Używanie filtrowania nazw FQDN w regułach sieci
W pełni kwalifikowana nazwa domeny (FQDN) reprezentuje nazwę domeny hosta lub co najmniej jeden adres IP. Nazwy FQDN można używać w regułach sieci na podstawie rozpoznawania nazw DNS w usłudze Azure Firewall i zasadach zapory. Ta funkcja umożliwia filtrowanie ruchu wychodzącego przy użyciu dowolnego protokołu TCP/UDP (w tym NTP, SSH, RDP i innych). Należy włączyć serwer proxy DNS, aby używać nazw FQDN w regułach sieci. Aby uzyskać więcej informacji, zobacz Ustawienia dns usługi Azure Firewall.
Uwaga
Zgodnie z projektem filtrowanie nazw FQDN w regułach sieciowych nie obsługuje symboli wieloznacznych
Jak to działa
Po zdefiniowaniu serwera DNS, którego potrzebuje organizacja (Azure DNS lub własnego niestandardowego systemu DNS), usługa Azure Firewall tłumaczy nazwę FQDN na adres IP lub adresy na podstawie wybranego serwera DNS. To tłumaczenie odbywa się zarówno w przypadku przetwarzania reguł aplikacji, jak i sieci.
Po rozpoczęciu nowego rozpoznawania nazw DNS nowe adresy IP są dodawane do reguł zapory. Stare adresy IP wygasają w ciągu 15 minut, gdy serwer DNS już ich nie zwraca. Reguły usługi Azure Firewall są aktualizowane co 15 sekund od rozpoznawania nazw FQDN w regułach sieciowych.
Różnice w regułach aplikacji a regułami sieci
Filtrowanie nazw FQDN w regułach aplikacji dla protokołów HTTP/S i MSSQL jest oparte na przezroczystym serwerze proxy na poziomie aplikacji i nagłówku SNI. W związku z tym może rozróżniać dwie nazwy FQDN rozpoznawane jako ten sam adres IP. Tak nie jest w przypadku filtrowania nazw FQDN w regułach sieci.
Zawsze używaj reguł aplikacji, jeśli to możliwe:
- Jeśli protokół to HTTP/S lub MSSQL, użyj reguł aplikacji do filtrowania nazw FQDN.
- W przypadku usług, takich jak AzureBackup, HDInsight itp., użyj reguł aplikacji z tagami FQDN.
- W przypadku innych protokołów można używać reguł sieciowych do filtrowania nazw FQDN.