Фильтрация по FQDN в правилах сети
Полное доменное имя (FQDN) представляет доменное имя хоста или IP-адрес. Полные доменные имена можно использовать в правилах сети для разрешений DNS в брандмауэре Azure и в политике брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Для использования полных доменных имен в правилах сети необходимо включить DNS-прокси. Дополнительные сведения см. на странице Параметры DNS политики Брандмауэра Azure.
Принцип работы
После того как вы определите, какой DNS-сервер нужен вашей организации (Azure DNS или ваш собственный DNS-сервер), брандмауэр Azure преобразует полное доменное имя в IP-адреса соответственно выбранному DNS-серверу. Это преобразование выполняется как для обработки и правил приложения, и правил сети.
В чем разница между использованием доменных имен в правилах приложений и в правилах сети?
- Фильтрация FQDN в правилах приложений для HTTP/S и MSSQL основана на прозрачном прокси-сервере уровня приложения и заголовке SNI. Таким образом, он может различать два FQDN, которые разрешаются в один и тот же IP-адрес. Это не относится к фильтрации полного доменного имени в правилах сети. Всегда используйте правила приложения, если это возможно.
- В правилах приложений можно использовать HTTP/S и MSSQL в качестве выбранных протоколов. В правилах сети можно использовать любой протокол TCP/UDP с FQDN назначения.