Azure Güvenlik Duvarı DNS ayarlarını değiştirme

Özel bir DNS sunucusu yapılandırarak dns proxy'lerini etkinleştirebilirsiniz Azure Güvenlik Duvarı. Güvenlik duvarını dağıtırken bu ayarları veya daha sonra DNS ayarları sayfasından yapılandırabilirsiniz. Varsayılan olarak, Azure Güvenlik Duvarı kullanır Azure DNS DNS Ara Sunucusu devre dışı bırakılır.

DNS sunucuları

DNS sunucusu, etki alanı adlarını IP adreslerine bakım ve çözümletir. Varsayılan olarak, Azure Güvenlik Duvarı çözümlemesi için Azure DNS kullanır. DNS sunucusu ayarı, ad çözümlemesi için kendi DNS sunucularınızı Azure Güvenlik Duvarı sağlar. Tek bir sunucu veya birden çok sunucu yapılandırabilirsiniz.

Not

Dns ayarları, Azure Güvenlik Duvarı kullanılarak yönetilen Azure Güvenlik Duvarı Yöneticisi, DNS ayarları ilişkili Azure Güvenlik Duvarı yapılandırılır.

Özel DNS sunucularını yapılandırma - Azure portal

  1. Ayarlar'Azure Güvenlik Duvarı altında DNS Ayarları'ı seçin.
  2. DNS sunucuları altında, daha önce sanal ağ üzerinde belirtilmiş olan DNS sunucularını yazarak veya eklemek için kullanabilirsiniz.
  3. Uygula’yı seçin.

Güvenlik duvarı artık ad çözümlemesi için DNS trafiğini belirtilen DNS sunucularına yönlendirecek.

D N S sunucularının ayarlarını gösteren ekran görüntüsü.

Özel DNS sunucularını yapılandırma - Azure CLI

Aşağıdaki örnek, Azure CLI Azure Güvenlik Duvarı özel DNS sunucuları ile ilgili güncelleştirmeleri içerir.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Önemli

Komutun az network firewall Azure CLI azure-firewall uzantısının yüklü olması gerekir. komutunu kullanarak az extension add --name azure-firewall yükleyebilirsiniz.

Özel DNS sunucularını yapılandırma - Azure PowerShell

Aşağıdaki örnek, Azure Güvenlik Duvarı kullanarak özel DNS sunucularını Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

DNS ara sunucusu

Dns proxy'Azure Güvenlik Duvarı gibi davranacak şekilde yapılandırmanız gerekir. DNS ara sunucusu, istemci sanal makinelerinden DNS sunucusuna yapılan DNS istekleri için bir aracıdır.

Ağ kurallarında FQDN (tam etki alanı adı) filtrelemeyi etkinleştirmek için DNS proxy'sini etkinleştirin ve sanal makine yapılandırmasını bir DNS proxy'si olarak güvenlik duvarını kullanmak üzere güncelleştirin.

Özel bir D N S sunucusu kullanan D N S proxy yapılandırması.

Ağ kurallarında FQDN filtrelemeyi etkinleştirir ve istemci sanal makinelerini güvenlik duvarını DNS proxy'si olarak kullanmak üzere yapılandırmazsanız, bu istemcilerden gelen DNS istekleri farklı bir zamanda DNS sunucusuna seyahat veya güvenlik duvarınınkiyle karşılaştırıldığında farklı bir yanıt geri dönebilirsiniz. DNS ara Azure Güvenlik Duvarı tutarsızlığı önlemek için istemci isteklerinin yoluna bir ad koyar.

Bir Azure Güvenlik Duvarı DNS ara sunucusu olduğunda, iki önbelleğe alma işlevi türü mümkündür:

  • Pozitif önbellek: DNS çözümlemesi başarılı. Güvenlik duvarı, paketin veya nesnenin TTL'sini (yaşam süresi) kullanır.

  • Negatif önbellek: DNS çözümlemesi yanıt veya çözüm yok ile sonuç verir. Güvenlik duvarı bu bilgileri bir saat boyunca önbelleğe almaktadır.

DNS proxy'si, FQDN'lerden çözümlenen tüm IP adreslerini ağ kurallarında depolar. En iyi uygulama olarak, bir IP adresine çözümlene FQDN'leri kullanın.

