Usar filtragem FQDN em regras de rede

Um nome de domínio totalmente qualificado (FQDN) representa um nome de domínio de um host ou um ou mais endereços IP. Você pode usar FQDNs em regras de rede com base na resolução DNS na política de Firewall e Firewall do Azure. Esta capacidade permite-lhe filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar o Proxy DNS para usar FQDNs em suas regras de rede. Para obter mais informações, consulte Configurações de DNS do Firewall do Azure.

Nota

Por design, a filtragem FQDN em regras de rede não oferece suporte a curingas

Como funciona

Depois de definir qual servidor DNS sua organização precisa (DNS do Azure ou seu próprio DNS personalizado), o Firewall do Azure converte o FQDN para um endereço IP ou endereços com base no servidor DNS selecionado. Essa tradução acontece para o processamento de regras de aplicativo e rede.

Quando ocorre uma nova resolução de DNS, os novos endereços IP são adicionados às regras da firewall. Os endereços IP antigos expiram em 15 minutos quando o servidor DNS já não os devolve. As regras do Firewall do Azure são atualizadas a cada 15 segundos a partir da resolução DNS dos FQDNs nas regras de rede.

Diferenças nas regras de aplicação versus regras de rede

• A filtragem FQDN em regras de aplicativo para HTTP/S e MSSQL é baseada em um proxy transparente de nível de aplicativo e no cabeçalho SNI. Como tal, ele pode discernir entre dois FQDNs que são resolvidos para o mesmo endereço IP. Este não é o caso da filtragem FQDN em regras de rede.

  Utilize sempre as regras de aplicação sempre que possível:

  • Se o protocolo for HTTP/S ou MSSQL, use regras de aplicativo para filtragem FQDN.
  • Para serviços como AzureBackup, HDInsight, etc., use regras de aplicativo com tags FQDN.
  • Para quaisquer outros protocolos, você pode usar regras de rede para filtragem FQDN.

Próximos passos

Configurações de DNS do Firewall do Azure