FQDN-Filterung in Netzwerkregeln
Ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) stellt den Domänennamen eines Hosts oder einer oder mehrerer IP-Adressen dar. Sie können FQDNs in Netzwerkregeln verwenden, basierend auf der DNS-Auflösung in Azure Firewall und der Firewallrichtlinie. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP und mehr) zu filtern. Für die Verwendung von FQDNs in Ihren Netzwerkregeln müssen Sie den DNS-Proxy aktivieren. Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall-Richtlinie.
Funktionsweise
Nachdem Sie definiert haben, welchen DNS-Server Ihre Organisation benötigt (Azure DNS oder Ihr eigenes benutzerdefiniertes DNS), übersetzt Azure Firewall den FQDN in eine oder mehrere IP-Adresse/n, basierend auf dem ausgewählten DNS-Server. Diese Übersetzung erfolgt bei der Verarbeitung von Anwendungs- und Netzwerkregeln.
Worin besteht der Unterschied zwischen der Verwendung von Domänennamen in Anwendungsregeln im Vergleich zu der Verwendung in Netzwerkregeln?
- Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem auf Anwendungsebene transparenten Proxy und dem SNI-Header. Daher kann hierbei zwischen zwei FQDNs unterschieden werden, die zur selben IP-Adresse aufgelöst werden. Bei der Verwendung der FQDN-Filterung in Netzwerkregeln ist dies nicht der Fall. Verwenden Sie nach Möglichkeit immer Anwendungsregeln.
- In Anwendungsregeln können Sie HTTP/S und MSSQL als Ihre ausgewählten Protokolle verwenden. In Netzwerkregeln können Sie ein beliebiges TCP/UDP-Protokoll mit ihren Ziel-FQDNs verwenden.