Pengaturan Azure Firewall DNS

Anda bisa mengonfigurasi server DNS kustom dan mengaktifkan proksi DNS untuk Azure Firewall. Konfigurasikan pengaturan ini saat Anda menggunakan firewall, atau konfigurasikan nanti dari halaman Pengaturan DNS. Secara default, Azure Firewall menggunakan Azure DNS dan Proksi DNS dinonaktifkan.

Server DNS

Server DNS memelihara dan menyelesaikan nama domain ke alamat IP. Secara default, Azure Firewall menggunakan Azure DNS untuk resolusi nama. Pengaturan server DNS memungkinkan Anda mengonfigurasi server DNS Anda sendiri untuk resolusi nama Azure Firewall. Anda dapat mengonfigurasi satu server atau beberapa server.

Catatan

Misalnya Azure Firewall yang dikelola dengan menggunakan Azure Firewall Manager, pengaturan DNS dikonfigurasi dalam kebijakan Azure Firewall terkait.

Mengonfigurasi server DNS kustom - Portal Microsoft Azure

  1. Di bawah Pengaturan Azure Firewall, pilih Pengaturan DNS.
  2. Di bawah Server DNS, Anda bisa mengetik atau menambahkan server DNS yang sudah ada yang telah ditentukan sebelumnya di jaringan virtual Anda.
  3. Pilih Terapkan.

Firewall sekarang mengarahkan lalu lintas DNS ke server DNS yang ditentukan untuk resolusi nama.

Cuplikan layar memperlihatkan pengaturan untuk server D N S .

Mengonfigurasi server DNS kustom - Portal Microsoft Azure

Contoh berikut memperbarui Azure Firewall dengan server DNS kustom dengan menggunakan Azure CLI.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Penting

Perintah az network firewall ini mengharuskan ekstensi Azure CLI azure-firewall diinstal. Anda dapat menginstalnya dengan menggunakan perintah az extension add --name azure-firewall.

Mengonfigurasi server DNS kustom - Microsoft Azure PowerShell

Contoh berikut memperbarui Azure Firewall dengan server DNS kustom dengan menggunakan Microsoft Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

Proksi DNS

Anda dapat mengonfigurasi Azure Firewall untuk bertindak sebagai proksi DNS. Proksi DNS adalah perantara untuk permintaan DNS dari mesin virtual klien ke server DNS.

Jika Anda ingin mengaktifkan pemfilteran FQDN (nama domain yang sepenuhnya memenuhi syarat) dalam aturan jaringan, aktifkan proksi DNS dan perbarui konfigurasi komputer virtual untuk menggunakan firewall sebagai proksi DNS.

Konfigurasi proksi D N S menggunakan server D N S kustom.

Jika Anda mengaktifkan pemfilteran FQDN dalam aturan jaringan, dan Anda tidak mengonfigurasi mesin virtual klien untuk menggunakan firewall sebagai proksi DNS, maka permintaan DNS dari klien ini mungkin melakukan perjalanan ke server DNS pada waktu yang berbeda atau mengembalikan respons yang berbeda dibandingkan dengan firewall. Proksi DNS menempatkan Azure Firewall di jalur permintaan klien untuk menghindari inkonsistensi.

Saat Azure Firewall menjadi proksi DNS, dua jenis fungsi penembolokan dimungkinkan:

  • Singgahan positif: Resolusi DNS berhasil. Firewall menggunakan TTL (waktu untuk hidup) dari paket atau objek.

  • Penembolokan negatif: Resolusi DNS tidak menghasilkan respons atau tanpa resolusi. Firewall menyimpan informasi ini selama satu jam.

Proksi DNS menyimpan semua alamat IP yang diselesaikan dari FQDN dalam aturan jaringan. Sebagai praktik terbaik, gunakan FQDN yang diselesaikan ke satu alamat IP.

