Partager via


Paramètres DNS de la stratégie de Pare-feu Azure

Vous pouvez configurer un serveur DNS personnalisé et activer le proxy DNS pour le pare-feu Azure. Configurez ces paramètres lorsque vous déployez le pare-feu ou configurez-les plus tard à partir de la page Paramètres DNS. Par défaut, le pare-feu Azure utilise Azure DNS et le Proxy DNS est désactivé.

Serveurs DNS

Un serveur DNS gère et résout les noms de domaine en adresses IP. Par défaut, le Pare-feu Azure utilise Azure DNS pour la résolution de noms. Le paramètre Serveur DNS vous permet de configurer vos propres serveurs DNS pour la résolution de noms du Pare-feu Azure. Vous pouvez configurer un ou plusieurs serveurs. Si vous configurez plusieurs serveurs DNS, le serveur utilisé est choisi de façon aléatoire. Vous pouvez configurer au maximum 15 serveurs DNS dans DNS personnalisé.

Notes

Pour les instances Pare-feu Azure gérés à l’aide d’Azure Firewall Manager, les paramètres DNS sont configurés dans la stratégie Pare-feu Azure associée.

Configurer des serveurs DNS personnalisés

  1. Sous Paramètres du pare-feu Azure, sélectionnez Paramètres DNS.
  2. Sous Serveurs DNS, vous pouvez saisir ou ajouter des serveurs DNS existants, précédemment spécifiés dans votre réseau virtuel.
  3. Sélectionnez Appliquer.

Le pare-feu dirige désormais le trafic DNS vers les serveurs DNS spécifiés pour la résolution de noms.

Capture d’écran montrant les paramètres des serveurs DNS.

Proxy DNS

Vous pouvez configurer le Pare-feu Azure pour qu’il agisse comme proxy DNS. Un proxy DNS est un intermédiaire pour les requêtes DNS entre des machines virtuelles clientes et un serveur DNS.

Si vous souhaitez activer le filtrage des nom de domaine complets (FQDN) dans les règles de réseau, activez le proxy DNS et mettez à jour la configuration de la machine virtuelle pour utiliser le pare-feu comme proxy DNS.

Diagramme montrant la configuration du proxy DNS à l’aide d’un serveur DNS personnalisé.

Si vous activez le filtrage des noms de domaine complets dans les règles de réseau et que vous ne configurez pas les machines virtuelles clientes pour utiliser le pare-feu comme proxy DNS, les requêtes DNS de ces clients risquent d’être transmises à un serveur DNS à un moment différent ou de renvoyer une réponse différente de celle du pare-feu. Il est recommandé de configurer les machines virtuelles clientes pour qu’elles utilisent le Pare-feu Azure comme proxy DNS. Cela place le Pare-feu Azure sur le trajet des demandes du client pour éviter toute incohérence.

Lorsque Pare-feu Azure est un proxy DNS, deux types de fonctions de mise en cache sont possibles :

  • Cache positif : la résolution DNS est réussie. Le pare-feu met en cache ces réponses en fonction de la durée de vie (TTL) dans la réponse pendant jusqu’à une heure.

  • Cache négatif : la résolution DNS ne produit aucune réponse ni aucune résolution. Le pare-feu met en cache ces réponses en fonction de la durée de vie (TTL) dans la réponse pendant jusqu’à 30 minutes.

Le proxy DNS stocke toutes les adresses IP résolues à partir de noms de domaine complets dans des règles de réseau. En guise de bonne pratique, utilisez des noms de domaine complets qui se résolvent en une seule adresse IP.

Héritage de stratégie

Les paramètres DNS de stratégie appliqués à un pare-feu autonome remplacent les paramètres DNS du pare-feu autonome. Une stratégie enfant hérite de tous les paramètres DNS de la stratégie parente, mais elle peut remplacer la stratégie parente.

Par exemple, pour utiliser des noms de domaine complets dans la règle réseau, le proxy DNS doit être activé. Toutefois, si une stratégie parente n’a pas de proxy DNS activé, la stratégie enfant ne prend pas en charge les noms de domaine complets dans les règles de réseau, sauf si vous remplacez localement ce paramètre.

Configuration du proxy DNS

La configuration du proxy DNS nécessite trois étapes :

  1. Activez le proxy DNS dans les paramètres DNS de Pare-feu Azure.
  2. Si vous le souhaitez, configurez votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
  3. Configurez l’adresse IP privée de Pare-feu Azure en tant qu’adresse DNS personnalisée dans les paramètres du serveur DNS de votre réseau virtuel. Ce réglage garantit que le trafic DNS est dirigé vers Pare-feu Azure.

Pour configurer le proxy DNS, vous devez configurer le paramètre des serveurs DNS de votre réseau virtuel pour utiliser l’adresse IP privée du pare-feu. Activez ensuite le proxy DNS dans les paramètres DNS de Pare-feu Azure.

Configurer les serveurs DNS du réseau virtuel
  1. Sélectionnez le réseau virtuel dans lequel le trafic DNS est routé au moyen de l’instance Pare-feu Azure.
  2. SousParamètres, sélectionnez Serveurs DNS.
  3. Sous Serveurs DNS, sélectionnez Personnalisé.
  4. Saisissez l’adresse IP privée du pare-feu.
  5. Sélectionnez Enregistrer.
  6. Redémarrez les machines virtuelles connectées au réseau virtuel, afin que les nouveaux paramètres de serveur DNS leur soient attribués. Les machines virtuelles continuent d’utiliser leurs paramètres DNS actuels jusqu’à ce qu’elles soient redémarrées.
Activer le proxy DNS
  1. Sélectionnez votre instance Pare-feu Azure.
  2. Sous Paramètres, sélectionnez Paramètres DNS.
  3. Le proxy DNS est désactivé par défaut. Lorsque ce paramètre est activé, le pare-feu écoute le port 53 et transfère les requêtes DNS aux serveurs DNS configurés.
  4. Vérifiez la configuration des serveurs DNS pour vous assurer que les paramètres sont adaptés à votre environnement.
  5. Cliquez sur Enregistrer.

Basculement vers la haute disponibilité

Le proxy DNS dispose d’un mécanisme de basculement qui met fin à l’utilisation d’un serveur non sain détecté et utilise un autre serveur DNS disponible.

Si tous les serveurs DNS sont indisponibles, il n’y a pas d’autre serveur DNS de secours.

Contrôles d'intégrité

Le proxy DNS effectue des boucles de contrôle d’intégrité de cinq secondes tant que les serveurs en amont sont signalés comme étant défectueux. Les contrôles d’intégrité consistent en une requête DNS récursive sur le serveur de noms racine. Une fois qu’un serveur en amont est considéré comme sain, le pare-feu met fin aux contrôles d’intégrité jusqu’à l’erreur suivante. Quand un proxy sain retourne une erreur, le pare-feu sélectionne un autre serveur DNS dans la liste.

Étapes suivantes