Freigeben über

DNS-Einstellungen für Azure Firewall

Sie können einen benutzerdefinierten DNS-Server konfigurieren und den DNS-Proxy für Azure Firewall aktivieren. Konfigurieren Sie diese Einstellungen, wenn Sie die Firewall bereitstellen, oder konfigurieren Sie die Einstellungen über die Seite DNS-Einstellungen zu einem späteren Zeitpunkt. Standardmäßig verwendet Azure Firewall Azure DNS, und der DNS-Proxy ist deaktiviert.

DNS-Server

Ein DNS-Server verwaltet Domänennamen und löst diese in IP-Adressen auf. Azure Firewall verwendet standardmäßig Azure DNS für die Namensauflösung. Mit der Einstellung DNS-Server können Sie eigene DNS-Server für die Namensauflösung von Azure Firewall konfigurieren. Sie können einen einzelnen Server oder mehrere Server konfigurieren. Wenn Sie mehrere DNS-Server konfigurieren, wird der verwendete Server nach dem Zufallsprinzip ausgewählt. Sie können in benutzerdefiniertem DNS maximal 15 DNS-Server konfigurieren.

Hinweis

Bei über Azure Firewall Manager verwalteten Azure Firewall-Instanzen werden die DNS-Einstellungen in der zugehörigen Azure Firewall-Richtlinie konfiguriert.

Konfigurieren von benutzerdefinierten DNS-Servern

  1. Wählen Sie unter Azure Firewall die Option Einstellungen und danach DNS-Einstellungen aus.
  2. Unter DNS-Server können Sie vorhandene DNS-Server eingeben oder hinzufügen, die zuvor in Ihrem virtuellen Netzwerk angegeben wurden.
  3. Wählen Sie Übernehmen.

Die Firewall leitet nun DNS-Datenverkehr zur Namensauflösung an die angegebenen DNS-Server weiter.

DNS-Proxy

Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.

Wenn Sie die FQDN-Filterung (Fully Qualified Domain Name, vollqualifizierter Domänenname) in Netzwerkregeln aktivieren möchten, aktivieren Sie den DNS-Proxy, und aktualisieren Sie die Konfiguration des virtuellen Computers, um die Firewall als DNS-Proxy zu verwenden.

DNS-Proxykonfiguration mit einem benutzerdefinierten DNS-Server

Wenn Sie die FQDN-Filterung in Netzwerkregeln aktivieren, aber keine virtuellen Clientcomputer für die Verwendung der Azure Firewall als DNS-Proxy konfigurieren, werden DNS-Anforderungen von diesen Clients möglicherweise zu unterschiedlichen Zeiten aufgelöst oder unterschiedliche Ergebnisse zurückgegeben als die von der Azure Firewall. Um eine konsistente DNS-Auflösung und FQDN-Filterung sicherzustellen, konfigurieren Sie virtuelle Clientcomputer für die Verwendung von Azure Firewall als DNS-Proxy. Mit diesem Setup wird sichergestellt, dass alle DNS-Anforderungen die Firewall durchlaufen und Inkonsistenzen verhindern.

Wenn Azure Firewall ein DNS-Proxy ist, können zwei Arten von Zwischenspeicherungsfunktionen auftreten:

  • Positiver Cache: Die DNS-Auflösung ist erfolgreich. Die Antworten werden von der Firewall gemäß der TTL (Gültigkeitsdauer) maximal 1 Stunde lang in der Antwort zwischengespeichert.

  • Negativer Cache: Die DNS-Auflösung führt zu keiner Antwort oder keiner Auflösung. Die Antworten werden von der Firewall gemäß der TTL maximal 30 Minuten lang in der Antwort zwischengespeichert.

Der DNS-Proxy speichert alle aufgelösten IP-Adressen von FQDNs in Netzwerkregeln. Als Best Practice sollten Sie FQDNs verwenden, die in eine einzige IP-Adresse aufgelöst werden.

Richtlinienvererbung

DNS-Einstellungen einer Richtlinie, die auf eine eigenständige Firewall angewendet werden, setzen die DNS-Einstellungen der eigenständigen Firewall außer Kraft. Eine untergeordnete Richtlinie erbt alle DNS-Einstellungen der übergeordneten Richtlinie, kann jedoch die übergeordnete Richtlinie außer Kraft setzen.

Um beispielsweise FQDNs in der Netzwerkregel zu verwenden, sollte der DNS-Proxy aktiviert sein. Wenn für eine übergeordnete Richtlinie jedoch kein DNS-Proxy aktiviert ist, unterstützt die untergeordnete Richtlinie keine FQDNs in Netzwerkregeln, es sei denn, Sie setzen diese Einstellung lokal außer Kraft.

Konfiguration des DNS-Proxys

Für die Konfiguration des DNS-Proxy sind drei Schritte erforderlich:

  1. Aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.
  2. Konfigurieren Sie optional den benutzerdefinierten DNS-Server, oder verwenden Sie die bereitgestellten Standardwerte.
  3. Konfigurieren Sie die private IP-Adresse von Azure Firewall als benutzerdefinierte DNS-Adresse in den Einstellungen des DNS-Servers Ihres virtuellen Netzwerks, um DNS-Datenverkehr an die Azure Firewall-Instanz weiterzuleiten.

Hinweis

Wenn Sie einen benutzerdefinierten DNS-Server verwenden, wählen Sie eine IP-Adresse aus Ihrem virtuellen Netzwerk aus, die nicht Teil des Azure Firewall-Subnetzes ist.

Zum Konfigurieren des DNS-Proxys müssen Sie die DNS-Servereinstellung des virtuellen Netzwerks so konfigurieren, dass die private IP-Adresse der Firewall verwendet wird. Aktivieren Sie dann den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.

