Параметры DNS Брандмауэра Azure
Вы можете настроить для Брандмауэра Azure пользовательский DNS-сервер и включить DNS-прокси. Эти параметры настраиваются при развертывании брандмауэра или позднее на странице Параметры DNS. По умолчанию Брандмауэр Azure использует Azure DNS, поэтому прокси-сервер DNS отключен.
"Серверы DNS"
DNS-сервер хранит доменные имена и разрешает их в IP-адреса. По умолчанию Брандмауэр Azure использует для разрешения имен Azure DNS. Параметр DNS-сервер позволяет настроить собственные DNS-серверы для разрешения имен в Брандмауэре Azure. Можно указать один или несколько серверов. При настройке нескольких DNS-серверов используемый сервер выбирается случайным образом. В Пользовательском DNSможно настроить не более 15 DNS-серверов.
Примечание
Если экземпляр Брандмауэра Azure управляется через Диспетчер брандмауэра Azure, параметры DNS для него настраиваются в соответствующей политике Брандмауэра Azure.
Настройка пользовательских DNS-серверов на портале Azure
- В разделе Параметры для Брандмауэра Azure выберите Параметры DNS.
- В разделе DNS-серверы можно ввести или добавить существующие DNS-серверы, которые ранее были указаны в виртуальной сети.
- Нажмите кнопку Применить.
Теперь брандмауэр направляет весь трафик DNS на указанные DNS-серверы для разрешения имен.
Настройка пользовательских DNS-серверов с помощью Azure CLI
В следующем примере для Брандмауэра Azure настраиваются пользовательские DNS-серверы с помощью Azure CLI.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Важно!
Для команды az network firewall требуется установить расширение Azure CLI azure-firewall. Это можно сделать с помощью команды az extension add --name azure-firewall.
Настройка пользовательских DNS-серверов в Azure PowerShell
В следующем примере для Брандмауэра Azure настраиваются пользовательские DNS-серверы с помощью Azure PowerShell.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
DNS-прокси
Вы можете настроить Брандмауэр Azure таким образом, чтобы он выполнял роль DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.
Если вы хотите включить в правилах сети фильтрацию по полным доменным именам (FQDN), включите DNS-прокси и обновите конфигурацию виртуальной машины, чтобы использовать брандмауэр в качестве DNS-прокси.
Если вы включите в правилах сети фильтрацию по FQDN, но не настроите на клиентских виртуальных машинах использование брандмауэра в качестве DNS-прокси, то DNS-запросы от таких клиентов будут поступать на DNS-сервер в другое время или возвращать не тот ответ, который возвращает брандмауэр. Рекомендуется настроить виртуальные машины клиента для использования Брандмауэр Azure в качестве прокси-сервера DNS. Это помещает Брандмауэр Azure в путь клиентских запросов, чтобы избежать несоответствия.
Если Брандмауэр Azure выполняет роль DNS-прокси, поддерживаются два типа функций кэширования:
Положительный кэш: успешное разрешение DNS. Брандмауэр кэширует эти ответы в соответствии с TTL (срок жизни) в ответе максимум до 1 часа.
Отрицательный кэш: разрешение DNS не дает ответа или возвращает ответ об отсутствии разрешения. Брандмауэр кэширует эти ответы в соответствии с TTL в ответе максимум до 30 минут.
DNS-прокси сохраняет все IP-адреса, разрешенные по полным доменным именам в правилах сети. Рекомендуется использовать полные доменные имена, которые разрешаются в один IP-адрес.
Наследование политик
Параметры DNS политики, применяемые к автономному брандмауэру, переопределяют параметры DNS автономного брандмауэра. Дочерняя политика наследует все параметры DNS родительской политики, но может переопределить родительскую политику.
Например, чтобы использовать имена FQDN в правиле сети, необходимо включить прокси-сервер DNS. Но если в родительской политике не включен прокси-сервер DNS, дочерняя политика не будет поддерживать имена FQDN в правилах сети, если только вы не переопределяете этот параметр локально.
