Usare il filtro FQDN nelle regole di rete
Un nome di dominio completo (FQDN) rappresenta un nome di dominio di un host o uno o più indirizzi IP. È possibile usare FQDN nelle regole di rete in base alla risoluzione DNS nei criteri di Firewall di Azure e firewall. Questa funzionalità consente di filtrare il traffico in uscita con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altro ancora). È necessario abilitare il proxy DNS per usare IDN nelle regole di rete. Per altre informazioni, vedere Firewall di Azure impostazioni DNS.
Nota
Per impostazione predefinita, il filtro FQDN nelle regole di rete non supporta i caratteri jolly
Funzionamento
Dopo aver definito il server DNS necessario all'organizzazione (DNS di Azure o DNS personalizzato), Firewall di Azure converte il nome di dominio completo in un indirizzo IP o indirizzi in base al server DNS selezionato. Questa conversione avviene sia per l'elaborazione delle regole di rete che per l'applicazione.
Quando viene eseguita una nuova risoluzione DNS, vengono aggiunti nuovi indirizzi IP alle regole del firewall. Gli indirizzi IP precedenti scadono in 15 minuti quando il server DNS non li restituisce più. Firewall di Azure regole vengono aggiornate ogni 15 secondi dalla risoluzione DNS dei nomi di dominio completi nelle regole di rete.
Differenze nelle regole dell'applicazione e nelle regole di rete
Il filtro FQDN nelle regole dell'applicazione per HTTP/S e MSSQL si basa su un proxy trasparente a livello di applicazione e l'intestazione SNI. Di conseguenza, può distinguere tra due FQDN risolti nello stesso indirizzo IP. Questo non è il caso del filtro FQDN nelle regole di rete.
Usare sempre le regole dell'applicazione quando possibile:
- Se il protocollo è HTTP/S o MSSQL, usare le regole dell'applicazione per il filtro FQDN.
- Per i servizi come AzureBackup, HDInsight e così via, usare le regole dell'applicazione con tag FQDN.
- Per qualsiasi altro protocollo, è possibile usare le regole di rete per il filtro FQDN.