Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) stellt den Domänennamen eines Hosts oder einer oder mehrerer IP-Adressen dar. Sie können FQDNs in Netzwerkregeln verwenden, basierend auf der DNS-Auflösung in Azure Firewall und der Firewallrichtlinie. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP und mehr) zu filtern. Für die Verwendung von FQDNs in Ihren Netzwerkregeln müssen Sie den DNS-Proxy aktivieren. Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall.
Hinweis
Die FQDN-Filterung in Netzwerkregeln unterstützt keine Wildcards.
Funktionsweise
Nachdem Sie definiert haben, welchen DNS-Server Ihre Organisation benötigt (Azure DNS oder Ihr eigenes benutzerdefiniertes DNS), übersetzt Azure Firewall den FQDN in eine IP-Adresse oder -Adressen, basierend auf dem ausgewählten DNS-Server. Diese Übersetzung erfolgt bei der Verarbeitung von Anwendungs- und Netzwerkregeln.
Wenn eine neue DNS-Auflösung stattfindet, werden die neuen IP-Adressen zu Firewallregeln hinzugefügt. Alte IP-Adressen laufen in 15 Minuten ab, wenn der DNS-Server sie nicht mehr zurückgibt. Azure Firewall-Regeln werden ab der DNS-Auflösung der FQDNs in Netzwerkregeln alle 15 Sekunden aktualisiert.
Unterschiede zwischen Anwendungsregeln und Netzwerkregeln
Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem auf Anwendungsebene transparenten Proxy und dem SNI-Header. Daher kann hierbei zwischen zwei FQDNs unterschieden werden, die zur selben IP-Adresse aufgelöst werden. Bei der Verwendung der FQDN-Filterung in Netzwerkregeln ist dies nicht der Fall.
Verwenden Sie nach Möglichkeit immer Anwendungsregeln:
- Wenn das Protokoll HTTP/S oder MSSQL lautet, verwenden Sie Anwendungsregeln für die FQDN-Filterung.
- Verwenden Sie für Dienste wie AzureBackup und HDInsight Anwendungsregeln mit FQDN-Tags.
- Bei allen anderen Protokollen können Sie Anwendungs- oder Netzwerkregeln für die FQDN-Filterung verwenden.