Gunakan pemfilteran FQDN dalam aturan jaringan
Nama domain yang sepenuhnya memenuhi syarat (FQDN) mewakili nama domain host atau satu atau beberapa alamat IP. Anda dapat menggunakan FQDN dalam aturan jaringan berdasarkan resolusi DNS di Azure Firewall dan kebijakan Firewall. Kemampuan ini memungkinkan Anda untuk memfilter lalu lintas keluar dengan protokol TCP/UDP apa pun (termasuk NTP, SSH, RDP, dan banyak lagi). Anda harus mengaktifkan DNS Proxy untuk menggunakan FQDN dalam aturan jaringan Anda. Untuk informasi selengkapnya, lihat Pengaturan DNS Azure Firewall.
Catatan
Secara desain, pemfilteran FQDN dalam aturan jaringan tidak mendukung wildcard
Cara kerjanya
Setelah Anda menentukan server DNS mana yang dibutuhkan organisasi Anda (Azure DNS atau DNS kustom Anda sendiri), Azure Firewall menerjemahkan FQDN ke alamat IP atau alamat berdasarkan server DNS yang dipilih. Terjemahan ini terjadi untuk pemrosesan aturan aplikasi dan jaringan.
Ketika resolusi DNS baru berlangsung, alamat IP baru ditambahkan ke aturan firewall. Alamat IP lama kedaluwarsa dalam 15 menit ketika server DNS tidak lagi mengembalikannya. Aturan Azure Firewall diperbarui setiap 15 detik dari resolusi DNS FQDN dalam aturan jaringan.
Perbedaan aturan aplikasi vs. aturan jaringan
Pemfilteran FQDN dalam aturan aplikasi untuk HTTP/S dan MSSQL didasarkan pada proksi transparan tingkat aplikasi dan header SNI. Dengan demikian, ia dapat membedakan antara dua FQDN yang diselesaikan ke alamat IP yang sama. Ini tidak terjadi pada pemfilteran FQDN dalam aturan jaringan.
Selalu gunakan aturan aplikasi jika memungkinkan:
- Jika protokol adalah HTTP/S atau MSSQL, gunakan aturan aplikasi untuk pemfilteran FQDN.
- Untuk layanan seperti AzureBackup, HDInsight, dll., gunakan aturan aplikasi dengan tag FQDN.
- Untuk protokol lain mana pun, Anda dapat menggunakan aturan jaringan untuk pemfilteran FQDN.