Impostazioni DNS di Firewall di Azure

È possibile configurare un server DNS personalizzato e abilitare il proxy DNS per Firewall di Azure. Configurare queste impostazioni quando si distribuisce il firewall o configurarle in un secondo momento dalla pagina Impostazioni DNS. Per impostazione predefinita, Firewall di Azure usa DNS di Azure e Proxy DNS è disabilitato.

Server DNS

Un server DNS gestisce e risolve i nomi dominio in indirizzi IP. Per impostazione predefinita, Firewall di Azure usa DNS di Azure per la risoluzione dei nomi. L'impostazione server DNS consente di configurare i propri server DNS per la risoluzione dei nomi di Firewall di Azure. È possibile configurare un singolo server o più server. Se si configurano più server DNS, il server usato viene scelto in modo casuale. È possibile configurare un massimo di 15 server DNS in DNS personalizzato.

Nota

Per le istanze di Firewall di Azure gestite tramite Gestione firewall di Azure, le impostazioni DNS vengono configurate nei criteri di Firewall di Azure associati.

Configurare server DNS personalizzati

  1. In Impostazioni di Firewall di Azure selezionare impostazioni DNS.
  2. In server DNSè possibile digitare o aggiungere server DNS esistenti specificati in precedenza nella rete virtuale.
  3. Selezionare Applica.

Il firewall indirizza ora il traffico DNS ai server DNS specificati per la risoluzione dei nomi.

Screenshot che mostra le impostazioni per i server DNS.

Proxy DNS

È possibile configurare Firewall di Azure in modo che agisca da proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.

Se si vuole abilitare il filtro FQDN (nome di dominio completo) nelle regole di rete, abilitare il proxy DNS e aggiornare la configurazione della macchina virtuale per usare il firewall come proxy DNS.

Configurazione del proxy DNS tramite un server DNS personalizzato.

Se si abilita il filtro FQDN nelle regole di rete e non si configurano le macchine virtuali client per l'uso del firewall come proxy DNS, le richieste DNS provenienti da questi client potrebbero passare a un server DNS in un momento diverso o restituire una risposta diversa rispetto a quella del firewall. È consigliabile configurare le macchine virtuali client per l'uso di Firewall di Azure come proxy DNS. In questo modo Firewall di Azure viene incluso nel percorso delle richieste client per evitare incoerenze.

Quando Firewall di Azure è un proxy DNS, sono possibili due tipi di funzioni di memorizzazione nella cache:

  • Cache positiva: la risoluzione DNS ha esito positivo. Il firewall memorizza nella cache queste risposte in base al TTL (time to live) nella risposta fino a un massimo di 1 ora.

  • Cache negativa: la risoluzione DNS non restituisce alcuna risposta o nessuna risoluzione. Il firewall memorizza nella cache queste risposte in base al TTL (time to live) nella risposta fino a un massimo di 30 minuti.

Il proxy DNS archivia tutti gli indirizzi IP risolti da FQDN nelle regole di rete. Come procedura consigliata, usare FQDN che si risolvono in un indirizzo IP.

Ereditarietà dei criteri

Le impostazioni DNS dei criteri applicate a un firewall autonomo sostituiscono le impostazioni DNS del firewall autonomo. Un criterio figlio eredita tutte le impostazioni DNS del criterio padre, ma può eseguire l'override del criterio padre.

Ad esempio, per usare FQDN nella regola di rete, è necessario abilitare il proxy DNS. Ma se un criterio padre non ha il proxy DNS abilitato, il criterio figlio non supporterà i nomi di dominio completi nelle regole di rete, a meno che non si esegua l'override locale di questa impostazione.

Configurazione del proxy DNS

La configurazione del proxy DNS richiede tre passaggi:

  1. Abilitare il proxy DNS nelle impostazioni DNS del Firewall di Azure.
  2. Facoltativamente, configurare il server DNS personalizzato o usare l'impostazione predefinita specificata.
  3. Configurare l'indirizzo IP privato di Firewall di Azure come indirizzo DNS personalizzato nelle impostazioni del server DNS della rete virtuale per indirizzare il traffico DNS a Firewall di Azure.

