Delen via


FQDN-filtering gebruiken in netwerkregels

Een FQDN (Fully Qualified Domain Name) vertegenwoordigt een domeinnaam van een host of een of meer IP-adressen. U kunt FQDN's in netwerkregels gebruiken op basis van DNS-omzetting in Azure Firewall- en firewallbeleid. Met deze mogelijkheid kunt u uitgaand verkeer filteren met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). U moet DNS-proxy inschakelen voor het gebruik van FQDN's in uw netwerkregels. Zie Dns-instellingen voor Azure Firewall voor meer informatie.

Notitie

FQDN-filtering in netwerkregels biedt standaard geen ondersteuning voor jokertekens

Hoe het werkt

Nadat u hebt gedefinieerd welke DNS-server uw organisatie nodig heeft (Azure DNS of uw eigen aangepaste DNS), vertaalt Azure Firewall de FQDN naar een IP-adres of adressen op basis van de geselecteerde DNS-server. Deze vertaling vindt plaats voor zowel toepassings- als netwerkregelverwerking.

Wanneer er een nieuwe DNS-omzetting plaatsvindt, worden er nieuwe IP-adressen toegevoegd aan firewallregels. Oude IP-adressen verlopen over 15 minuten wanneer de DNS-server deze niet meer retourneert. Azure Firewall-regels worden elke 15 seconden bijgewerkt vanaf DNS-omzetting van de FQDN's in netwerkregels.

Verschillen in toepassingsregels versus netwerkregels

  • FQDN-filtering in toepassingsregels voor HTTP/S en MSSQL is gebaseerd op een transparante proxy op toepassingsniveau en de SNI-header. Als zodanig kan het onderscheid maken tussen twee FQDN's die zijn omgezet in hetzelfde IP-adres. Dit is niet het geval bij FQDN-filtering in netwerkregels.

    Gebruik altijd toepassingsregels indien mogelijk:

    • Als het protocol HTTP/S of MSSQL is, gebruikt u toepassingsregels voor FQDN-filtering.
    • Gebruik toepassingsregels met FQDN-tags voor services zoals AzureBackup, HDInsight, enzovoort.
    • Voor andere protocollen kunt u netwerkregels gebruiken voor FQDN-filtering.

Volgende stappen

DNS-instellingen voor Azure Firewall