Параметры DNS Брандмауэра Azure
Вы можете настроить для Брандмауэра Azure пользовательский DNS-сервер и включить DNS-прокси. Эти параметры настраиваются при развертывании брандмауэра или позднее на странице Параметры DNS. По умолчанию Брандмауэр Azure использует Azure DNS, поэтому прокси-сервер DNS отключен.
Серверы DNS
DNS-сервер хранит доменные имена и разрешает их в IP-адреса. По умолчанию Брандмауэр Azure использует для разрешения имен Azure DNS. Параметр DNS-сервер позволяет настроить собственные DNS-серверы для разрешения имен в Брандмауэре Azure. Можно указать один или несколько серверов. При настройке нескольких DNS-серверов используемый сервер выбирается случайным образом. В Пользовательском DNSможно настроить не более 15 DNS-серверов.
Примечание.
Если экземпляр Брандмауэра Azure управляется через Диспетчер брандмауэра Azure, параметры DNS для него настраиваются в соответствующей политике Брандмауэра Azure.
Настройка пользовательских DNS-серверов
- В разделе Параметры для Брандмауэра Azure выберите Параметры DNS.
- В разделе DNS-серверов можно ввести или добавить существующие DNS-серверы, которые ранее были указаны в виртуальной сети.
- Выберите Применить.
Теперь брандмауэр направляет весь трафик DNS на указанные DNS-серверы для разрешения имен.
DNS-прокси
Вы можете настроить Брандмауэр Azure так, чтобы он действовал в качестве DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.
Если вы хотите включить в правилах сети фильтрацию по полным доменным именам (FQDN), включите DNS-прокси и обновите конфигурацию виртуальной машины, чтобы использовать брандмауэр в качестве DNS-прокси.
Если вы включите в правилах сети фильтрацию по FQDN, но не настроите на клиентских виртуальных машинах использование брандмауэра в качестве DNS-прокси, то DNS-запросы от таких клиентов будут поступать на DNS-сервер в другое время или возвращать не тот ответ, который возвращает брандмауэр. Рекомендуется настроить клиентские виртуальные машины для использования Брандмауэр Azure в качестве DNS-прокси. Это ставит Брандмауэр Azure в путь клиентских запросов, чтобы избежать несоответствия.
Если Брандмауэр Azure выполняет роль DNS-прокси, поддерживаются два типа функций кэширования:
Положительный кэш: успешное разрешение DNS. Брандмауэр кэширует эти ответы в соответствии с TTL (срок жизни) в ответе максимум до 1 часа.
Отрицательный кэш: разрешение DNS не дает ответа или возвращает ответ об отсутствии разрешения. Брандмауэр кэширует эти ответы в соответствии с TTL в ответе максимум до 30 минут.
DNS-прокси сохраняет все IP-адреса, разрешенные по полным доменным именам в правилах сети. Рекомендуется использовать полные доменные имена, которые разрешаются в один IP-адрес.
Наследование политик
Параметры DNS политики, применяемые к автономному брандмауэру, переопределяют параметры DNS автономного брандмауэра. Дочерняя политика наследует все параметры DNS родительской политики, но может переопределить родительскую политику.
Например, чтобы использовать имена FQDN в правиле сети, необходимо включить прокси-сервер DNS. Но если в родительской политике не включен прокси-сервер DNS, дочерняя политика не будет поддерживать имена FQDN в правилах сети, если только вы не переопределяете этот параметр локально.
Настройка DNS-прокси
Для настройки DNS-прокси нужно выполнить следующие три шага.
- Включите DNS-прокси в параметрах DNS для Брандмауэра Azure.
- При желании настройте пользовательский DNS-сервер или используйте значение по умолчанию.
- Настройте частный IP-адрес Брандмауэр Azure в качестве пользовательского DNS-адреса в параметрах DNS-сервера виртуальной сети, чтобы направлять трафик DNS в Брандмауэр Azure.
Примечание.
Если вы решили использовать пользовательский DNS-сервер, выберите любой IP-адрес в виртуальной сети, за исключением тех, кто входит в подсеть Брандмауэр Azure.
Чтобы настроить DNS-прокси, необходимо указать для DNS-сервера виртуальной сети частный IP-адрес брандмауэра. После этого включите DNS-прокси в параметрах DNS для Брандмауэра Azure.
Настройка DNS-серверов для виртуальной сети
- Выберите виртуальную сеть, в которой трафик DNS направляется через экземпляр Брандмауэр Azure.
- В разделе Параметры выберите DNS-серверы.
- Для параметра DNS-серверы выберите значение Пользовательский.
- Введите частный IP-адрес брандмауэра.
- Выберите Сохранить.
- Перезагрузите виртуальные машины, подключенные к виртуальной сети, чтобы назначить им новые параметры DNS-сервера. До перезагрузки виртуальные машины будут использовать прежние параметры DNS.
Включение DNS-прокси
- Выберите экземпляр Брандмауэра Azure.
- В разделе Параметры выберите Параметры DNS.
- По умолчанию DNS-прокси отключен. Если этот параметр включен, брандмауэр прослушивает порт 53 и переадресовывает запросы DNS на настроенные DNS-серверы.
- Проверьте конфигурацию DNS-серверов и убедитесь, что параметры соответствуют вашей среде.
- Выберите Сохранить.
Отработка отказа для высокодоступных систем
В прокси-сервере DNS используется механизм отработки отказа, который прерывает работу с обнаруженным неработоспособным сервером и использует другой доступный DNS-сервер.
Если все DNS-серверы недоступны, откат к другому DNS-серверу отсутствует.
Проверки работоспособности
Прокси-сервер DNS выполняет пятисекундный цикл проверки работоспособности в течение всего времени, когда вышестоящее серверы сообщают о неработоспособности. Проверки работоспособности — это рекурсивный DNS-запрос к корневому серверу доменных имен. После того как вышестоящий сервер признается работоспособным, брандмауэр останавливает проверку работоспособности до следующей ошибки. Если работоспособный прокси-сервер возвращает ошибку, брандмауэр выбирает другой DNS-сервер в списке.
Брандмауэр Azure с зонами Частная зона DNS Azure
При использовании зоны Azure Частная зона DNS с Брандмауэр Azure убедитесь, что вы не создаете сопоставления доменов, которые переопределяют доменные имена по умолчанию учетных записей хранения и других конечных точек, созданных корпорацией Майкрософт. При переопределении доменных имен по умолчанию он прерывает доступ к учетным записям хранения Azure и другим конечным точкам Брандмауэр Azure управления трафиком. Это нарушает обновление брандмауэра, ведение журнала и /или мониторинг.
Например, для трафика управления брандмауэром требуется доступ к учетной записи хранения с доменным именем blob.core.windows.net, а брандмауэр использует Azure DNS для полного доменного имени для разрешения IP-адресов.
Не создавайте зону Частная зона DNS с доменным именем *.blob.core.windows.net
и свяжите ее с виртуальной сетью Брандмауэр Azure. Если переопределить доменные имена по умолчанию, все запросы DNS направляются в частную зону DNS, и это нарушает операции брандмауэра. Вместо этого создайте уникальное доменное имя, например *.<unique-domain-name>.blob.core.windows.net
для частной зоны DNS.
Кроме того, можно включить приватный канал для учетной записи хранения и интегрировать его с частной зоной DNS, см. раздел "Проверка трафика частной конечной точки с помощью Брандмауэр Azure".