniyle aynı FQDN'yi IP2'ye çözümlediğinde, bağlantı girişimi güvenlik duvarındaki kurallarla eşleşmez ve reddedilir.
Uygulama kurallarındaki HTTP/S FQDN'leri için, güvenlik duvarı FQDN'yi konaktan veya SNI üst bilgisinden ayrıştırıp çözümler ve ardından bu IP adresine bağlanır. İstemcinin bağlanmaya çalıştığı hedef IP adresi yoksayılır.