Nota

Se si sceglie di usare un server DNS personalizzato, selezionare qualsiasi indirizzo IP nella rete virtuale, tranne quelli nella subnet di Firewall di Azure.

Per configurare il proxy DNS, è necessario configurare l'impostazione dei server DNS di rete virtuale per l'uso dell'indirizzo IP privato del firewall. Abilitare quindi il proxy DNS nelle Impostazioni DNS Firewall di Azure.

Configurare i server DNS di rete virtuale
  1. Selezionare la rete virtuale in cui viene instradato il traffico DNS tramite l'istanza di Firewall di Azure.
  2. In Impostazioni selezionare Server DNS.
  3. In Server DNS selezionare Personalizzato.
  4. Immettere l'indirizzo IP privato del firewall.
  5. Seleziona Salva.
  6. Riavviare le macchine virtuali connesse alla rete virtuale in modo che vengano assegnate le nuove impostazioni del server DNS. Le macchine virtuali continuano a usare le impostazioni DNS correnti fino al riavvio.
Abilitare il proxy DNS
  1. Selezionare l'istanza di Firewall di Azure.
  2. In Impostazioni, selezionare impostazioni DNS.
  3. Per impostazione predefinita, proxy DNS è disabilitato. Quando questa impostazione è abilitata, il firewall rimane in ascolto sulla porta 53 e inoltra le richieste DNS ai server DNS configurati.
  4. Rivedere la configurazione dei server DNS per assicurarsi che le impostazioni siano appropriate per l'ambiente in uso.
  5. Seleziona Salva.

Failover a disponibilità elevata

Il proxy DNS ha un meccanismo di failover che smette di usare un server non integro rilevato e usa un altro server DNS disponibile.

Se tutti i server DNS non sono disponibili, non è possibile eseguire il fallback in un altro server DNS.

Controlli di integrità

Il proxy DNS esegue cicli di controllo dell'integrità di cinque secondi, finché i server upstream segnalano la non integrità. I controlli di integrità sono una query DNS ricorsiva al server dei nomi radice. Quando un server upstream è considerato integro, il firewall arresta i controlli di integrità fino all'errore successivo. Quando un proxy integro restituisce un errore, il firewall seleziona un altro server DNS nell'elenco.

Firewall di Azure con zone DNS privato di Azure

Quando si usa una zona di Azure DNS privato con Firewall di Azure, assicurarsi di non creare mapping di dominio che sostituiscono i nomi di dominio predefiniti degli account di archiviazione e di altri endpoint creati da Microsoft. Se si esegue l'override dei nomi di dominio predefiniti, interrompe Firewall di Azure l'accesso al traffico di gestione agli account di archiviazione di Azure e ad altri endpoint. Questo interrompe gli aggiornamenti, la registrazione e/o il monitoraggio del firewall.

Ad esempio, il traffico di gestione del firewall richiede l'accesso all'account di archiviazione con il nome di dominio blob.core.windows.net e il firewall si basa su DNS di Azure per il nome FQDN alle risoluzioni degli indirizzi IP.

Non creare una zona DNS privato con il nome *.blob.core.windows.net di dominio e associarla alla rete virtuale Firewall di Azure. Se si esegue l'override dei nomi di dominio predefiniti, tutte le query DNS vengono indirizzate alla zona DNS privata e le operazioni del firewall vengono interrotte. Creare invece un nome di dominio univoco, ad *.<unique-domain-name>.blob.core.windows.net esempio per la zona DNS privata.

In alternativa, è possibile abilitare un collegamento privato per un account di archiviazione e integrarlo con una zona DNS privata, vedere Esaminare il traffico dell'endpoint privato con Firewall di Azure.

Passaggi successivi