Azure Firewall DNS-proxyinformation
Du kan konfigurera Azure Firewall att fungera som en DNS-proxy. En DNS-proxy är en mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server.
I följande information beskrivs viss implementeringsinformation för Azure Firewall DNS-proxy.
FQDN med flera A-poster
Azure Firewall fungerar som en VANLIG DNS-klient. Om flera A-poster finns i svaret lagrar brandväggen alla poster i cacheminnet. Om det finns en post per svar lagrar brandväggen bara en post. Det finns inget sätt för en klient att veta i förväg om den bör förvänta sig en eller flera A-poster i svar.
FQDN Time to Live (TTL)
När en FQDN TTL (time-to-live) håller på att upphöra att gälla cachelagras poster och upphör att gälla enligt deras TTL-adresser. Förhämtning används inte, så brandväggen gör ingen sökning innan TTL-förfallotiden för att uppdatera posten.
Klienter som inte har konfigurerats för att använda brandväggens DNS-proxy
Om en klientdator är konfigurerad för att använda en DNS-server som inte är brandväggens DNS-proxy kan resultatet bli oförutsägbart.
Anta till exempel att en klientarbetsbelastning finns i USA, östra och använder en primär DNS-server i USA, östra. Azure Firewall DNS-serverinställningar har konfigurerats för en sekundär DNS-server i USA, västra. Brandväggens DNS-server i USA, västra resulterar i ett annat svar än för klienten i USA, östra.
Det här är ett vanligt scenario och varför klienter ska använda brandväggens DNS-proxyfunktioner. Klienter bör använda brandväggen som matchare om du använder FQDN i nätverksregler. Du kan säkerställa konsekvens för IP-adressmatchning av klienter och själva brandväggen.
I det här exemplet, om ett FQDN har konfigurerats i Nätverksregler, matchar brandväggen FQDN till IP1 (IP-adress 1) och uppdaterar nätverksreglerna för att tillåta åtkomst till IP1. Om och när klienten löser samma FQDN till IP2 på grund av en skillnad i DNS-svar, matchar inte anslutningsförsöket reglerna i brandväggen och nekas.
För HTTP/S FQDN i programregler parsar brandväggen ut det fullständiga domännamnet från värden eller SNI-huvudet, löser det och ansluter sedan till den IP-adressen. Mål-IP-adressen som klienten försökte ansluta till ignoreras.