Azure Firewall DNS-inställningar

  • Artikel

Du kan konfigurera en anpassad DNS-server och aktivera DNS-proxy för Azure Firewall. Konfigurera de här inställningarna när du distribuerar brandväggen eller konfigurera dem senare från sidan DNS-inställningar . Som standard är Azure Firewall använder Azure DNS och DNS-proxy inaktiverad.

DNS-servrar

En DNS-server underhåller och löser domännamn till IP-adresser. Som standard använder Azure Firewall Azure DNS för namnmatchning. Med DNS-serverinställningen kan du konfigurera dina egna DNS-servrar för Azure Firewall namnmatchning. Du kan konfigurera en enskild server eller flera servrar. Om du konfigurerar flera DNS-servrar väljs den server som används slumpmässigt. Du kan konfigurera högst 15 DNS-servrar i anpassad DNS.

Anteckning

För instanser av Azure Firewall som hanteras med hjälp av Azure Firewall Manager konfigureras DNS-inställningarna i den associerade Azure Firewall principen.

Konfigurera anpassade DNS-servrar – Azure Portal

  1. Under Azure Firewall Inställningar väljer du DNS-inställningar.
  2. Under DNS-servrar kan du skriva eller lägga till befintliga DNS-servrar som tidigare har angetts i ditt virtuella nätverk.
  3. Välj Använd.

Brandväggen dirigerar nu DNS-trafik till de angivna DNS-servrarna för namnmatchning.

Skärmbild som visar inställningar för D N S-servrar.

Konfigurera anpassade DNS-servrar – Azure CLI

I följande exempel uppdateras Azure Firewall med anpassade DNS-servrar med hjälp av Azure CLI.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Viktigt

Kommandot az network firewall kräver att Azure CLI-tillägget azure-firewall installeras. Du kan installera det med hjälp av kommandot az extension add --name azure-firewall.

Konfigurera anpassade DNS-servrar – Azure PowerShell

I följande exempel uppdateras Azure Firewall med anpassade DNS-servrar med hjälp av Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

DNS-proxy

Du kan konfigurera Azure Firewall att fungera som en DNS-proxy. En DNS-proxy är en mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server.

Om du vill aktivera FQDN-filtrering (fullständigt domännamn) i nätverksregler aktiverar du DNS-proxy och uppdaterar konfigurationen av den virtuella datorn så att brandväggen används som en DNS-proxy.

D N S-proxykonfiguration med en anpassad D N S-server.

Om du aktiverar FQDN-filtrering i nätverksregler och du inte konfigurerar virtuella klientdatorer att använda brandväggen som en DNS-proxy kan DNS-begäranden från dessa klienter skickas till en DNS-server vid en annan tidpunkt eller returnera ett annat svar jämfört med brandväggens. Vi rekommenderar att du konfigurerar virtuella klientdatorer så att de använder Azure Firewall som DNS-proxy. Detta placerar Azure Firewall i sökvägen för klientbegäranden för att undvika inkonsekvens.

När Azure Firewall är en DNS-proxy är två typer av cachelagringsfunktioner möjliga:

  • Positiv cache: DNS-matchningen lyckas. Brandväggen cachelagrar dessa svar enligt TTL(time to live) i svaret upp till högst 1 timme.

  • Negativ cache: DNS-matchning resulterar i inget svar eller ingen matchning. Brandväggen cachelagrar dessa svar enligt TTL i svaret, upp till högst 30 minuter.

DNS-proxyn lagrar alla matchade IP-adresser från FQDN i nätverksregler. Vi rekommenderar att du använder FQDN som matchar en IP-adress.

Principarv

Princip-DNS-inställningar som tillämpas på en fristående brandvägg åsidosätter den fristående brandväggens DNS-inställningar. En underordnad princip ärver alla DNS-inställningar för överordnade principer, men den kan åsidosätta den överordnade principen.

