Omówienie tagów FQDN
Tag FQDN reprezentuje grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znanymi usługami firmy Microsoft. Możesz użyć tagu FQDN w regułach aplikacji, aby zezwolić na wymagany ruch sieciowy wychodzący przez zaporę.
Aby na przykład ręcznie zezwolić na ruch sieciowy Windows Update przez zaporę, należy utworzyć wiele reguł aplikacji zgodnie z dokumentacją firmy Microsoft. Za pomocą tagów FQDN można utworzyć regułę aplikacji, dołączyć tag Aktualizacje systemu Windows, a teraz ruch sieciowy do punktów końcowych usługi Microsoft Windows Update może przepływać przez zaporę.
Nie można utworzyć własnych tagów FQDN ani określić, które nazwy FQDN są uwzględnione w tagu. Firma Microsoft zarządza nazwami FQDN obejmującymi tag FQDN i aktualizuje tag w miarę zmiany nazw FQDN.
W poniższej tabeli przedstawiono bieżące tagi nazwy FQDN, których można użyć. Firma Microsoft utrzymuje te tagi i można oczekiwać, że więcej tagów będzie dodawanych okresowo.
Bieżące tagi nazwy FQDN
Tag nazwy FQDN | Opis |
---|---|
Windowsupdate | Zezwalaj na dostęp wychodzący do usługi Microsoft Update zgodnie z opisem w temacie How to Configure a Firewall for Software Aktualizacje (Jak skonfigurować zaporę dla Aktualizacje oprogramowania). |
WindowsDiagnostics | Zezwalaj na dostęp wychodzący do wszystkich punktów końcowych diagnostyki systemu Windows. |
MicrosoftActiveProtectionService (MAPS) | Zezwalaj na dostęp wychodzący do usługi MAPS. |
AppServiceEnvironment (ASE) | Zezwala na dostęp wychodzący do ruchu platformy ASE. Ten tag nie obejmuje punktów końcowych usługi Storage i SQL specyficznych dla klienta utworzonych przez środowisko ASE. Powinny one być włączone za pośrednictwem punktów końcowych usługi lub dodane ręcznie. Aby uzyskać więcej informacji na temat integrowania Azure Firewall z programem ASE, zobacz Blokowanie App Service Environment. |
AzureBackup | Zezwala na dostęp wychodzący do usług Azure Backup. |
AzureHDInsight | Zezwala na dostęp wychodzący dla ruchu platformy usługi HDInsight. Ten tag nie obejmuje magazynu specyficznego dla klienta ani ruchu SQL z usługi HDInsight. Włącz je przy użyciu punktów końcowych usługi lub dodaj je ręcznie. |
WindowsVirtualDesktop | Zezwala na wychodzący ruch platformy Azure Virtual Desktop (dawniej Windows Virtual Desktop). Ten tag nie obejmuje punktów końcowych usługi Storage i Service Bus specyficznych dla wdrożenia utworzonych przez usługę Azure Virtual Desktop. Ponadto wymagane są reguły sieci DNS i KMS. Aby uzyskać więcej informacji na temat integrowania Azure Firewall z usługą Azure Virtual Desktop, zobacz Używanie Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop. |
AzureKubernetesService (AKS) | Zezwala na dostęp wychodzący do usługi AKS. Aby uzyskać więcej informacji, zobacz Używanie Azure Firewall do ochrony wdrożeń Azure Kubernetes Service (AKS). |
Office365 Na przykład: Office365.Skype.Optimize |
Dostępnych jest kilka Office 365 tagów umożliwiających dostęp wychodzący przez Office 365 produkt i kategorię. Aby uzyskać więcej informacji, zobacz Używanie Azure Firewall do ochrony Office 365. |
Windows365 | Zezwala na komunikację wychodzącą Windows 365, z wyłączeniem punktów końcowych sieci dla Microsoft Intune. Aby zezwolić na komunikację wychodzącą na port 5671, utwórz oddzieloną regułę sieci. Aby uzyskać więcej informacji, zobacz Windows 365 Wymagania dotyczące sieci. |
MicrosoftIntune | Zezwalaj na dostęp do Microsoft Intune dla urządzeń zarządzanych. |
Uwaga
Po wybraniu tagu FQDN w regule aplikacji pole protocol:port musi być ustawione na https.
Następne kroki
Aby dowiedzieć się, jak wdrożyć Azure Firewall, zobacz Samouczek: wdrażanie i konfigurowanie Azure Firewall przy użyciu Azure Portal.