Utilizar a filtragem FQDN nas regras de rede
Um nome de domínio completamente qualificado (FQDN) representa um nome de domínio de um anfitrião ou endereço(es). Pode utilizar FQDNs em regras de rede com base na resolução de DNS no Azure Firewall e na política de Firewall. Esta capacidade permite-lhe filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Tem de ativar o Proxy de DNS para utilizar FQDNs nas regras de rede. Para obter mais informações, veja Azure Firewall definições de DNS.
Nota
Por predefinição, a filtragem FQDN nas regras de rede não suporta carateres universais
Como funciona
Depois de definir o servidor DNS de que a sua organização precisa (DNS do Azure ou o seu próprio DNS personalizado), Azure Firewall traduz o FQDN para um(es) endereço(es) IP com base no servidor DNS selecionado. Esta tradução ocorre tanto para o processamento de regras de aplicação como para a rede.
Quando ocorre uma nova resolução de DNS, são adicionados novos endereços IP às regras da firewall. Os endereços IP antigos que já não são devolvidos pelo servidor DNS expiram dentro de 15 minutos. Azure Firewall regras são atualizadas a cada 15 segundos a partir da resolução de DNS dos FQDNs nas regras de rede.
Diferenças nas regras de aplicação vs. regras de rede
A filtragem FQDN nas regras da aplicação para HTTP/S e MSSQL baseia-se num proxy transparente ao nível da aplicação e no cabeçalho SNI. Como tal, pode discernir entre dois FQDNs que são resolvidos para o mesmo endereço IP. Não é o caso da filtragem do FQDN nas regras de rede.
Utilize sempre as regras da aplicação sempre que possível:
- Se o protocolo for HTTP/S ou MSSQL, utilize regras de aplicação para filtragem FQDN.
- Para serviços como o AzureBackup, HDInsight, etc., utilize regras de aplicação com etiquetas FQDN.
- Para quaisquer outros protocolos, pode utilizar regras de rede para filtragem FQDN.