FQDN-filtering in netwerkregels
Een FQDN (Fully Qualified Domain Name) vertegenwoordigt een domeinnaam van een host of een of meer IP-adressen. U kunt FQDN's in netwerkregels gebruiken op basis van DNS-omzetting in Azure Firewall- en firewallbeleid. Met deze mogelijkheid kunt u uitgaand verkeer filteren met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). U moet DNS-proxy inschakelen voor het gebruik van FQDN's in uw netwerkregels. Zie DNS-instellingen voor Azure Firewall-beleid voor meer informatie.
Hoe het werkt
Nadat u hebt gedefinieerd welke DNS-server uw organisatie nodig heeft (Azure DNS of uw eigen aangepaste DNS), vertaalt Azure Firewall de FQDN naar een of meer IP-adressen op basis van de geselecteerde DNS-server. Deze vertaling vindt plaats voor zowel toepassings- als netwerkregelverwerking.
Wat is het verschil tussen het gebruik van domeinnamen in toepassingsregels in vergelijking met die van netwerkregels?
- FQDN-filtering in toepassingsregels voor HTTP/S en MSSQL is gebaseerd op een transparante proxy op toepassingsniveau en de SNI-header. Als zodanig kan het onderscheid maken tussen twee FQDN's die zijn omgezet in hetzelfde IP-adres. Dit is niet het geval bij FQDN-filtering in netwerkregels. Gebruik toepassingsregels altijd indien mogelijk.
- In toepassingsregels kunt u HTTP/S en MSSQL gebruiken als de geselecteerde protocollen. In netwerkregels kunt u elk TCP/UDP-protocol gebruiken met uw doel-FQDN's.