Konfigurieren der DNS-Server für das virtuelle Netzwerk
  1. Wählen Sie das virtuelle Netzwerk aus, an das der DNS-Datenverkehr über die Azure Firewall-Instanz weitergeleitet werden soll.
  2. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  3. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  4. Geben Sie die private IP-Adresse der Firewall ein.
  5. Wählen Sie Speichern aus.
  6. Starten Sie die mit dem virtuellen Netzwerk verbundenen VMs, damit ihnen die neuen DNS-Servereinstellungen zugewiesen werden. VMs nutzen ihre aktuellen DNS-Einstellungen weiter, bis sie neu gestartet werden.
Aktivieren des DNS-Proxys
  1. Wählen Sie Ihre Azure Firewall-Instanz aus.
  2. Klicken Sie unter Einstellungen auf die Option DNS-Einstellungen.
  3. Der DNS-Proxy ist standardmäßig deaktiviert. Wenn diese Einstellung aktiviert ist, lauscht die Firewall an Port 53 und leitet DNS-Anforderungen an die konfigurierten DNS-Server weiter.
  4. Überprüfen Sie die Konfiguration der DNS-Server, um sicherzustellen, dass die Einstellungen zu Ihrer Umgebung passen.
  5. Wählen Sie Speichern aus.

Hochverfügbarkeitsfailover

Der DNS-Proxy verfügt über einen Failovermechanismus, der die Verwendung eines erkannten fehlerhaften Servers beendet und einen anderen verfügbaren DNS-Server verwendet.

Wenn alle DNS-Server nicht verfügbar sind, gibt es kein Fallback auf einen anderen DNS-Server.

Integritätsprüfungen

Der DNS-Proxy führt fünfsekündige Schleifen zur Integritätsprüfung aus, solange die Upstreamserver als fehlerhaft gemeldet werden. Bei den Integritätsprüfungen handelt es sich um eine rekursive DNS-Abfrage an den Stammnamenserver. Sobald ein Upstreamserver als fehlerfrei angesehen wird, beendet die Firewall die Integritätsprüfungen bis zum nächsten Fehler. Wenn ein fehlerfreier Proxy einen Fehler zurückgibt, wählt die Firewall einen anderen DNS-Server in der Liste aus.

Azure Firewall mit privaten Azure DNS-Zonen

Azure Firewall unterstützt die Integration in Azure Private DNS-Zonen, sodass sie private Domänennamen auflösen kann. Wenn Sie eine private DNS-Zone mit dem virtuellen Netzwerk verknüpfen, in dem Azure Firewall bereitgestellt wird, kann die Firewall Namen auflösen, die in dieser Zone definiert sind.

Hinweis

Diese Integration gilt für die Von azure Firewall selbst ausgeführte Namensauflösung (z. B. wenn die Firewall FQDNs in Netzwerkregeln oder Anwendungsregeln aufgelöst). DNS-Abfragen von nachgeschalteten Clients, die an den DNS-Proxy der Azure Firewall gesendet werden, werden nicht mithilfe von Azure Private DNS-Zonen aufgelöst, es sei denn, der konfigurierte upstream-DNS-Server hat auch Zugriff auf diese Zonen. Der DNS-Proxy leitet Clientabfragen einfach an die konfigurierten Upstreamserver weiter und führt keine Ergebnisse aus Azure DNS zusammen.

Wichtig

Vermeiden Sie das Erstellen von DNS-Einträgen in privaten DNS-Zonen, die microsofteigene Standarddomänen außer Kraft setzen. Das Überschreiben dieser Domänen kann verhindern, dass die Azure Firewall kritische Endpunkte auflöst, wodurch der Verwaltungsdatenverkehr gestört werden kann und Features wie Protokollierung, Überwachung und Updates fehlschlagen.

Im Folgenden finden Sie eine nichtexextive Liste von Microsoft-Domänen, die nicht außer Kraft gesetzt werden sollten, da der Azure Firewall-Verwaltungsdatenverkehr möglicherweise Zugriff auf sie erfordert:

  • azclient.ms
  • azure.com
  • cloudapp.net
  • core.windows.net
  • login.microsoftonline.com
  • microsoft.com
  • msidentity.com
  • trafficmanager.net
  • vault.azure.net
  • windows.net
  • management.azure.com
  • table.core.windows.net
  • store.core.windows.net
  • azure-api.net
  • microsoftmetrics.com
  • time.windows.com
  • servicebus.windows.net
  • blob.storage.azure.net
  • blob.core.windows.net
  • arm-msedge.net
  • cloudapp.azure.com
  • monitoring.core.windows.net

Der Azure Firewall-Verwaltungsdatenverkehr erfordert beispielsweise Zugriff auf Speicherkonten mithilfe der Domäne blob.core.windows.net. Wenn Sie eine private DNS-Zone erstellen *.blob.core.windows.net und sie dem virtuellen Netzwerk der Firewall zuordnen, überschreiben Sie die standardmäßige DNS-Auflösung und unterbrechen wichtige Firewallvorgänge. Um dieses Problem zu vermeiden, überschreiben Sie die Standarddomäne nicht. Erstellen Sie stattdessen eine private DNS-Zone für eine eindeutige Unterdomäne, wie z. B. *.<unique-domain-name>.blob.core.windows.net.

Um zu verhindern, dass private DNS-Zonen sich auf die Azure-Firewall auswirken, stellen Sie die Dienste bereit, die private DNS-Zonen in einem separaten virtuellen Netzwerk erfordern. Auf diese Weise sind private DNS-Zonen nur dem virtuellen Dienstnetzwerk zugeordnet und wirken sich nicht auf die DNS-Auflösung für Azure Firewall aus.

Nächste Schritte

  • Last updated on