DNS ayarlarını Azure Güvenlik Duvarı
Özel bir DNS sunucusu yapılandırabilir ve Azure Güvenlik Duvarı için DNS proxy'sini etkinleştirebilirsiniz. Güvenlik duvarını dağıtırken bu ayarları yapılandırın veya daha sonra DNS ayarları sayfasından yapılandırın. Varsayılan olarak, Azure Güvenlik Duvarı Azure DNS kullanır ve DNS Ara Sunucusu devre dışı bırakılır.
DNS sunucuları
DNS sunucusu etki alanı adlarını tutar ve IP adreslerine çözümler. varsayılan olarak Azure Güvenlik Duvarı ad çözümlemesi için Azure DNS kullanır. DNS sunucusu ayarı, Azure Güvenlik Duvarı ad çözümlemesi için kendi DNS sunucularınızı yapılandırmanıza olanak tanır. Tek bir sunucu veya birden çok sunucu yapılandırabilirsiniz. Birden çok DNS sunucusu yapılandırdığınızda, kullanılan sunucu rastgele seçilir. Özel DNS'de en fazla 15 DNS sunucusu yapılandırabilirsiniz.
Not
Azure Güvenlik Duvarı Yöneticisi kullanılarak yönetilen Azure Güvenlik Duvarı örnekleri için, DNS ayarları ilişkili Azure Güvenlik Duvarı ilkesinde yapılandırılır.
Özel DNS sunucularını yapılandırma - Azure portal
- Azure Güvenlik Duvarı Ayarları'nın altında DNS Ayarları'nı seçin.
- DNS sunucuları altında, sanal ağınızda daha önce belirtilmiş olan mevcut DNS sunucularını yazabilir veya ekleyebilirsiniz.
- Uygula’yı seçin.
Güvenlik duvarı artık ad çözümlemesi için DNS trafiğini belirtilen DNS sunucularına yönlendirir.
Özel DNS sunucularını yapılandırma - Azure CLI
Aşağıdaki örnek, Azure CLI kullanarak özel DNS sunucularıyla Azure Güvenlik Duvarı güncelleştirir.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Önemli
komutu az network firewall , Azure CLI uzantısının azure-firewall yüklenmesini gerektirir. komutunu az extension add --name azure-firewallkullanarak yükleyebilirsiniz.
Özel DNS sunucularını yapılandırma - Azure PowerShell
Aşağıdaki örnek, Azure PowerShell kullanarak özel DNS sunucularıyla Azure Güvenlik Duvarı güncelleştirir.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
DNS ara sunucusu
Azure Güvenlik Duvarı BIR DNS proxy'si olarak davranacak şekilde yapılandırabilirsiniz. DNS ara sunucusu, istemci sanal makinelerinden DNS sunucusuna yapılan DNS istekleri için bir aracıdır.
Ağ kurallarında FQDN (tam etki alanı adı) filtrelemesini etkinleştirmek istiyorsanız, DNS ara sunucusunu etkinleştirin ve sanal makine yapılandırmasını güvenlik duvarını DNS ara sunucusu olarak kullanacak şekilde güncelleştirin.
Ağ kurallarında FQDN filtrelemeyi etkinleştirirseniz ve istemci sanal makinelerini güvenlik duvarını DNS ara sunucusu olarak kullanacak şekilde yapılandırmazsanız, bu istemcilerden gelen DNS istekleri farklı bir zamanda bir DNS sunucusuna gidebilir veya güvenlik duvarınınkiyle karşılaştırıldığında farklı bir yanıt döndürebilir. İstemci sanal makinelerinin dns ara sunucuları olarak Azure Güvenlik Duvarı kullanacak şekilde yapılandırılması önerilir. Bu, tutarsızlığı önlemek için Azure Güvenlik Duvarı istemci isteklerinin yoluna yerleştirir.
Azure Güvenlik Duvarı bir DNS ara sunucusu olduğunda iki önbelleğe alma işlevi türü mümkündür:
Pozitif önbellek: DNS çözümlemesi başarılı. Güvenlik duvarı bu yanıtları en fazla 1 saate kadar yanıttaki TTL'ye (yaşam süresi) göre önbelleğe alır.
Negatif önbellek: DNS çözümlemesi yanıtsız veya çözüm yok sonucunu getirir. Güvenlik duvarı bu yanıtları yanıttaki TTL'ye göre en fazla 30 dakikaya kadar önbelleğe alır.
DNS ara sunucusu, FQDN'lerden çözümlenen tüm IP adreslerini ağ kurallarında depolar. En iyi uygulama olarak, tek bir IP adresine çözümlenen FQDN'leri kullanın.
İlke devralma
Tek başına güvenlik duvarına uygulanan ilke DNS ayarları, tek başına güvenlik duvarının DNS ayarlarını geçersiz kılar. Alt ilke tüm üst ilke DNS ayarlarını devralır, ancak üst ilkeyi geçersiz kılabilir.
