Filtrado de FQDN en reglas de red
Un nombre de dominio completo (FQDN) representa un nombre de dominio de un host o una o varias direcciones IP. Puede usar FQDN en reglas de red basadas en la resolución DNS en la directiva de firewall y Azure Firewall. Esta funcionalidad permite filtrar el tráfico saliente con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP y mucho más). Debe habilitar el proxy DNS para usar FQDN en sus reglas de red. Para obtener más información, consulte Configuración de DNS de directiva de Azure Firewall.
Funcionamiento
Una vez que defina qué servidor DNS necesita la organización (Azure DNS o su propio DNS personalizado), Azure Firewall traduce el FQDN a una o varias direcciones IP en función del servidor DNS seleccionado. Esta traducción se produce para el procesamiento de reglas de red y de aplicación.
¿Cuál es la diferencia entre usar nombres de dominio en reglas de aplicación y usarlos en reglas de red?
- El filtrado de FQDN en reglas de aplicación para HTTP/S y MSSQL se basa en un proxy transparente de nivel de aplicación y el encabezado SNI. Como tal, puede distinguir entre dos FQDN que se resuelven en la misma dirección IP. Este no es así para el filtrado de FQDN en reglas de red. Use siempre reglas de aplicación cuando sea posible.
- En las reglas de aplicación, puede usar HTTP/S y MSSQL como los protocolos seleccionados. En las reglas de red, puede usar cualquier protocolo TCP/UDP con sus FQDN de destino.