Usare il filtro FQDN nelle regole di rete
Un nome di dominio completo (FQDN) rappresenta un nome di dominio di un host o uno o più indirizzi IP. È possibile usare gli FQDN nelle regole di rete in base alla risoluzione DNS in Firewall di Azure e nei criteri firewall. Questa funzionalità consente di filtrare il traffico in uscita con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altri). È necessario abilitare il proxy DNS per usare gli FQDN nelle regole di rete. Per altre informazioni, vedere Impostazioni del DNS di Firewall di Azure.
Nota
Da progettazione, il filtro FQDN nelle regole di rete non supporta i caratteri jolly
Funzionamento
Dopo aver definito il server DNS necessario all'organizzazione (DNS di Azure o DNS personalizzato), Firewall di Azure converte il nome di dominio completo in uno o più indirizzi IP in base al server DNS selezionato. Questa conversione avviene sia per l'elaborazione dell'applicazione che per quella delle regole di rete.
Quando viene eseguita una nuova risoluzione DNS, vengono aggiunti nuovi indirizzi IP alle regole del firewall. I precedenti indirizzi IP scadono in 15 minuti quando il server DNS non li restituisce più. Le regole del firewall di Azure vengono aggiornate ogni 15 secondi dalla risoluzione DNS degli FQDN nelle regole di rete.
Differenze tra le regole dell'applicazione e le regole di rete
Il filtro FQDN nelle regole dell'applicazione per HTTP/S e MSSQL si basa su un proxy trasparente a livello di applicazione e sull'intestazione SNI. In quanto tale, è in grado di distinguere tra due FQDN risolti nello stesso indirizzo IP. Questo non è il caso del filtro FQDN nelle regole di rete.
Usare sempre le regole dell'applicazione quando possibile:
- Se il protocollo è HTTP/S o MSSQL, usare le regole dell'applicazione per il filtro FQDN.
- Per servizi come AzureBackup, HDInsight e così via, usare regole dell'applicazione con tag FQDN.
- Per qualsiasi altro protocollo, è possibile usare le regole di rete per il filtro FQDN.