Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить Брандмауэр Azure так, чтобы он действовал в качестве DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.
Ниже приведены некоторые сведения о реализации прокси-сервера DNS Брандмауэра Azure.
Полные доменные имена (FQDNs) с несколькими записями A
Брандмауэр Azure выступает в качестве стандартного DNS-клиента. Если несколько записей A находятся в ответе, брандмауэр сохраняет все записи в кэше и предлагает их клиенту в ответе. Если на ответ есть одна запись, брандмауэр сохраняет только одну запись. Клиент не может заранее узнать, нужно ли ему ожидать одну или несколько записей А в ответах.
Полное квалифицированное доменное имя (FQDN) время жизни (TTL)
Брандмауэр кэширует записи и удаляет их по истечении срока действия TTL (время жизни записи). Так как брандмауэр не использует предварительную выборку, он не выполняет поиск до истечения срока действия TTL для обновления записи.
Клиенты, не настроенные для использования прокси-сервера DNS брандмауэра
Если клиентский компьютер настроен на использование DNS-сервера, который не является прокси-сервером брандмауэра, результаты могут быть непредсказуемыми.
Например, предположим, что рабочая нагрузка клиента находится в восточной части США и использует основной DNS-сервер, размещенный в восточной части США. Параметры DNS-сервера Брандмауэра Azure настроены для дополнительного DNS-сервера, размещенного в западной части США. DNS-сервер брандмауэра, размещенный на западе США, приводит к ответу, отличному от ответа клиента на востоке США.
Этот сценарий распространен и почему клиенты должны использовать функции прокси-сервера DNS брандмауэра. Клиенты должны использовать брандмауэр в качестве сопоставителя, если в правилах сети используются полные доменные имена. Можно обеспечить согласованность разрешения IP-адресов клиентами и брандмауэром.
В этом примере, если полное доменное имя (FQDN) настроено в правилах сети, брандмауэр разрешает полное доменное имя в IP-адрес 1 (IP1) и обновляет правила доступа, чтобы разрешить доступ к IP1. Если и когда клиент разрешает преобразование того же FQDN в IP2 из-за различия в ответе DNS, его попытка подключения не соответствует правилам брандмауэра, и ему отказано.
Для полных доменных имен HTTP/S в правилах приложений брандмауэр определяет полное доменное имя из заголовка узла или SNI, разрешает его, а затем подключается к этому IP-адресу. Конечный IP-адрес, к которому пытался подключиться клиент, игнорируется.