Azure 防火牆 DNS Proxy 詳細資料

您可以將Azure 防火牆設定為 DNS Proxy 的角色。 DNS Proxy 是從用戶端虛擬機器對 DNS 伺服器發出 DNS 要求的媒介。

下列資訊描述 Azure 防火牆 DNS Proxy 的一些實作詳細資料。

具有多個 A 記錄的 FQDN

Azure 防火牆做為標準 DNS 用戶端。如果回應中有多個 A 記錄，防火牆會將所有記錄儲存在快取中。如果每個回應有一筆記錄，防火牆只會儲存單一記錄。用戶端無法事先知道是否應該在回應中預期一或多個 A 記錄。

當 FQDN TTL (存留時間) 即將到期時，系統會根據記錄的 TTL 加以快取和過期。不會使用預先擷取，因此防火牆不會在 TTL 到期前執行查閱來重新整理記錄。

如果用戶端電腦設定為使用不是防火牆 DNS Proxy 的 DNS 伺服器，結果可能會無法預測。

例如，假設用戶端工作負載位於美國東部，並使用裝載於美國東部的主要 DNS 伺服器。 Azure 防火牆 DNS 伺服器設定是針對裝載在美國西部的次要 DNS 伺服器進行設定。裝載在美國西部的防火牆 DNS 伺服器會產生與美國東部用戶端不同的回應。

這是常見的案例，以及用戶端應該使用防火牆的 DNS Proxy 功能的原因。如果您在網路規則中使用 FQDN，用戶端應該使用防火牆作為其解析器。您可以確保用戶端和防火牆本身的 IP 位址解析一致性。

在此範例中，如果在網路規則中設定 FQDN，防火牆會將 FQDN 解析為 IP1 (IP 位址 1)，並更新網路規則以允許存取 IP1。如果用戶端因為 DNS 回應中的差異而將相同的 FQDN 解析為 IP2 時，其連線嘗試不會符合防火牆上的規則，而且將會遭到拒絕。

針對應用程式規則中的 HTTP/S FQDN，防火牆會從主機或 SNI 標頭剖析出 FQDN、解析它，然後連線到該 IP 位址。將忽略用戶端嘗試連線的目的地 IP 位址。