Azure 防火墙策略 DNS 设置

可以为 Azure 防火墙策略配置自定义 DNS 服务器并启用 DNS 代理。 可以在部署防火墙时配置这些设置，或者稍后从“设置”、“DNS”页面进行配置。

DNS 服务器

DNS 服务器维护域名并将它解析为 IP 地址。 默认情况下，Azure 防火墙将 Azure DNS 用于名称解析。 通过“DNS 服务器”设置，可以配置自己的 DNS 服务器来用于 Azure 防火墙名称解析。 可以配置一台或多台服务器。

DNS 代理

可以对 Azure 防火墙进行配置来充当 DNS 代理。 DNS 代理充当从客户端虚拟机到 DNS 服务器的 DNS 请求的中介。 如果配置自定义 DNS 服务器，应启用 DNS 代理以避免 DNS 解析不匹配，并在网络规则中启用 FQDN 筛选。

如果未启用 DNS 代理，来自客户端的 DNS 请求可能会在不同的时间传到 DNS 服务器，或者返回与防火墙不同的响应。 DNS 代理将 Azure 防火墙放置在客户端请求的路径中以避免不一致。

配置 DNS 代理需要三个步骤：

1. 在 Azure 防火墙 DNS 设置中启用 DNS 代理。
2. （可选）配置自定义 DNS 服务器或使用提供的默认设置。
3. 最后，必须在虚拟网络 DNS 服务器设置中将 Azure 防火墙的专用 IP 地址配置为自定义 DNS 地址。 这可确保 DNS 流量定向到 Azure 防火墙。

配置防火墙策略 DNS

1. 选择你的防火墙策略。
2. 在“设置”下，选择“DNS”。
3. 选择“已启用”来启用适用于此策略的 DNS 设置。
4. 在“DNS 服务器”下，可以接受“默认（由 Azure 提供）”设置，也可以选择“自定义”以添加要为虚拟网络配置的自定义 DNS 服务器。
5. 在“DNS 代理”下，选择“已启用”以启用 DNS 代理（如果配置了客户 DNS 服务器）。
6. 选择“应用”。

配置虚拟网络

要配置 DNS 代理，还必须将虚拟网络 DNS 服务器设置配置为使用防火墙专用 IP 地址。

配置虚拟网络 DNS 服务器

1. 选择 DNS 流量将通过 Azure 防火墙路由的虚拟网络。
2. 在“设置”下，选择“DNS 服务器”。
3. 在“DNS 服务器”下，选择“自定义” 。
4. 输入防火墙的专用 IP 地址。
5. 选择“保存” 。

后续步骤

网络规则中的 FQDN 筛选