Szczegóły serwera proxy DNS usługi Azure Firewall
Usługę Azure Firewall można skonfigurować tak, aby działała jako serwer proxy DNS. Serwer proxy DNS jest pośrednikiem dla żądań DNS z maszyn wirtualnych klienta do serwera DNS.
Poniższe informacje zawierają opis niektórych szczegółów implementacji serwera proxy DNS usługi Azure Firewall.
Nazwy FQDN z wieloma rekordami A
Usługa Azure Firewall działa jako standardowy klient DNS. Jeśli w odpowiedzi znajduje się wiele rekordów A, zapora przechowuje wszystkie rekordy w pamięci podręcznej i udostępnia je klientowi w odpowiedzi. Jeśli istnieje jeden rekord na odpowiedź, zapora przechowuje tylko jeden rekord. Nie ma możliwości, aby klient wiedział wcześniej, czy powinien oczekiwać jednego lub wielu rekordów A w odpowiedziach.
Czas wygaśnięcia (TTL) nazwy FQDN
Gdy czas wygaśnięcia nazwy FQDN (czas wygaśnięcia) wkrótce wygaśnie, rekordy są buforowane i wygasły zgodnie z ich listami TTLs. Pobieranie wstępne nie jest używane, więc zapora nie wykonuje wyszukiwania przed wygaśnięciem czasu wygaśnięcia w celu odświeżenia rekordu.
Klienci nieskonfigurowane do korzystania z serwera proxy DNS zapory
Jeśli komputer kliencki jest skonfigurowany do używania serwera DNS, który nie jest serwerem proxy DNS zapory, wyniki mogą być nieprzewidywalne.
Załóżmy na przykład, że obciążenie klienta znajduje się w regionie Wschodnie stany USA i używa podstawowego serwera DNS hostowanego w regionie Wschodnie stany USA. Ustawienia serwera DNS usługi Azure Firewall są skonfigurowane dla pomocniczego serwera DNS hostowanego w regionie Zachodnie stany USA. Serwer DNS zapory hostowany w regionie Zachodnie stany USA powoduje odpowiedź inną niż klient w regionie Wschodnie stany USA.
Jest to typowy scenariusz i dlaczego klienci powinni używać funkcji serwera proxy DNS zapory. Klienci powinni używać zapory jako narzędzia rozpoznawania nazw FQDN w regułach sieci. Spójność rozpoznawania adresów IP można zapewnić przez klientów i samą zaporę.
W tym przykładzie, jeśli nazwa FQDN jest skonfigurowana w regułach sieciowych, zapora rozpoznaje nazwę FQDN na adres IP1 (adres IP 1) i aktualizuje reguły sieciowe, aby zezwolić na dostęp do adresu IP1. Jeśli i kiedy klient rozpozna tę samą nazwę FQDN do IP2 z powodu różnicy w odpowiedzi DNS, próba połączenia nie będzie zgodna z regułami zapory i zostanie odrzucona.
W przypadku nazw FQDN HTTP/S w regułach aplikacji zapora analizuje nazwę FQDN z hosta lub nagłówka SNI, rozpoznaje go, a następnie nawiązuje połączenie z tym adresem IP. Docelowy adres IP, z którego klient próbował nawiązać połączenie, jest ignorowany.