Warisan kebijakan

Pengaturan DNS kebijakan yang diterapkan ke firewall mandiri mengambil alih pengaturan DNS firewall mandiri. Kebijakan anak mewarisi semua pengaturan DNS kebijakan induk, tetapi dapat mengambil alih kebijakan induk.

Misalnya, untuk menggunakan FQDN dalam aturan jaringan, proksi DNS harus diaktifkan. Namun jika kebijakan induk tidak mengaktifkan proksi DNS, kebijakan anak tidak akan mendukung FQDN dalam aturan jaringan kecuali Anda mengambil alih pengaturan ini secara lokal.

Konfigurasi proksi DNS

Konfigurasi proksi DNS memerlukan tiga langkah:

  1. Aktifkan proksi DNS di pengaturan DNS Azure Firewall.
  2. Secara opsional, konfigurasikan server DNS kustom Anda atau gunakan default yang disediakan.
  3. Konfigurasikan alamat IP privat Azure Firewall sebagai alamat DNS kustom di pengaturan server DNS jaringan virtual Anda. Pengaturan ini memastikan lalu lintas DNS diarahkan ke Azure Firewall.

Mengonfigurasi proksi DNS - Portal Microsoft Azure

Untuk mengonfigurasi proksi DNS, Anda harus mengonfigurasi pengaturan server DNS jaringan virtual Anda untuk menggunakan alamat IP privat firewall. Kemudian aktifkan proksi DNS di pengaturan DNS Azure Firewall.

Mengonfigurasi server DNS jaringan virtual
  1. Pilih jaringan virtual tempat lalu lintas DNS akan diarahkan melalui instans Azure Firewall.
  2. Di bawah Pengaturan, pilih Server DNS.
  3. Di bawah Server DNS, pilih Kustom.
  4. Masukkan alamat IP privat firewall.
  5. Pilih Simpan.
  6. Mulai ulang VM yang tersambung ke jaringan virtual, sehingga mereka diberi pengaturan server DNS baru. VM terus menggunakan pengaturan DNS mereka saat ini hingga dihidupkan ulang.
Mengaktifkan proksi DNS
  1. Pilih instans Azure Firewall Anda.
  2. Di bawah Pengaturan, pilih Server DNS.
  3. Secara default, DNS Proxy dinonaktifkan. Ketika pengaturan ini diaktifkan, firewall mendengarkan di port 53 dan meneruskan permintaan DNS ke server DNS yang dikonfigurasi.
  4. Tinjau konfigurasi server DNS untuk memastikan bahwa pengaturannya sesuai untuk lingkungan Anda.
  5. Pilih Simpan.

Cuplikan layar memperlihatkan pengaturan untuk server D N S.

Mengonfigurasi proksi DNS - Azure CLI

Anda bisa menggunakan Azure CLI untuk mengonfigurasi pengaturan proksi DNS di Azure Firewall. Anda juga dapat menggunakannya untuk memperbarui jaringan virtual untuk menggunakan Azure Firewall sebagai server DNS.

Mengonfigurasi server DNS jaringan virtual

Contoh berikut mengonfigurasi jaringan virtual untuk menggunakan Azure Firewall sebagai server DNS.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Mengaktifkan proksi DNS

Contoh berikut ini memungkinkan fitur proksi DNS di Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Mengonfigurasi proksi DNS - Microsoft Azure PowerShell

Anda bisa menggunakan Microsoft Azure PowerShell untuk mengonfigurasi pengaturan proksi DNS di Azure Firewall. Anda juga dapat menggunakannya untuk memperbarui jaringan virtual untuk menggunakan Azure Firewall sebagai server DNS.

Mengonfigurasi server DNS jaringan virtual

Contoh berikut mengonfigurasi jaringan virtual untuk menggunakan Azure Firewall sebagai server DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Mengaktifkan proksi DNS

Contoh berikut ini memungkinkan fitur proksi DNS di Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Langkah berikutnya