Używanie filtrowania nazw FQDN w regułach sieci

W pełni kwalifikowana nazwa domeny (FQDN) reprezentuje pełną nazwę domeny hosta lub co najmniej jeden adres IP. W usłudze Azure Firewall i zasadach zapory można używać nazw FQDN w regułach sieciowych na podstawie rozpoznawania DNS. Ta funkcja umożliwia filtrowanie ruchu wychodzącego przy użyciu dowolnego protokołu TCP/UDP, w tym NTP, SSH i RDP. Aby używać nazw FQDN w regułach sieci, należy włączyć serwer proxy DNS. Aby uzyskać więcej informacji, zobacz Ustawienia dns usługi Azure Firewall.

Jak to działa

Najpierw zdefiniuj serwer DNS używany przez organizację (azure DNS lub niestandardowy system DNS). Następnie usługa Azure Firewall tłumaczy nazwę FQDN na adres IP lub adresy na podstawie wybranego serwera DNS. To tłumaczenie dotyczy przetwarzania reguł aplikacji i sieci.

Gdy występuje nowe rozpoznawanie nazw DNS, nowe adresy IP są dodawane do reguł zapory. Stare adresy IP wygasają po upływie 15 minut, jeśli serwer DNS nie zwróci ich już. Usługa Azure Firewall aktualizuje swoje reguły co 15 sekund na podstawie rozpoznawania nazw FQDN w regułach sieciowych.

Różnice między regułami aplikacji i regułami sieci

• Filtrowanie nazw FQDN w regułach aplikacji dla protokołów HTTP/S i MSSQL opiera się na przezroczystym serwerze proxy na poziomie aplikacji i nagłówku SNI. Dzięki temu można odróżnić dwie nazwy FQDN, które rozpoznają ten sam adres IP. Ta funkcja nie jest dostępna w przypadku filtrowania nazw domen FQDN w regułach sieciowych.

  Zawsze używaj reguł aplikacji, jeśli to możliwe:

  • W przypadku protokołów HTTP/S lub MSSQL użyj reguł aplikacji do filtrowania nazw FQDN.
  • W przypadku usług, takich jak AzureBackup i HDInsight, użyj reguł aplikacji z tagami FQDN.
  • W przypadku innych protokołów należy używać reguł sieciowych do filtrowania w pełni kwalifikowanej nazwy domeny (FQDN).

Następne kroki

Ustawienia dns usługi Azure Firewall