Détails du proxy DNS du Pare-feu Azure
Vous pouvez configurer le Pare-feu Azure pour qu’il agisse comme proxy DNS. Un proxy DNS est un intermédiaire pour les requêtes DNS entre des machines virtuelles clientes et un serveur DNS.
Les informations suivantes décrivent certains aspects de l’implémentation du proxy DNS du Pare-feu Azure.
Noms de domaine complets avec plusieurs enregistrements A
Le Pare-feu Azure fonctionne comme un client DNS standard. Si la réponse comporte plusieurs enregistrements A, le pare-feu stocke tous les enregistrements dans le cache et les offres au client dans la réponse. S’il existe un enregistrement par réponse, le pare-feu ne stocke qu’un seul enregistrement. Il n’existe aucun moyen pour le client de savoir à l’avance s’il doit s’attendre à un ou plusieurs enregistrements A dans les réponses.
Durée de vie du nom de domaine complet
Lorsque la durée de vie (TTL, Time To Live) d’un nom de domaine complet est sur le point d’expirer, les enregistrements sont mis en cache et expirent conformément à leur durée de vie. La pré-récupération n’est pas utilisée. Par conséquent, le pare-feu n’effectue aucune recherche avant l’expiration de la TTL pour actualiser l’enregistrement.
Clients non configurés pour utiliser le proxy DNS du pare-feu
Si un ordinateur client est configuré pour utiliser un serveur DNS différent du proxy DNS du pare-feu, les résultats peuvent être imprévisibles.
Prenons par exemple une charge de travail client située dans la région USA Est qui utilise un serveur DNS principal hébergé dans la même région. Les paramètres du serveur DNS du Pare-feu Azure sont configurés pour un serveur DNS secondaire hébergé dans la région USA Ouest. Le serveur DNS du pare-feu hébergé dans la région USA Ouest produit une réponse différente de celle du client qui se trouve dans la région USA Est.
Il s’agit d’un scénario courant, qui explique pourquoi les clients doivent utiliser la fonctionnalité de proxy DNS du pare-feu. Servez-vous du pare-feu comme programme de résolution si vous employez des noms de domaine complets dans les règles de réseau. Vous pouvez ainsi garantir la cohérence de la résolution des adresses IP par les clients et le pare-feu lui-même.
Dans cet exemple, si un nom de domaine complet est configuré dans les règles de réseau, le pare-feu résout le nom de domaine complet en IP1 (adresse IP 1) et met à jour les règles de réseau pour autoriser l’accès à IP1. Si (et quand) le client résout le même nom de domaine complet en IP2 en raison d’une différence de réponse DNS, sa tentative de connexion est refusée, car elle ne correspond pas aux règles du pare-feu.
En ce qui concerne les noms de domaine complets HTTP/S configurés dans les règles d’application, le pare-feu les analyse à partir de l’en-tête de l’hôte ou de l’en-tête SNI, les résout, puis se connecte à l’adresse IP obtenue. L’adresse IP de destination à laquelle le client tente de se connecter est ignorée.