İlke devralma

Tek başına güvenlik duvarına uygulanan ilke DNS ayarları, tek başına güvenlik duvarının DNS ayarlarını geçersiz kılar. Bir alt ilke tüm üst ilke DNS ayarlarını devralır, ancak üst ilkeyi geçersiz kabilir.

Örneğin, ağ kuralında FQDN'leri kullanmak için DNS proxy'si etkinleştirilmelidir. Ancak bir üst ilkede DNS proxy'si etkin değilse, bu ayarı yerel olarak geçersiz kılmadıkça alt ilke ağ kurallarında FQDN'leri desteklemez.

DNS proxy yapılandırması

DNS proxy yapılandırması için üç adım gerekir:

  1. DNS ayarlarında DNS ara Azure Güvenlik Duvarı etkinleştirin.
  2. İsteğe bağlı olarak, özel DNS sunucuyu yapılandırabilirsiniz veya sağlanan varsayılanı kullanın.
  3. Özel IP Azure Güvenlik Duvarı adresini sanal ağ DNS sunucusu ayarlarınıza özel bir DNS adresi olarak yapılandırabilirsiniz. Bu ayar, DNS trafiğinin Azure Güvenlik Duvarı.

DNS ara sunucusunu yapılandırma - Azure portal

DNS ara sunucusunu yapılandırmak için, sanal ağ DNS sunucuları ayarınızı güvenlik duvarı özel IP adresini kullanmak üzere yapılandırmanız gerekir. Ardından DNS proxy'lerini dns Azure Güvenlik Duvarı etkinleştirin.

Sanal ağ DNS sunucularını yapılandırma
  1. DNS trafiğinin sanal ağ örneği üzerinden yönlendirileceğini sanal Azure Güvenlik Duvarı seçin.
  2. Ayarlar'ın altında DNS sunucuları'ı seçin.
  3. DNS sunucuları altında Özel'i seçin.
  4. Güvenlik duvarının özel IP adresini girin.
  5. Kaydet’i seçin.
  6. Sanal ağa bağlı VM'lere yeni DNS sunucusu ayarları atanacak şekilde yeniden başlatın. VM'ler yeniden başlatana kadar geçerli DNS ayarlarını kullanmaya devam eder.
DNS ara sunucusunu etkinleştirme
  1. Uygulama örneğinizi Azure Güvenlik Duvarı seçin.
  2. Ayarlar'ın altında DNS ayarları'ı seçin.
  3. Varsayılan olarak DNS Proxy'si devre dışıdır. Bu ayar etkinleştirildiğinde, güvenlik duvarı bağlantı noktası 53'ü dinler ve DNS isteklerini yapılandırılan DNS sunucularına iletir.
  4. Ayarların ortamınıza uygun olduğundan emin olmak için DNS sunucuları yapılandırmasını gözden geçirme.
  5. Kaydet’i seçin.

D N S proxy ayarlarını gösteren ekran görüntüsü.

DNS ara sunucusunu yapılandırma - Azure CLI

Azure CLI'yi kullanarak azure'daki DNS ara sunucu ayarlarını Azure Güvenlik Duvarı. Ayrıca, dns sunucusu olarak sanal ağları Azure Güvenlik Duvarı için de kullanabilirsiniz.

Sanal ağ DNS sunucularını yapılandırma

Aşağıdaki örnek, sanal ağı DNS sunucusu olarak Azure Güvenlik Duvarı şekilde yapılandırıyor.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
DNS ara sunucusunu etkinleştirme

Aşağıdaki örnek, dns proxy özelliğini Azure Güvenlik Duvarı.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

DNS ara sunucusunu yapılandırma - Azure PowerShell

Azure PowerShell'de DNS proxy ayarlarını yapılandırmak için Azure Güvenlik Duvarı. Ayrıca, dns sunucusu olarak sanal ağları Azure Güvenlik Duvarı için de kullanabilirsiniz.

Sanal ağ DNS sunucularını yapılandırma

Aşağıdaki örnek, sanal ağı dns sunucusu olarak Azure Güvenlik Duvarı şekilde yapılandırıyor.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
DNS ara sunucusunu etkinleştirme

Aşağıdaki örnek, dns proxy özelliğini Azure Güvenlik Duvarı.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Sonraki adımlar