Az Azure Firewall DNS-proxyjának részletei
Az Azure Firewall konfigurálható DNS-proxyként való működésre. A DNS-proxy az ügyfél virtuális gépeitől a DNS-kiszolgálóig irányuló DNS-kérések közvetítője.
Az alábbi információk az Azure Firewall DNS-proxyjának implementálási részleteit ismertetik.
Több A rekordot tartalmazó teljes tartománynevek
Az Azure Firewall szabványos DNS-ügyfélként működik. Ha több A rekord is szerepel a válaszban, a tűzfal tárolja az összes rekordot a gyorsítótárban, és felajánlja őket az ügyfélnek a válaszban. Ha válaszonként egy rekord van, a tűzfal csak egyetlen rekordot tárol. Az ügyfélnek nem lehet előre tudnia, hogy egy vagy több A rekordra kell-e számítania a válaszokban.
Teljes tartománynév –élettartam (TTL)
Ha egy teljes tartománynevű TTL (élettartam) hamarosan lejár, a rekordok gyorsítótárazva lesznek, és tTL-jüknek megfelelően lejárnak. Az előzetes beolvasás nem használható, ezért a tűzfal nem végez keresést a TTL lejárata előtt a rekord frissítéséhez.
A tűzfal DNS-proxy használatára nem konfigurált ügyfelek
Ha egy ügyfélszámítógép úgy van konfigurálva, hogy olyan DNS-kiszolgálót használjon, amely nem a tűzfal DNS-proxyja, az eredmények kiszámíthatatlanok lehetnek.
Tegyük fel például, hogy az ügyfél számítási feladatai az USA keleti régiójában találhatóak, és az USA keleti régiójában üzemeltetett elsődleges DNS-kiszolgálót használják. Az Azure Firewall DNS-kiszolgálóbeállításai az USA nyugati régiójában üzemeltetett másodlagos DNS-kiszolgálóhoz vannak konfigurálva. A tűzfal USA nyugati régiójában üzemeltetett DNS-kiszolgálója az USA keleti régiójában található ügyféltől eltérő választ eredményez.
Ez egy gyakori forgatókönyv, és ezért az ügyfeleknek a tűzfal DNS-proxyfunkcióját kell használniuk. Az ügyfeleknek a tűzfalat kell használniuk feloldóként, ha teljes tartományneveket használ a hálózati szabályokban. Az IP-címek felbontásának konzisztenciáját az ügyfelek és maga a tűzfal is biztosíthatja.
Ebben a példában, ha egy teljes tartománynév hálózati szabályokban van konfigurálva, a tűzfal feloldja a teljes tartománynevet IP1-nek (1. IP-cím), és frissíti a hálózati szabályokat az IP1-hez való hozzáférés engedélyezéséhez. Ha és amikor az ügyfél ugyanazt a teljes tartománynevet IP2-nek oldja fel a DNS-válasz különbsége miatt, a kapcsolati kísérlet nem egyezik a tűzfalon lévő szabályokkal, és a rendszer megtagadja.
Az alkalmazásszabályok HTTP/S teljes tartománynevei esetében a tűzfal elemzi a teljes tartománynevet a gazdagép vagy az SNI fejlécből, feloldja, majd csatlakozik ehhez az IP-címhez. A rendszer figyelmen kívül hagyja azt a cél IP-címet, amelyhez az ügyfél csatlakozni próbált.