Azure 防火牆原則 DNS 設定
您可以為 Azure 防火牆原則設定自訂 DNS 伺服器並啟用 DNS Proxy。 您可以在部署防火牆時進行這些設定,或稍後從 [設定]、[DNS] 頁面設定。
DNS 伺服器
DNS 伺服器會維護網域名稱並將其解析為 IP 位址。 根據預設,Azure 防火牆會使用 Azure DNS 來解析名稱。 DNS 伺服器設定可讓您設定自己的 DNS 伺服器來用於 Azure 防火牆名稱解析。 您可以設定單一或多部伺服器。
DNS Proxy
您可以將Azure 防火牆設定為 DNS Proxy 的角色。 DNS Proxy 可作為從用戶端虛擬機器對 DNS 伺服器發出 DNS 要求的中繼。 如果您設定自訂 DNS 伺服器,應該啟用 DNS Proxy 以避免 DNS 解析不符,並在網路規則中啟用 FQDN 篩選。
如果您不啟用 DNS Proxy,來自用戶端的 DNS 要求可能會在不同的時間移動至 DNS 伺服器,或傳回相較於防火牆不同的回應。 DNS Proxy 會將 Azure 防火牆放在用戶端要求的路徑中,以避免不一致的情形。
DNS Proxy 設定需要三個步驟:
- 在 Azure 防火牆 DNS 設定中啟用 DNS Proxy。
- 選擇性地設定自訂 DNS 伺服器,或使用提供的預設值。
- 最後,您必須在虛擬網路 DNS 伺服器設定中,將 Azure 防火牆私人 IP 位址設定為自訂 DNS 位址。 這可確保 DNS 流量會導向 Azure 防火牆。
設定防火牆原則 DNS
- 選取您的防火牆原則。
- 在 [設定] 下,選取 [DNS]。
- 選取 [已啟用] 以啟用此原則的 DNS 設定。
- 在 [DNS 伺服器] 下,您可以接受 [預設 (Azure 提供)] 設定,或選取 [自訂] 以新增您要為虛擬網路設定的自訂 DNS 伺服器。
- 在 [DNS Proxy] 下,如果您已設定客戶 DNS 伺服器,請選取 [已啟用] 以啟用 DNS Proxy。
- 選取套用。
設定虛擬網路
若要設定 DNS Proxy,您也必須設定虛擬網路 DNS 伺服器設定以使用防火牆私人 IP 位址。
設定虛擬網路 DNS 伺服器
- 選取將透過 Azure 防火牆路由 DNS 流量的虛擬網路。
- 選取 [設定] 底下的 [DNS 伺服器]。
- 選取 [DNS 伺服器] 底下的 [自訂]。
- 輸入防火牆的私人 IP 位址。
- 選取 [儲存]。