Detalhes do Proxy de DNS do Firewall do Azure
Você pode configurar o Firewall do Azure para atuar como um proxy do DNS. Um proxy DNS é um intermediário das solicitações de DNS das máquinas virtuais do cliente para um servidor DNS.
As informações a seguir descrevem alguns detalhes de implementação do Proxy de DNS do Firewall do Azure.
FQDNs com vários registros A
O Firewall do Azure atua como um cliente DNS padrão. Se vários registros A estiverem na resposta, o firewall armazenará todos os registros no cache e os oferecerá ao cliente na resposta. Se houver um registro por resposta, o firewall armazenará apenas um único registro. Não há como um cliente saber antecipadamente se ele deve esperar um ou vários registros A em respostas.
TTL (vida útil) do FQDN
Quando a TTL (vida útil) do FQDN está prestes a expirar, os registros são armazenados em cache e expirados de acordo com suas TTLs. A busca prévia não é usada, portanto, o firewall não faz uma pesquisa antes da expiração do TTL para atualizar o registro.
Clientes não configurados para usar o proxy de DNS do firewall
Se um computador cliente estiver configurado para usar um servidor DNS que não seja o proxy de DNS do firewall, os resultados poderão ser imprevisíveis.
Por exemplo, suponha que uma carga de trabalho do cliente esteja no leste dos EUA e use um servidor DNS primário hospedado no leste dos EUA. As configurações do servidor DNS do Firewall do Azure são configuradas para um servidor DNS secundário hospedado no oeste dos EUA. O servidor DNS do firewall hospedado no oeste dos EUA resulta em uma resposta diferente daquela do cliente no leste dos EUA.
Esse é um cenário comum, e é por isso que os clientes devem usar a funcionalidade de proxy de DNS do firewall. Os clientes devem usar o firewall como resolvedor se você usa FQDNs em Regras de rede. Você pode garantir a consistência da resolução de endereço IP por clientes e pelo próprio firewall.
Neste exemplo, se um FQDN estiver configurado em Regras de rede, o firewall resolverá o FQDN para IP1 (endereço IP 1) e atualizará as regras de rede para permitir o acesso ao IP1. Se e quando o cliente resolver o mesmo FQDN para IP2 devido a uma diferença na resposta DNS, sua tentativa de conexão não corresponderá às regras no firewall e será negada.
Para FQDNs HTTP/S em Regras de aplicativo, o firewall analisa o FQDN a partir do host ou do cabeçalho SNI, resolve-o e, em seguida, se conecta a esse endereço IP. O endereço IP de destino ao qual o cliente estava tentando se conectar foi ignorado.