Azure Güvenlik Duvarı DNS Ara Sunucusu ayrıntıları

Dns proxy'Azure Güvenlik Duvarı gibi davranacak şekilde yapılandırmanız gerekir. DNS ara sunucusu, istemci sanal makinelerinden DNS sunucusuna yapılan DNS istekleri için bir aracıdır.

Aşağıdaki bilgiler, DNS Ara Sunucusu için bazı Azure Güvenlik Duvarı ayrıntılarını açıklar.

Birden çok A kaydı olan FQDN'ler

Azure Güvenlik Duvarı, standart bir DNS istemcisi olarak davranır. Yanıtta birden çok A kaydı varsa güvenlik duvarı tüm kayıtları önbellekte depolar. Yanıt başına bir kayıt varsa güvenlik duvarı yalnızca tek bir kaydı depolar. İstemcinin yanıtlarda bir veya birden çok A kaydı beklemesi gerektirse de bunu daha önce anları yoktur.

FQDN Yaşam Süresi (TTL)

FQDN TTL'lerinin (yaşam süresi) süresi dolmak üzereyken, kayıtlar TTL'lerine göre önbelleğe alınarak süresi dolar. Ön getirme kullanılmaz, bu nedenle güvenlik duvarı TTL süre sonu öncesinde kaydı yenilemek için arama yapmaz.

İstemciler güvenlik duvarı DNS ara sunucusunu kullanmak üzere yapılandırılmadı

bir istemci bilgisayar güvenlik duvarı DNS proxy'si olmayan bir DNS sunucusu kullanmak üzere yapılandırılmışsa, sonuçlar tahmin edilemez olabilir.

Örneğin, bir istemci iş yükünün bir ABD Doğu olduğunu ve bu sunucuda barındırılan birincil DNS sunucusunu ABD Doğu. Azure Güvenlik Duvarı DNS sunucusu ayarları, dns sunucusunda barındırılan ikincil bir DNS sunucusu için ABD Batı. Güvenlik duvarının ABD Batı dns sunucusu, ABD Batı istemciden farklı bir yanıtla ABD Doğu.

Bu yaygın bir senaryodur ve istemcilerin güvenlik duvarının DNS ara sunucu işlevini kullanmaları gerekir. Ağ kurallarında FQDN'ler kullanıyorsanız istemcilerin çözümleyicisi olarak güvenlik duvarını kullanmaları gerekir. İstemciler ve güvenlik duvarının kendisi tarafından IP adresi çözümleme tutarlılığını sebilirsiniz.

Bu örnekte, Ağ kurallarında bir FQDN yapılandırılmışsa, güvenlik duvarı FQDN'yi IP1'e (IP adresi 1) çözümler ve IP1'e erişime izin verecek şekilde ağ kurallarını günceller. İstemci, DNS yanıt farkı nedeniyle aynı FQDN'yi IP2'ye çözümlemezse, bağlantı girişimi güvenlik duvarı kurallarıyla eşleşmez ve reddedilir.

Uygulama kurallarındaki HTTP/S FQDN'leri için güvenlik duvarı FQDN'yi konaktan veya SNI üst bilgilerinden ayrıştırıyor, çözümlemektedir ve ardından bu IP adresine bağlanır. İstemcinin bağlanmaya çalıştığı hedef IP adresi yoksayılır.

Sonraki adımlar