FQDN-filtering gebruiken in netwerkregels

Een FQDN (Fully Qualified Domain Name) vertegenwoordigt de volledige domeinnaam van een host of een of meer IP-adressen. In Azure Firewall en Firewallbeleid kunt u FQDN's in netwerkregels gebruiken gebaseerd op DNS-resolutie. Met deze functie kunt u uitgaand verkeer filteren met behulp van elk TCP/UDP-protocol, waaronder NTP, SSH en RDP. Als u FQDN's in uw netwerkregels wilt gebruiken, moet u DNS-proxy inschakelen. Zie Dns-instellingen voor Azure Firewall voor meer informatie.

Hoe het werkt

Definieer eerst de DNS-server die uw organisatie gebruikt (Azure DNS of een aangepaste DNS). Azure Firewall vertaalt de FQDN vervolgens naar een IP-adres of adressen op basis van de gekozen DNS-server. Deze vertaling is van toepassing op zowel verwerking van toepassings- als netwerkregels.

Wanneer er een nieuwe DNS-omzetting plaatsvindt, worden er nieuwe IP-adressen toegevoegd aan de firewallregels. Oude IP-adressen verlopen na 15 minuten als de DNS-server deze niet meer retourneert. Azure Firewall werkt de regels elke 15 seconden bij op basis van de DNS-resolutie van de FQDN's in netwerkregels.

Verschillen tussen toepassingsregels en netwerkregels

• FQDN-filtering in toepassingsregels voor HTTP/S en MSSQL is afhankelijk van een transparante proxy op toepassingsniveau en de SNI-header. Hierdoor kan het onderscheid maken tussen twee FQDN's die worden omgezet in hetzelfde IP-adres. Deze mogelijkheid is niet beschikbaar met FQDN-filtering in netwerkregels.

  Gebruik altijd toepassingsregels indien mogelijk:

  • Gebruik toepassingsregels voor FQDN-filtering voor HTTP/S- of MSSQL-protocollen.
  • Gebruik toepassingsregels met FQDN-tags voor services zoals AzureBackup en HDInsight.
  • Gebruik voor andere protocollen netwerkregels voor FQDN-filtering.

Volgende stappen

DNS-instellingen voor Azure Firewall