Uso del filtrado de FQDN en reglas de red
Un nombre de dominio completo (FQDN) representa un nombre de dominio de un host o una o varias direcciones IP. Puede usar FQDN en reglas de red basadas en la resolución DNS en la directiva de firewall y Azure Firewall. Esta funcionalidad permite filtrar el tráfico saliente con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP y mucho más). Debe habilitar el proxy DNS para usar FQDN en sus reglas de red. Para obtener más información, consulte Configuración DNS de Azure Firewall.
Nota:
Por diseño, el filtrado de FQDN en reglas de red no admite caracteres comodín.
Funcionamiento
Una vez que defina qué servidor DNS necesita su organización (Azure DNS o su propio DNS personalizado), Azure Firewall traduce el FQDN a una o varias direcciones IP basadas en el servidor DNS seleccionado. Esta traducción se produce para el procesamiento de reglas de red y de aplicación.
Cuando se produce una nueva resolución DNS, se agregan nuevas direcciones IP a las reglas de firewall. Las direcciones IP antiguas que el servidor DNS ya no devuelve expiran en 15 minutos. Las reglas de Azure Firewall se actualizan cada 15 segundos a partir de la resolución DNS de los FQDN en reglas de red.
Diferencias en las reglas de aplicación frente a las reglas de red
El filtrado de FQDN en reglas de aplicación para HTTP/S y MSSQL se basa en un proxy transparente de nivel de aplicación y el encabezado SNI. Como tal, puede distinguir entre dos FQDN que se resuelven en la misma dirección IP. Este no es el caso del filtrado de FQDN en reglas de red.
Use siempre reglas de aplicación cuando sea posible:
- Si el protocolo es HTTP/S o MSSQL, use reglas de aplicación para el filtrado de FQDN.
- Para servicios como AzureBackup, HDInsight, etc., use reglas de aplicación con etiquetas FQDN.
- Para cualquier otro protocol, puede usar reglas de aplicación o de red para el filtrado de FQDN.