Om du till exempel vill använda FQDN i nätverksregeln ska DNS-proxyn vara aktiverad. Men om en överordnad princip inte har DNS-proxy aktiverad stöder den underordnade principen inte FQDN i nätverksregler om du inte åsidosätter den här inställningen lokalt.

KONFIGURATION av DNS-proxy

Konfiguration av DNS-proxy kräver tre steg:

  1. Aktivera DNS-proxyn i Azure Firewall DNS-inställningar.
  2. Du kan också konfigurera din anpassade DNS-server eller använda den angivna standardinställningen.
  3. Konfigurera den Azure Firewall privata IP-adressen som en anpassad DNS-adress i DNS-serverinställningarna för det virtuella nätverket. Den här inställningen säkerställer att DNS-trafik dirigeras till Azure Firewall.

Konfigurera DNS-proxy – Azure Portal

Om du vill konfigurera DNS-proxy måste du konfigurera dns-serverinställningen för det virtuella nätverket så att den använder brandväggens privata IP-adress. Aktivera sedan DNS-proxyn i Azure Firewall DNS-inställningarna.

Konfigurera DNS-servrar för virtuella nätverk
  1. Välj det virtuella nätverk där DNS-trafiken ska dirigeras via den Azure Firewall instansen.
  2. Under Inställningar väljer du DNS-servrar.
  3. Under DNS-servrar väljer du Anpassad.
  4. Ange brandväggens privata IP-adress.
  5. Välj Spara.
  6. Starta om de virtuella datorer som är anslutna till det virtuella nätverket så att de tilldelas de nya DNS-serverinställningarna. Virtuella datorer fortsätter att använda sina aktuella DNS-inställningar tills de startas om.
Aktivera DNS-proxy
  1. Välj din Azure Firewall instans.
  2. Under Inställningar väljer du DNS-inställningar.
  3. Som standard är DNS-proxy inaktiverad. När den här inställningen är aktiverad lyssnar brandväggen på port 53 och vidarebefordrar DNS-begäranden till de konfigurerade DNS-servrarna.
  4. Granska KONFIGURATIONen av DNS-servrar för att se till att inställningarna är lämpliga för din miljö.
  5. Välj Spara.

Skärmbild som visar inställningar för D N S-proxyn.

Konfigurera DNS-proxy – Azure CLI

Du kan använda Azure CLI för att konfigurera DNS-proxyinställningar i Azure Firewall. Du kan också använda den för att uppdatera virtuella nätverk för att använda Azure Firewall som DNS-server.

Konfigurera DNS-servrar för virtuella nätverk

I följande exempel konfigureras det virtuella nätverket så att det använder Azure Firewall som DNS-server.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Aktivera DNS-proxy

I följande exempel aktiveras DNS-proxyfunktionen i Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Konfigurera DNS-proxy – Azure PowerShell

Du kan använda Azure PowerShell för att konfigurera DNS-proxyinställningar i Azure Firewall. Du kan också använda den för att uppdatera virtuella nätverk för att använda Azure Firewall som DNS-server.

Konfigurera DNS-servrar för virtuella nätverk

I följande exempel konfigureras det virtuella nätverket så att det använder Azure Firewall som en DNS-server.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Aktivera DNS-proxy

I följande exempel aktiveras DNS-proxyfunktionen i Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Redundans med hög tillgänglighet

DNS-proxyn har en redundansmekanism som slutar använda en identifierad server med feltillstånd och använder en annan DNS-server som är tillgänglig.

Om alla DNS-servrar inte är tillgängliga finns det ingen återställning till en annan DNS-server.

Hälsokontroller

DNS-proxyn utför fem sekunders hälsokontrollsloopar så länge de överordnade servrarna rapporterar att de inte är felfria. Hälsokontrollerna är en rekursiv DNS-fråga till rotnamnservern. När en överordnad server anses vara felfri stoppar brandväggen hälsokontroller tills nästa fel. När en felfri proxy returnerar ett fel väljer brandväggen en annan DNS-server i listan.

Nästa steg