Общие сведения о тегах FQDN
Тег FQDN — это группа полных доменных имен (FQDN), связанных с известными службами Майкрософт. Теги FQDN можно использовать в правилах приложений, чтобы разрешить нужный исходящий сетевой трафик через брандмауэр.
Например, чтобы вручную разрешить сетевой трафик клиентского компонента Центра обновления Windows через брандмауэр, необходимо создать несколько правил приложений согласно документации Майкрософт. А с помощью тегов FQDN можно создать правило приложения и включить тег Центра обновлений Windows. После этого сетевой трафик сможет проходить через брандмауэр к конечным точкам Центра обновления Windows.
Вы не можете создать собственные теги FQDN или указать, какие имена FQDN должны входить в тег. Майкрософт управляет полными доменными именами, включенными в теги FQDN, и обновляет тег, если эти имена меняются.
В следующей таблице показаны текущие теги FQDN, которые можно использовать. Корпорация Майкрософт поддерживает эти теги и может периодически добавлять больше тегов.
Текущие теги FQDN
| Тег FQDN | Description |
|---|---|
| WindowsUpdate | Разрешает исходящий доступ к Центру обновления Майкрософт, как описано в разделе Настройка брандмауэра для обновлений программного обеспечения. |
| WindowsDiagnostics | Разрешает исходящий доступ ко всем конечным точкам диагностики Windows. |
| MicrosoftActiveProtectionService (MAPS) | Разрешает исходящий доступ к MAPS. |
| AppServiceEnvironment (ASE) | Разрешает исходящий доступ к трафику платформы ASE. Этот тег не распространяется на конечные точки пользовательского хранилища и SQL, созданные ASE. Требуется включение с использованием конечных точек службы или добавление вручную. Дополнительные сведения об интеграции Брандмауэра Azure со средой службы приложений Azure см. в статье Блокирование среды службы приложений. |
| AzureBackup | Разрешает исходящий доступ к службам Azure Backup. |
| AzureHDInsight | Разрешает исходящий доступ для трафика платформы HDInsight. Этот тег не распространяется на специфичные для клиента хранилища или трафик SQL из HDInsight. Включите их с помощью конечных точек службы или добавьте их вручную. |
| Виртуальныйрабочийстол | Разрешает исходящий трафик платформы Виртуального рабочего стола Azure (прежнее название — Виртуальный рабочий стол Windows). Этот тег не распространяется на специфичные для развертывания конечные точки хранилища и служебной шины, созданные Виртуальным рабочим столом. Кроме того, требуются правила сети DNS и KMS. Дополнительные сведения об интеграции Брандмауэра Azure с Виртуальным рабочим столом Azure см. в этой статье. |
| AzureKubernetesService (AKS) | Разрешает исходящий доступ к AKS. Дополнительные сведения см. в статье Защита развернутой службы Azure Kubernetes Service (AKS) с помощью брандмауэра Azure. |
| Office365 Например: Office365.Skype.Optimize |
Несколько тегов Office 365 доступны для предоставления исходящего доступа к продукту и категории Office 365. Дополнительные сведения см. в статье "Использование Брандмауэр Azure для защиты Office 365". |
| Windows365 | Разрешает исходящее подключение к Windows 365, за исключением конечных точек сети для Microsoft Intune. Чтобы разрешить исходящее подключение к порту 5671, создайте отдельное сетевое правило. Дополнительные сведения см. в статье о требованиях к сети Windows 365. |
| MicrosoftIntune | Разрешить доступ к Microsoft Intune для управляемых устройств. |
| citrixHdxPlusForWindows365 | Требуется при использовании Citrix HDX Plus. |
Примечание.
При выборе тега FQDN в правиле приложения поле protocol:port должно иметь значение https.
Следующие шаги
См. дополнительные сведения о том, как развернуть и настроить Брандмауэр Azure с помощью портала Azure.