Details zu Azure Firewall-DNS-Proxys
Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.
Im Folgenden werden einige Implementierungsdetails für Azure Firewall DNS-Proxy beschrieben.
FQDNs mit mehreren A-Records
Azure Firewall fungiert als DNS-Standardclient. Wenn in der Antwort mehrere A-Datensätze enthalten sind, speichert die Firewall alle Datensätze im Cache und bietet sie dem Client in der Antwort an. Wenn es einen Datensatz pro Antwort gibt, speichert die Firewall nur einen einzelnen Datensatz. Ein Client kann nie im Voraus wissen, ob er einen oder mehrere A-Records in Antworten erwarten sollte.
FQDN-Lebensdauer (TTL, Time to Live)
Kurz bevor eine FQDN-TTL abläuft, werden Records gemäß ihren TTLs zwischengespeichert und verworfen. Es wird kein Prefetching verwendet, sodass die Firewall vor Ablauf der TTL keinen Lookup ausführt, um den Datensatz zu aktualisieren.
Nicht für die Verwendung des Firewall-DNS-Proxys konfigurierte Clients
Wenn ein Clientcomputer für die Verwendung eines anderen DNS-Servers als dem DNS-Proxy der Firewall konfiguriert ist, können die Ergebnisse unvorhersehbar sein.
Ein Beispiel: Angenommen, eine Clientworkload befindet sich in „USA, Osten“ und verwendet einen primären DNS-Server, der in „USA, Osten“ gehostet wird. Die Azure Firewall DNS-Servereinstellungen sind für einen sekundären DNS-Server konfiguriert, der in „USA, Westen“ gehostet wird. Der DNS-Server der Firewall, der in „USA, Westen“ gehostet wird, sendet eine andere Antwort als der Client in der Region „USA, Osten“.
Dieses häufig auftretende Szenario ist der Grund dafür, dass Clients die DNS-Proxyfunktionalität der Firewall verwenden sollten. Wenn Sie FQDNs in Netzwerkregeln verwenden, sollten Clients die Firewall als Auflöser verwenden. Durch Clients und die Firewall selbst können sie eine konsistente IP-Adressauflösung sicherstellen.
Wenn in diesem Beispiel ein FQDN in den Netzwerkregeln konfiguriert ist, löst die Firewall den FQDN als IP1 (IP-Adresse 1) auf und aktualisiert die Netzwerkregeln, um den Zugriff auf IP1 zu ermöglichen. Wenn der Client den gleichen FQDN aufgrund eines Unterschieds in der DNS-Antwort als IP2 auflöst, entspricht der Verbindungsversuch nicht den Regeln der Firewall und wird verweigert.
Für HTTP/S-FQDNs in Anwendungsregeln liest die Firewall den FQDN aus dem Host- oder SNI-Header, löst ihn auf und stellt dann eine Verbindung mit dieser IP-Adresse her. Die Ziel-IP-Adresse, mit der der Client eine Verbindung herstellen wollte, wird ignoriert.