Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W pełni kwalifikowana nazwa domeny (FQDN) to pełna nazwa domeny hosta w Internecie, taka jak www.microsoft.com. W usłudze Azure Firewall i polityce zapory można używać nazw FQDN do filtrowania ruchu w regułach DNAT, sieci i aplikacji, w zależności od typu i kierunku ruchu poddanego inspekcji.
Jak to działa
Usługa Azure Firewall obsługuje filtrowanie oparte na nazwach FQDN w zależności od typu reguły:
- Reguły aplikacji używają FQDN do filtrowania ruchu HTTP/S i MSSQL. Polegają one na przezroczystym serwerze proxy na poziomie aplikacji i nagłówku SNI (Server Name Indication), aby odróżnić nazwy FQDN, które rozpoznają ten sam adres IP. Innymi słowy nazwy FQDN są dopasowywane i filtrowane względem oryginalnej domeny żądanej przez klienta, a nie na podstawie rozpoznanego adresu IP.
- Reguły sieci i DNAT filtrują ruch na podstawie rozpoznanych adresów IP w pełni kwalifikowanych nazw domen (FQDN) z wykorzystaniem usługi Azure DNS lub niestandardowego serwera DNS. Usługa Azure Firewall dynamicznie przechowuje i aktualizuje listę skojarzonych adresów IP dla nazw FQDN, zapewniając, że ruch jest kierowany poprawnie, nawet jeśli bazowe adresy IP się zmienią.
Podczas korzystania z rozpoznawania DNS usługa Azure Firewall:
- Przekształca FQDN na odpowiadający mu adres IP.
- Używa rozpoznany adres IP, aby zastosować odpowiedni typ reguły (DNAT lub sieć)
- Odświeża mapowania FQDN-to-IP co 15 sekund.
- Usuwa adresy IP, które nie są już rozpoznawane lub używane po 15 minutach.
Różnice między filtrowaniem FQDN w regułach DNAT, regułach sieci i aplikacji
Reguły DNAT
Reguły DNAT (docelowego tłumaczenia adresów sieciowych) służą do kierowania ruchu przychodzącego do serwerów zaplecza. Te reguły umożliwiają określenie adresu IP lub nazwy FQDN jako celu tłumaczenia. Używanie nazw FQDN w regułach DNAT umożliwia określenie w pełni kwalifikowanej nazwy domeny dla serwera zaplecza, co jest szczególnie przydatne w środowiskach dynamicznych, w których adres IP serwera zaplecza może się często zmieniać.
Kluczowe cechy:
- Włącz routing ruchu przychodzącego do serwerów zaplecza.
- Obsługa targetowania opartego na FQDN dla środowisk dynamicznych.
- Przydatne w scenariuszach wymagających elastycznych konfiguracji serwera zaplecza.
Reguły sieci
Reguły sieci są używane do filtrowania ruchu na podstawie dowolnego protokołu TCP lub UDP, takiego jak Protokół CZASU sieciowego (NTP), Secure Shell (SSH) i Remote Desktop Protocol (RDP). W przeciwieństwie do reguł aplikacji reguły sieciowe nie zależą od serwera proxy na poziomie aplikacji ani nagłówka SNI.
Uwaga / Notatka
Reguły sieciowe z filtrowaniem nazw FQDN nie obsługują używania symboli wieloznakowych. To ograniczenie jest zamierzone zgodnie z projektem.
Kluczowe cechy:
- Dotyczy wszystkich protokołów TCP i UDP.
- Idealne rozwiązanie dla ruchu innego niż HTTP/S lub MSSQL.
- Działanie w warstwie sieciowej bez inspekcji specyficznej dla protokołu.
Reguły aplikacji
Reguły aplikacji są przeznaczone do filtrowania ruchu HTTP/S i MSSQL. Polegają oni na transparentnym proxy na poziomie aplikacji i nagłówku SNI (Server Name Indication) w celu rozróżnienia nazw domen FQDN, które rozpoznawane są pod tym samym adresem IP. Te reguły są idealne w scenariuszach, w których należy kontrolować dostęp do usług internetowych lub baz danych.
Kluczowe cechy:
- Najlepiej nadaje się do protokołów HTTP/S i MSSQL.
- Użyj tagów FQDN dla usług platformy Azure, takich jak Azure Backup i HDInsight.
- Udostępnij większą granularność dla obsługiwanych protokołów.
Zrozumienie różnic między tymi typami reguł pozwala skutecznie skonfigurować usługę Azure Firewall w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zarządzania ruchem.
Dalsze kroki
- Dowiedz się, jak zestawy reguł usługi Azure Firewall są ustrukturyzowanymi zestawami reguł usługi Azure Firewall.