Настройка DNS-прокси
Для настройки DNS-прокси нужно выполнить следующие три шага.
- Включите DNS-прокси в параметрах DNS для Брандмауэра Azure.
- При желании настройте пользовательский DNS-сервер или используйте значение по умолчанию.
- Укажите частный IP-адрес Брандмауэра Azure в качестве адреса пользовательского DNS-сервера в параметрах DNS-сервера для виртуальной сети. Такая конфигурация гарантирует, что трафик DNS будет перенаправляться в Брандмауэр Azure.
Настройка DNS-прокси на портале Azure
Чтобы настроить DNS-прокси, необходимо указать для DNS-сервера виртуальной сети частный IP-адрес брандмауэра. После этого включите DNS-прокси в параметрах DNS для Брандмауэра Azure.
Настройка DNS-серверов для виртуальной сети
- Выберите виртуальную сеть, для которой трафик DNS будет маршрутизироваться через экземпляр Брандмауэра Azure.
- В разделе Параметры выберите DNS-серверы.
- Для параметра DNS-серверы выберите значение Пользовательский.
- Введите частный IP-адрес брандмауэра.
- Щелкните Сохранить.
- Перезагрузите виртуальные машины, подключенные к виртуальной сети, чтобы назначить им новые параметры DNS-сервера. До перезагрузки виртуальные машины будут использовать прежние параметры DNS.
Включение DNS-прокси
- Выберите экземпляр Брандмауэра Azure.
- В разделе Параметры выберите Параметры DNS.
- По умолчанию параметр DNS-прокси отключен. Если этот параметр включен, брандмауэр прослушивает порт 53 и переадресовывает запросы DNS на настроенные DNS-серверы.
- Проверьте конфигурацию DNS-серверов и убедитесь, что эти параметры соответствуют вашей среде.
- Щелкните Сохранить.
Настройка DNS-прокси с помощью Azure CLI
Для настройки параметров DNS-прокси в Брандмауэре Azure можно использовать интерфейс командной строки Azure (Azure CLI). С его помощью также можно изменить параметры виртуальных сетей, чтобы использовать в качестве DNS-сервера Брандмауэр Azure.
Настройка DNS-серверов для виртуальной сети
В следующем примере для виртуальной сети настраивается использование Брандмауэра Azure в качестве DNS-сервера.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
Включение DNS-прокси
В следующем примере включается функция DNS-прокси в Брандмауэре Azure.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
Настройка DNS-прокси в Azure PowerShell
Для настройки параметров DNS-прокси в Брандмауэре Azure можно использовать среду Azure PowerShell. С ее помощью также можно изменить параметры виртуальных сетей, чтобы использовать в качестве DNS-сервера Брандмауэр Azure.
Настройка DNS-серверов для виртуальной сети
В следующем примере для виртуальной сети настраивается использование брандмауэра Azure в качестве DNS-сервера.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
Включение DNS-прокси
В следующем примере включается функция DNS-прокси в Брандмауэре Azure.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Отработка отказа для высокодоступных систем
В прокси-сервере DNS используется механизм отработки отказа, который прерывает работу с обнаруженным неработоспособным сервером и использует другой доступный DNS-сервер.
Если все DNS-серверы недоступны, откат к другому DNS-серверу отсутствует.
Проверки работоспособности
Прокси-сервер DNS выполняет пятисекундный цикл проверки работоспособности в течение всего времени, когда вышестоящее серверы сообщают о неработоспособности. Проверки работоспособности — это рекурсивный DNS-запрос к корневому серверу доменных имен. После того как вышестоящий сервер признается работоспособным, брандмауэр останавливает проверку работоспособности до следующей ошибки. Если работоспособный прокси-сервер возвращает ошибку, брандмауэр выбирает другой DNS-сервер в списке.