FQDN-filtering gebruiken in netwerkregels
Een FQDN (Fully Qualified Domain Name) vertegenwoordigt een domeinnaam van een host of IP-adres(sen). U kunt FQDN's gebruiken in netwerkregels op basis van DNS-omzetting in Azure Firewall en firewallbeleid. Met deze mogelijkheid kunt u uitgaand verkeer filteren met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). U moet de DNS-proxy inschakelen om FQDN's te gebruiken in uw netwerkregels. Zie dns-instellingen Azure Firewall voor meer informatie.
Notitie
FQDN-filtering in netwerkregels biedt standaard geen ondersteuning voor jokertekens
Uitleg
Zodra u hebt gedefinieerd welke DNS-server uw organisatie nodig heeft (Azure DNS of uw eigen aangepaste DNS), Azure Firewall de FQDN omgezet naar een OF meer IP-adressen op basis van de geselecteerde DNS-server. Deze vertaling vindt plaats voor zowel de verwerking van toepassings- als netwerkregels.
Wanneer een nieuwe DNS-omzetting plaatsvindt, worden nieuwe IP-adressen toegevoegd aan firewallregels. Oude IP-adressen die niet meer worden geretourneerd door de DNS-server verlopen over 15 minuten. Azure Firewall regels worden elke 15 seconden bijgewerkt vanaf de DNS-omzetting van de FQDN's in netwerkregels.
Verschillen in toepassingsregels en netwerkregels
FQDN-filtering in toepassingsregels voor HTTP/S en MSSQL is gebaseerd op een transparante proxy op toepassingsniveau en de SNI-header. Als zodanig kan het onderscheid maken tussen twee FQDN's die zijn omgezet naar hetzelfde IP-adres. Dit is niet het geval met FQDN-filtering in netwerkregels.
Gebruik altijd toepassingsregels indien mogelijk:
- Als het protocol HTTP/S of MSSQL is, gebruikt u toepassingsregels voor FQDN-filtering.
- Gebruik toepassingsregels met FQDN-tags voor services zoals AzureBackup, HDInsight, enzovoort.
- Voor andere protocollen kunt u netwerkregels gebruiken voor FQDN-filtering.