Сведения о прокси-сервере DNS Брандмауэра Azure

Вы можете настроить Брандмауэр Azure так, чтобы он действовал в качестве DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.

Ниже приведены некоторые сведения о реализации прокси-сервера DNS Брандмауэра Azure.

Полные доменные имена с несколькими записями A

Брандмауэр Azure выступает в качестве стандартного DNS-клиента. Если несколько записей A находятся в ответе, брандмауэр сохраняет все записи в кэше и предлагает их клиенту в ответе. Если на ответ есть одна запись, брандмауэр сохраняет только одну запись. Клиент не может заранее узнать, нужно ли ему ожидать одну или несколько записей А в ответах.

Срок жизни (TTL) полного доменного имени

Когда срок жизни полного доменного имени (TTL) близок к завершению, записи кэшируются и удаляются в соответствии с TTL. Предварительное получение не используется, поэтому брандмауэр не выполняет поиск до истечения срока действия TTL для обновления записи.

Клиенты, не настроенные для использования прокси-сервера DNS брандмауэра

Если клиентский компьютер настроен для использования DNS-сервера, который не является прокси-сервером брандмауэра, результаты могут быть непредсказуемыми.

Например, предположим, что рабочая нагрузка клиента находится в восточной части США и использует основной DNS-сервер, размещенный в восточной части США. Параметры DNS-сервера Брандмауэра Azure настроены для дополнительного DNS-сервера, размещенного в западной части США. DNS-сервер брандмауэра, размещенный в западной части США, выдает ответ, отличный от клиента в восточной части США.

Это распространенный сценарий, и поэтому клиенты должны использовать функции прокси-сервера DNS брандмауэра. Клиенты должны использовать брандмауэр в качестве сопоставителя, если в правилах сети используются полные доменные имена. Можно обеспечить согласованность разрешения IP-адресов клиентами и брандмауэром.

В этом примере, если полное доменное имя настроено в правилах сети, брандмауэр разрешает полное доменное имя в IP1 (IP-адрес 1) и обновляет сетевые правила, чтобы разрешить доступ к IP1. Если и когда клиент разрешает то же полное доменное имя в IP2 из-за разницы в ответе DNS, его попытка подключения не будет соответствовать правилам брандмауэра и запрещена.

Для полных доменных имен HTTP/S в правилах приложений брандмауэр определяет полное доменное имя из заголовка узла или SNI, разрешает его, а затем подключается к этому IP-адресу. Конечный IP-адрес, к которому пытался подключиться клиент, игнорируется.

Следующие шаги