Использовать фильтрацию FQDN в правилах сети
Полное доменное имя (FQDN) представляет доменное имя узла или одного или нескольких IP-адресов. Полные доменные имена можно использовать в правилах сети для разрешений DNS в брандмауэре Azure и в политике брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Для использования полных доменных имен в правилах сети необходимо включить DNS-прокси. Дополнительные сведения см. в разделе Брандмауэр Azure параметров DNS.
Примечание.
Фильтры FQDN в правилах сети не поддерживают подстановочные знаки.
Принцип работы
Определив, какой DNS-сервер требуется вашей организации (Azure DNS или собственный пользовательский DNS), Брандмауэр Azure преобразует полное доменное имя в IP-адрес или адреса на основе выбранного DNS-сервера. Это преобразование выполняется как для обработки и правил приложения, и правил сети.
При новом разрешении DNS новые IP-адреса добавляются в правила брандмауэра. Срок действия старых IP-адресов истекает через 15 минут, когда DNS-сервер больше не возвращает их. Правила брандмауэра Azure обновляются каждые 15 секунд после разрешения DNS полных доменных имен в сетевых правилах.
Различия в правилах приложений и правилах сети
Фильтрация FQDN в правилах приложений для HTTP/S и MSSQL основана на прозрачном прокси-сервере уровня приложения и заголовке SNI. Таким образом, он может различать два FQDN, которые разрешаются в один и тот же IP-адрес. Это не относится к фильтрации полного доменного имени в правилах сети.
Всегда используйте правила приложения, если это возможно:
- Если используется протокол HTTP/S или MSSQL, используйте правила приложения для фильтрации FQDN.
- Для таких служб, как AzureBackup, HDInsight и т. д., используйте правила приложения с тегами полного доменного имени.
- Для остальных протоколов можно использовать правила сети для фильтрации по полному доменному имени.