Compartir vía


Uso del filtrado de FQDN en reglas de red

Un nombre de dominio completo (FQDN) representa un nombre de dominio de un host o una o varias direcciones IP. Puede usar FQDN en reglas de red basadas en la resolución DNS en la directiva de firewall y Azure Firewall. Esta funcionalidad permite filtrar el tráfico saliente con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP y mucho más). Debe habilitar el proxy DNS para usar FQDN en sus reglas de red. Para obtener más información, consulte Configuración DNS de Azure Firewall.

Nota:

Por diseño, el filtrado de FQDN en reglas de red no admite caracteres comodín.

Funcionamiento

Una vez que defina qué servidor DNS necesita la organización (Azure DNS o su propio DNS personalizado), Azure Firewall traduce el FQDN a una o varias direcciones IP en función del servidor DNS seleccionado. Esta traducción se produce para el procesamiento de reglas de red y de aplicación.

Cuando se produce una nueva resolución DNS, se agregan nuevas direcciones IP a las reglas de firewall. Las direcciones IP antiguas expiran en 15 minutos cuando el servidor DNS ya no las devuelve. Las reglas de Azure Firewall se actualizan cada 15 segundos a partir de la resolución DNS de los FQDN en reglas de red.

Diferencias en las reglas de aplicación frente a las reglas de red

  • El filtrado de FQDN en reglas de aplicación para HTTP/S y MSSQL se basa en un proxy transparente de nivel de aplicación y el encabezado SNI. Como tal, puede distinguir entre dos FQDN que se resuelven en la misma dirección IP. Este no es así para el filtrado de FQDN en reglas de red.

    Use siempre reglas de aplicación cuando sea posible:

    • Si el protocolo es HTTP/S o MSSQL, use reglas de aplicación para el filtrado de FQDN.
    • Para servicios como AzureBackup, HDInsight, etc., use reglas de aplicación con etiquetas FQDN.
    • Para cualquier otro protocol, puede usar reglas de aplicación o de red para el filtrado de FQDN.

Pasos siguientes

Configuración DNS de Azure Firewall