Configurações de DNS do Firewall do Azure

Você pode configurar um servidor DNS personalizado e habilitar o proxy DNS do Firewall do Azure. Configure essas configurações ao implantar o firewall ou configure-as mais tarde na página Configurações de DNS. Por padrão, o Firewall do Azure usa o DNS do Azure e o Proxy DNS é desabilitado.

Servidores DNS

Um servidor DNS mantém e resolve os nomes de domínio para endereços IP. Por padrão, o Firewall do Azure usa o DNS do Azure para resolução de nomes. A configuração do servidor DNS permite que você configure seus próprios servidores DNS para a resolução de nomes do Firewall do Azure. Você pode configurar um único servidor ou diversos servidores.

Observação

As instâncias do Firewall do Azure que são gerenciadas usando o Gerenciador de Firewall do Azure, os conjuntos de DNS são configurados na política de firewall do Azure associada.

Configurar os servidores DNS personalizados-portal do Microsoft Azure

  1. Em Configurações do Firewall do Azure, selecione Configurações de DNS.
  2. Em servidores DNS,você pode digitar ou adicionar servidores DNS existentes que foram especificados anteriormente em sua rede virtual.
  3. Selecione Aplicar.

Agora o firewall direciona o tráfego DNS para os servidores DNS especificados na resolução de nomes.

Captura de tela mostrando as configurações dos servidores DNS.

Configurar os servidores DNS personalizados-CLI do Azure

O exemplo a seguir atualiza o Firewall do Azure com os servidores DNS personalizados usando o CLI do Azure.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Importante

O comandoaz network firewallrequer que a extensão do CLI do Azureazure-firewall seja instalada. Você pode instalar usando o comandoaz extension add --name azure-firewall.

Configurar os servidores DNS personalizados-Azure PowerShell

O exemplo a seguir atualiza o Firewall do Azure com os servidores DNS personalizados usando o Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

Proxy DNS

Você pode configurar o Firewall do Azure para atuar como um proxy do DNS. Um proxy DNS é um intermediário das solicitações de DNS das máquinas virtuais do cliente para um servidor DNS.

Se você quiser habilitar a filtragem do FQDN (nome de domínio totalmente qualificado) nas regras de rede, habilite o proxy DNS e atualize a configuração da máquina virtual para usar o firewall como um proxy DNS.

Configuração do proxy DNS usando um servidor DNS personalizado.

Se você habilitar a filtragem do FQDN nas regras de rede e não configurar máquinas virtuais cliente para usar o firewall como um proxy DNS, as solicitações DNS desses clientes poderão viajar para um servidor DNS em um momento diferente, ou retornar uma resposta diferente em comparação com a do firewall. O proxy do DNS coloca o Firewall do Azure no caminho das solicitações do cliente para evitar inconsistências.

Quando o Firewall do Azure for um proxy DNS, são possíveis dois tipos de função de cache:

  • Cache Positivo:a resolução de DNS foi bem-sucedida. O firewall usa a TTL (vida útil) do pacote ou do objeto.

  • Cache Negativo: a resolução de DNS resulta em nenhuma resposta ou nenhuma resolução. Os caches do firewall armazenam essas informações por uma hora.

O proxy de DNS armazena todos os endereços IP resolvidos dos FQDNs nas regras de rede. Como a melhor prática, use os FQDNs que resolvem um endereço IP.

Herança de política

As configurações DNS de política aplicadas a um firewall autônomo substituem as configurações DNS do firewall autônomo. Uma política filho herda todas as configurações DNS da política pai, mas pode substituir a política pai.

Por exemplo, para usar FQDNs na regra de rede, o proxy DNS deve ser habilitado. Mas se uma política pai não tiver o proxy DNS habilitado, a política filho não dá suporte a FQDNs nas regras de rede, a menos que você substitua localmente essa configuração.

Configuração de Proxy de DNS

A configuração do proxy do DNS requer três etapas:

  1. Habilite o proxy DNS nas configurações de DNS do Firewall do Azure.
  2. Opcionalmente, configurar seu servidor DNS personalizado ou usar o padrão fornecido.
  3. Configure o endereço IP privado do Firewall do Azure como um endereço DNS personalizado em suas configurações do servidor DNS da rede virtual. Esta configuração garante que o tráfego de DNS seja direcionado para o Firewall do Azure.

Configurar o proxy DNS-portal do Microsoft Azure

Para configurar o proxy do DNS, você deve configurar a configuração dos servidores DNS da rede virtual para usar o endereço IP privado do firewall. Em seguida, habilite o proxy DNS nas configurações de DNS do Firewall do Azure.

Configurar os servidores DNS da rede virtual
  1. Selecione a rede virtual na qual o tráfego DNS será roteado por meio da instância do Firewall do Azure.
  2. Em Configurações, selecione Servidores DNS.
  3. Em Servidores DNS, selecione Personalizado.
  4. Insira o endereço IP privado do Firewall.
  5. Selecione Salvar.
  6. Reinicie as VMs que estão conectadas à rede virtual, como consta as novas configurações do servidor DNS sejam atribuídas a elas. As VMs continuam a usar suas configurações de DNS atuais até que sejam reiniciadas.
Habilitar o proxy DNS
  1. Selecione a instância do Firewall do Azure.
  2. Em Configurações,selecione Configurações do DNS.
  3. Por padrão, o Proxy de DNS está desabilitado. Quando esta configuração é habilitada, o firewall escuta na porta 53 e encaminha as solicitações do DNS para os servidores DNS configurados.
  4. Revise a configuração dos servidores DNS para certificar-se de que as configurações são apropriadas para o ambiente.
  5. Selecione Salvar.

Captura de tela mostrando as configurações dos servidores proxy DNS.

Configurar o proxy DNS- CLI do Azure

Você pode usar o CLI do Azure para configurar as configurações de proxy DNS no Firewall do Azure. Você também pode usá-lo para atualizar as redes virtuais para usar o Firewall do Azure como o servidor DNS.

Configurar os servidores DNS da rede virtual

A amostra a seguir configura a rede virtual para usar o Firewall do Azure como o servidor DNS.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Habilitar o proxy DNS

A amostra a seguir habilita a funcionalidade do proxy DNS no Firewall do Azure.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Configurar o proxy DNS- Microsoft Azure PowerShell

Você pode usar o Microsoft Azure PowerShell para configurar as configurações do proxy DNS no Firewall do Azure. Você também pode usá-lo para atualizar as redes virtuais para usar o Firewall do Azure como o servidor DNS.

Configurar os servidores DNS da rede virtual

A amostra a seguir configura a rede virtual para usar o Firewall do Azure como um servidor DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Habilitar o proxy DNS

A amostra a seguir habilita a funcionalidade do proxy DNS no Firewall do Azure.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Próximas etapas