Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile configurare Firewall di Azure in modo che agisca da proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.
Le seguenti informazioni descrivono alcuni dettagli di implementazione per il Proxy DNS di Azure Firewall.
FQDN con più record A
Firewall di Azure funge da client DNS standard. Se nella risposta sono presenti più record A, il firewall archivia tutti i record nella cache e li offre al client nella risposta. Se è presente un record per risposta, il firewall archivia solo un singolo record. Non c'è modo per un client di sapere in anticipo se dovrebbe aspettarsi uno o più record A nelle risposte.
Durata (TTL) FQDN
Il firewall memorizza nella cache e scade i record in base ai relativi TTL. Poiché il firewall non utilizza il precaricamento, non esegue una ricerca prima della scadenza del TTL per aggiornare il record.
Client non configurati per l'uso del proxy DNS del firewall
Se si configura un computer client per l'uso di un server DNS che non è il proxy DNS del firewall, i risultati possono essere imprevedibili.
Si supponga, ad esempio, che un carico di lavoro client si trova negli Stati Uniti orientali e usi un server DNS primario ospitato negli Stati Uniti orientali. Le impostazioni del server DNS di Azure Firewall sono configurate per un server DNS secondario ospitato nell'ovest degli Stati Uniti. Il server DNS del firewall ospitato negli Stati Uniti occidentali genera una risposta diversa da quella del client negli Stati Uniti orientali.
Questo scenario è comune e perché i client devono usare la funzionalità proxy DNS del firewall. I client devono usare il firewall come resolver se si usano FQDN nelle regole di rete. È possibile garantire la coerenza della risoluzione degli indirizzi IP da parte dei client e del firewall stesso.
In questo esempio, se un FQDN è configurato in Regole di rete, il firewall risolve il nome di dominio completo in IP1 (indirizzo IP 1) e aggiorna le regole di rete per consentire l'accesso a IP1. Se e quando il client risolve lo stesso FQDN in IP2 a causa di una differenza nella risposta DNS, il tentativo di connessione non corrisponde alle regole nel firewall e viene negato.
Per gli FQDN HTTP/S nelle regole delle applicazioni, il firewall analizza il nome di dominio completo dall'intestazione host o SNI, lo risolve e quindi si connette a tale indirizzo IP. L'indirizzo IP di destinazione a cui il client stava tentando di connettersi viene ignorato.