Örneğin, ağ kuralında FQDN'leri kullanmak için DNS ara sunucusunun etkinleştirilmesi gerekir. Ancak bir üst ilkede DNS proxy'si etkinleştirilmediyse, bu ayarı yerel olarak geçersiz kılmadığınız sürece alt ilke ağ kurallarında FQDN'leri desteklemez.
DNS proxy yapılandırması
DNS proxy yapılandırması üç adım gerektirir:
- DNS ayarlarını Azure Güvenlik Duvarı DNS proxy'sini etkinleştirin.
- İsteğe bağlı olarak, özel DNS sunucunuzu yapılandırın veya sağlanan varsayılanı kullanın.
- Azure Güvenlik Duvarı özel IP adresini sanal ağ DNS sunucusu ayarlarınızda özel bir DNS adresi olarak yapılandırın. Bu ayar, DNS trafiğinin Azure Güvenlik Duvarı yönlendirilmesini sağlar.
DNS ara sunucusunu yapılandırma - Azure portal
DNS ara sunucusunu yapılandırmak için sanal ağ DNS sunucuları ayarınızı güvenlik duvarı özel IP adresini kullanacak şekilde yapılandırmanız gerekir. Ardından Azure Güvenlik Duvarı DNS ayarlarında DNS ara sunucusunu etkinleştirin.
Sanal ağ DNS sunucularını yapılandırma
- DNS trafiğinin Azure Güvenlik Duvarı örneği üzerinden yönlendirileceği sanal ağı seçin.
- Ayarlar'ın altında DNS sunucuları'nı seçin.
- DNS sunucuları'nın altında Özel'i seçin.
- Güvenlik duvarının özel IP adresini girin.
- Kaydet’i seçin.
- Yeni DNS sunucusu ayarlarına atanmaları için sanal ağa bağlı VM'leri yeniden başlatın. VM'ler yeniden başlatılana kadar geçerli DNS ayarlarını kullanmaya devam eder.
DNS ara sunucusunu etkinleştirme
- Azure Güvenlik Duvarı örneğinizi seçin.
- Ayarlar'ın altında DNS ayarları'nı seçin.
- Varsayılan olarak , DNS Ara Sunucusu devre dışıdır. Bu ayar etkinleştirildiğinde, güvenlik duvarı 53 numaralı bağlantı noktasını dinler ve DNS isteklerini yapılandırılan DNS sunucularına iletir.
- Ayarların ortamınıza uygun olduğundan emin olmak için DNS sunucuları yapılandırmasını gözden geçirin.
- Kaydet’i seçin.
DNS ara sunucusunu yapılandırma - Azure CLI
Azure Güvenlik Duvarı'da DNS proxy ayarlarını yapılandırmak için Azure CLI'yi kullanabilirsiniz. Sanal ağları DNS sunucusu olarak Azure Güvenlik Duvarı kullanacak şekilde güncelleştirmek için de kullanabilirsiniz.
Sanal ağ DNS sunucularını yapılandırma
Aşağıdaki örnek, sanal ağı DNS sunucusu olarak Azure Güvenlik Duvarı kullanacak şekilde yapılandırılır.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
DNS ara sunucusunu etkinleştirme
Aşağıdaki örnek, Azure Güvenlik Duvarı'da DNS proxy özelliğini etkinleştirir.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
DNS ara sunucusunu yapılandırma - Azure PowerShell
Azure Güvenlik Duvarı'da DNS proxy ayarlarını yapılandırmak için Azure PowerShell kullanabilirsiniz. Sanal ağları DNS sunucusu olarak Azure Güvenlik Duvarı kullanacak şekilde güncelleştirmek için de kullanabilirsiniz.
Sanal ağ DNS sunucularını yapılandırma
Aşağıdaki örnek, sanal ağı dns sunucusu olarak Azure Güvenlik Duvarı kullanacak şekilde yapılandırılır.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
DNS ara sunucusunu etkinleştirme
Aşağıdaki örnek, Azure Güvenlik Duvarı'da DNS proxy özelliğini etkinleştirir.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Yüksek kullanılabilirlik yük devretmesi
DNS ara sunucusu, algılanan iyi durumda olmayan bir sunucuyu kullanmayı durduran ve kullanılabilir başka bir DNS sunucusu kullanan bir yük devretme mekanizmasına sahiptir.
Tüm DNS sunucuları kullanılamıyorsa, başka bir DNS sunucusuna geri dönüş olmaz.
Sistem durumu denetimleri
DNS ara sunucusu, yukarı akış sunucuları iyi durumda değil olarak rapor verdikçe beş saniyelik sistem durumu denetimi döngüleri gerçekleştirir. Sistem durumu denetimleri, kök ad sunucusuna yönelik özyinelemeli bir DNS sorgusu. Bir yukarı akış sunucusu iyi durumda kabul edildiğinde, güvenlik duvarı bir sonraki hataya kadar sistem durumu denetimlerini durdurur. İyi durumdaki bir ara sunucu hata döndürdüğünde, güvenlik duvarı listeden başka bir DNS sunucusu seçer.