Azure Firewall DNS-inställningar
Du kan konfigurera en anpassad DNS-server och aktivera DNS-proxy för Azure Firewall. Konfigurera de här inställningarna när du distribuerar brandväggen eller konfigurera dem senare från sidan DNS-inställningar . Som standard är Azure Firewall använder Azure DNS och DNS-proxy inaktiverad.
DNS-servrar
En DNS-server underhåller och löser domännamn till IP-adresser. Som standard använder Azure Firewall Azure DNS för namnmatchning. Med DNS-serverinställningen kan du konfigurera dina egna DNS-servrar för Azure Firewall namnmatchning. Du kan konfigurera en enskild server eller flera servrar. Om du konfigurerar flera DNS-servrar väljs den server som används slumpmässigt. Du kan konfigurera högst 15 DNS-servrar i anpassad DNS.
Anteckning
För instanser av Azure Firewall som hanteras med hjälp av Azure Firewall Manager konfigureras DNS-inställningarna i den associerade Azure Firewall principen.
Konfigurera anpassade DNS-servrar – Azure Portal
- Under Azure Firewall Inställningar väljer du DNS-inställningar.
- Under DNS-servrar kan du skriva eller lägga till befintliga DNS-servrar som tidigare har angetts i ditt virtuella nätverk.
- Välj Använd.
Brandväggen dirigerar nu DNS-trafik till de angivna DNS-servrarna för namnmatchning.
Konfigurera anpassade DNS-servrar – Azure CLI
I följande exempel uppdateras Azure Firewall med anpassade DNS-servrar med hjälp av Azure CLI.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Viktigt
Kommandot az network firewall
kräver att Azure CLI-tillägget azure-firewall
installeras. Du kan installera det med hjälp av kommandot az extension add --name azure-firewall
.
Konfigurera anpassade DNS-servrar – Azure PowerShell
I följande exempel uppdateras Azure Firewall med anpassade DNS-servrar med hjälp av Azure PowerShell.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
DNS-proxy
Du kan konfigurera Azure Firewall att fungera som en DNS-proxy. En DNS-proxy är en mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server.
Om du vill aktivera FQDN-filtrering (fullständigt domännamn) i nätverksregler aktiverar du DNS-proxy och uppdaterar konfigurationen av den virtuella datorn så att brandväggen används som en DNS-proxy.
Om du aktiverar FQDN-filtrering i nätverksregler och du inte konfigurerar virtuella klientdatorer att använda brandväggen som en DNS-proxy kan DNS-begäranden från dessa klienter skickas till en DNS-server vid en annan tidpunkt eller returnera ett annat svar jämfört med brandväggens. Vi rekommenderar att du konfigurerar virtuella klientdatorer så att de använder Azure Firewall som DNS-proxy. Detta placerar Azure Firewall i sökvägen för klientbegäranden för att undvika inkonsekvens.
När Azure Firewall är en DNS-proxy är två typer av cachelagringsfunktioner möjliga:
Positiv cache: DNS-matchningen lyckas. Brandväggen cachelagrar dessa svar enligt TTL(time to live) i svaret upp till högst 1 timme.
Negativ cache: DNS-matchning resulterar i inget svar eller ingen matchning. Brandväggen cachelagrar dessa svar enligt TTL i svaret, upp till högst 30 minuter.
DNS-proxyn lagrar alla matchade IP-adresser från FQDN i nätverksregler. Vi rekommenderar att du använder FQDN som matchar en IP-adress.
Principarv
Princip-DNS-inställningar som tillämpas på en fristående brandvägg åsidosätter den fristående brandväggens DNS-inställningar. En underordnad princip ärver alla DNS-inställningar för överordnade principer, men den kan åsidosätta den överordnade principen.
Om du till exempel vill använda FQDN i nätverksregeln ska DNS-proxyn vara aktiverad. Men om en överordnad princip inte har DNS-proxy aktiverad stöder den underordnade principen inte FQDN i nätverksregler om du inte åsidosätter den här inställningen lokalt.
KONFIGURATION av DNS-proxy
Konfiguration av DNS-proxy kräver tre steg:
- Aktivera DNS-proxyn i Azure Firewall DNS-inställningar.
- Du kan också konfigurera din anpassade DNS-server eller använda den angivna standardinställningen.
- Konfigurera den Azure Firewall privata IP-adressen som en anpassad DNS-adress i DNS-serverinställningarna för det virtuella nätverket. Den här inställningen säkerställer att DNS-trafik dirigeras till Azure Firewall.
Konfigurera DNS-proxy – Azure Portal
Om du vill konfigurera DNS-proxy måste du konfigurera dns-serverinställningen för det virtuella nätverket så att den använder brandväggens privata IP-adress. Aktivera sedan DNS-proxyn i Azure Firewall DNS-inställningarna.
Konfigurera DNS-servrar för virtuella nätverk
- Välj det virtuella nätverk där DNS-trafiken ska dirigeras via den Azure Firewall instansen.
- Under Inställningar väljer du DNS-servrar.
- Under DNS-servrar väljer du Anpassad.
- Ange brandväggens privata IP-adress.
- Välj Spara.
- Starta om de virtuella datorer som är anslutna till det virtuella nätverket så att de tilldelas de nya DNS-serverinställningarna. Virtuella datorer fortsätter att använda sina aktuella DNS-inställningar tills de startas om.
Aktivera DNS-proxy
- Välj din Azure Firewall instans.
- Under Inställningar väljer du DNS-inställningar.
- Som standard är DNS-proxy inaktiverad. När den här inställningen är aktiverad lyssnar brandväggen på port 53 och vidarebefordrar DNS-begäranden till de konfigurerade DNS-servrarna.
- Granska KONFIGURATIONen av DNS-servrar för att se till att inställningarna är lämpliga för din miljö.
- Välj Spara.
Konfigurera DNS-proxy – Azure CLI
Du kan använda Azure CLI för att konfigurera DNS-proxyinställningar i Azure Firewall. Du kan också använda den för att uppdatera virtuella nätverk för att använda Azure Firewall som DNS-server.
Konfigurera DNS-servrar för virtuella nätverk
I följande exempel konfigureras det virtuella nätverket så att det använder Azure Firewall som DNS-server.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
Aktivera DNS-proxy
I följande exempel aktiveras DNS-proxyfunktionen i Azure Firewall.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
Konfigurera DNS-proxy – Azure PowerShell
Du kan använda Azure PowerShell för att konfigurera DNS-proxyinställningar i Azure Firewall. Du kan också använda den för att uppdatera virtuella nätverk för att använda Azure Firewall som DNS-server.
Konfigurera DNS-servrar för virtuella nätverk
I följande exempel konfigureras det virtuella nätverket så att det använder Azure Firewall som en DNS-server.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
Aktivera DNS-proxy
I följande exempel aktiveras DNS-proxyfunktionen i Azure Firewall.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Redundans med hög tillgänglighet
DNS-proxyn har en redundansmekanism som slutar använda en identifierad server med feltillstånd och använder en annan DNS-server som är tillgänglig.
Om alla DNS-servrar inte är tillgängliga finns det ingen återställning till en annan DNS-server.
Hälsokontroller
DNS-proxyn utför fem sekunders hälsokontrollsloopar så länge de överordnade servrarna rapporterar att de inte är felfria. Hälsokontrollerna är en rekursiv DNS-fråga till rotnamnservern. När en överordnad server anses vara felfri stoppar brandväggen hälsokontroller tills nästa fel. När en felfri proxy returnerar ett fel väljer brandväggen en annan DNS-server i listan.