Detail Proksi DNS Azure Firewall
Anda dapat mengonfigurasi Azure Firewall untuk bertindak sebagai proksi DNS. Proksi DNS adalah perantara untuk permintaan DNS dari mesin virtual klien ke server DNS.
Informasi berikut ini menjelaskan beberapa detail implementasi untuk Proksi DNS Azure Firewall.
FQDN dengan beberapa catatan A
Azure Firewall bertindak sebagai klien DNS standar. Jika beberapa catatan A berada dalam respons, firewall menyimpan semua rekaman dalam cache. Jika ada satu catatan per respons, firewall hanya menyimpan satu rekaman. Tidak ada cara bagi klien untuk mengetahui sebelumnya apakah harus mengharapkan satu atau beberapa catatan A sebagai tanggapan.
Waktu hidup (TTL) FQDN
Saat FQDN TTL (waktu hidup) akan kedaluwarsa, data akan di-cache dan kedaluwarsa sesuai dengan TTL mereka. Pengambilan awal tidak digunakan, jadi firewall tidak melakukan pencarian sebelum TTL kedaluwarsa untuk menyegarkan rekaman.
Klien tidak dikonfigurasi untuk menggunakan proksi DNS firewall
Jika komputer klien dikonfigurasi untuk menggunakan server DNS yang bukan proksi DNS firewall, hasilnya bisa tidak dapat diprediksi.
Misalnya, asumsikan beban kerja klien berada di AS Timur, dan menggunakan server DNS utama yang dihosting di AS Timur. Pengaturan server DNS Azure Firewall dikonfigurasi untuk server DNS sekunder yang dihosting di AS Barat. Server DNS firewall yang dihosting di AS Barat menghasilkan respons yang berbeda dari klien di AS Timur.
Ini adalah skenario umum, dan mengapa klien harus menggunakan fungsionalitas proksi DNS firewall. Klien harus menggunakan firewall sebagai resolver mereka jika Anda menggunakan FQDN dalam aturan Jaringan. Anda dapat memastikan konsistensi resolusi alamat IP oleh klien dan firewall itu sendiri.
Dalam contoh ini, jika FQDN dikonfigurasi dalam aturan Jaringan, firewall menyelesaikan FQDN ke IP1 (alamat IP 1) dan memperbarui aturan jaringan untuk memungkinkan akses ke IP1. Jika dan ketika klien menyelesaikan FQDN yang sama dengan IP2 karena perbedaan respons DNS, upaya koneksinya tidak akan cocok dengan aturan pada firewall dan akan ditolak.
Untuk HTTP/S FQDN dalam aturan Aplikasi, firewall menguraikan FQDN dari host atau header SNI, menyelesaikannya, dan kemudian terhubung ke alamat IP tersebut. Alamat IP tujuan yang coba disambungkan klien diabaikan.