Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.
Im Folgenden werden einige Implementierungsdetails für Azure Firewall DNS-Proxy beschrieben.
FQDNs mit mehreren A-Records
Azure Firewall fungiert als DNS-Standardclient. Wenn in der Antwort mehrere A-Datensätze enthalten sind, speichert die Firewall alle Datensätze im Cache und bietet sie dem Client in der Antwort an. Wenn es einen Datensatz pro Antwort gibt, speichert die Firewall nur einen einzelnen Datensatz. Ein Client kann nie im Voraus wissen, ob er einen oder mehrere A-Records in Antworten erwarten sollte.
FQDN-Lebensdauer (TTL)
Die Firewall zwischenspeichert Datensätze und lässt sie gemäß ihren TTLs ablaufen. Da die Firewall kein Prefetching verwendet, führt sie vor Ablauf der TTL keinen Lookup durch, um den Datensatz zu aktualisieren.
Nicht für die Verwendung des Firewall-DNS-Proxys konfigurierte Clients
Wenn Sie einen Clientcomputer für die Verwendung eines DNS-Servers konfigurieren, der nicht der Firewall-DNS-Proxy ist, können die Ergebnisse unvorhersehbar sein.
Ein Beispiel: Angenommen, eine Clientworkload befindet sich in „USA, Osten“ und verwendet einen primären DNS-Server, der in „USA, Osten“ gehostet wird. Die Azure Firewall DNS-Servereinstellungen sind für einen sekundären DNS-Server konfiguriert, der in „USA, Westen“ gehostet wird. Der DNS-Server der Firewall, der in DEN USA West gehostet wird, führt zu einer anderen Antwort als der des Clients in US East.
Dieses Szenario ist üblich und warum Clients die DNS-Proxyfunktionalität der Firewall verwenden sollten. Wenn Sie FQDNs in Netzwerkregeln verwenden, sollten Clients die Firewall als Auflöser verwenden. Durch Clients und die Firewall selbst können sie eine konsistente IP-Adressauflösung sicherstellen.
Wenn in diesem Beispiel ein FQDN in den Netzwerkregeln konfiguriert ist, löst die Firewall den FQDN als IP1 (IP-Adresse 1) auf und aktualisiert die Netzwerkregeln, um den Zugriff auf IP1 zu ermöglichen. Wenn der Client aufgrund einer unterschiedlichen DNS-Antwort denselben FQDN nach IP2 behebt, entspricht sein Verbindungsversuch nicht den Regeln der Firewall und wird verweigert.
Für HTTP/S-FQDNs in Anwendungsregeln liest die Firewall den FQDN aus dem Host- oder SNI-Header, löst ihn auf und stellt dann eine Verbindung mit dieser IP-Adresse her. Die Ziel-IP-Adresse, mit der der Client eine Verbindung herstellen wollte, wird ignoriert.