Używanie filtrowania nazw FQDN w regułach sieci
W pełni kwalifikowana nazwa domeny (FQDN) reprezentuje nazwę domeny hosta lub adresów IP. Nazwy FQDN można używać w regułach sieci na podstawie rozpoznawania nazw DNS w Azure Firewall i zasadach zapory. Ta funkcja umożliwia filtrowanie ruchu wychodzącego przy użyciu dowolnego protokołu TCP/UDP (w tym NTP, SSH, RDP i nie tylko). Należy włączyć serwer proxy DNS, aby używać nazw FQDN w regułach sieci. Aby uzyskać więcej informacji, zobacz Azure Firewall ustawienia DNS.
Uwaga
Zgodnie z projektem filtrowanie nazw FQDN w regułach sieciowych nie obsługuje symboli wieloznacznych
Jak to działa
Po zdefiniowaniu serwera DNS, którego potrzebuje organizacja (Azure DNS lub własnego niestandardowego systemu DNS), Azure Firewall tłumaczy nazwę FQDN na adresy IP na podstawie wybranego serwera DNS. To tłumaczenie odbywa się zarówno w przypadku przetwarzania reguł aplikacji, jak i sieci.
Po rozpoczęciu nowego rozpoznawania nazw DNS nowe adresy IP są dodawane do reguł zapory. Stare adresy IP, które nie są już zwracane przez serwer DNS, wygasają w ciągu 15 minut. Azure Firewall reguły są aktualizowane co 15 sekund od rozpoznawania nazw FQDN w regułach sieciowych.
Różnice w regułach aplikacji a regułach sieci
Filtrowanie nazw FQDN w regułach aplikacji dla protokołów HTTP/S i MSSQL jest oparte na przezroczystym serwerze proxy na poziomie aplikacji i nagłówku SNI. W związku z tym może rozróżniać między dwoma nazwami FQDN, które są rozpoznawane jako ten sam adres IP. Tak nie jest w przypadku filtrowania nazw FQDN w regułach sieci.
Zawsze używaj reguł aplikacji, gdy jest to możliwe:
- Jeśli protokół to HTTP/S lub MSSQL, użyj reguł aplikacji do filtrowania nazw FQDN.
- W przypadku usług, takich jak AzureBackup, HDInsight itp., użyj reguł aplikacji z tagami FQDN.
- W przypadku innych protokołów można używać reguł sieci na potrzeby filtrowania nazw FQDN.