FQDN-filtering gebruiken in netwerkregels
Een FQDN (Fully Qualified Domain Name) vertegenwoordigt een domeinnaam van een host of een of meer IP-adressen. U kunt FQDN's in netwerkregels gebruiken op basis van DNS-omzetting in Azure Firewall- en firewallbeleid. Met deze mogelijkheid kunt u uitgaand verkeer filteren met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). U moet DNS-proxy inschakelen voor het gebruik van FQDN's in uw netwerkregels. Zie Dns-instellingen voor Azure Firewall voor meer informatie.
Notitie
FQDN-filtering in netwerkregels biedt standaard geen ondersteuning voor jokertekens
Hoe het werkt
Nadat u hebt gedefinieerd welke DNS-server uw organisatie nodig heeft (Azure DNS of uw eigen aangepaste DNS), vertaalt Azure Firewall de FQDN naar een IP-adres of adressen op basis van de geselecteerde DNS-server. Deze vertaling vindt plaats voor zowel toepassings- als netwerkregelverwerking.
Wanneer er een nieuwe DNS-omzetting plaatsvindt, worden er nieuwe IP-adressen toegevoegd aan firewallregels. Oude IP-adressen verlopen over 15 minuten wanneer de DNS-server deze niet meer retourneert. Azure Firewall-regels worden elke 15 seconden bijgewerkt vanaf DNS-omzetting van de FQDN's in netwerkregels.
Verschillen in toepassingsregels versus netwerkregels
FQDN-filtering in toepassingsregels voor HTTP/S en MSSQL is gebaseerd op een transparante proxy op toepassingsniveau en de SNI-header. Als zodanig kan het onderscheid maken tussen twee FQDN's die zijn omgezet in hetzelfde IP-adres. Dit is niet het geval bij FQDN-filtering in netwerkregels.
Gebruik altijd toepassingsregels indien mogelijk:
- Als het protocol HTTP/S of MSSQL is, gebruikt u toepassingsregels voor FQDN-filtering.
- Gebruik toepassingsregels met FQDN-tags voor services zoals AzureBackup, HDInsight, enzovoort.
- Voor andere protocollen kunt u netwerkregels gebruiken voor FQDN-filtering.