Общие сведения о тегах FQDN
Тег FQDN — это группа полных доменных имен (FQDN), связанных с известными службами Майкрософт. Теги FQDN можно использовать в правилах приложений, чтобы разрешить нужный исходящий сетевой трафик через брандмауэр.
Например, чтобы вручную разрешить сетевой трафик для Центра обновления Windows через брандмауэр, нужно создать несколько правил приложения согласно документации Майкрософт. А с помощью тегов FQDN можно создать правило приложения и включить тег Центра обновлений Windows. После этого сетевой трафик сможет проходить через брандмауэр к конечным точкам Центра обновления Windows.
Вы не можете создать собственные теги FQDN или указать, какие имена FQDN должны входить в тег. Майкрософт управляет полными доменными именами, включенными в теги FQDN, и обновляет тег, если эти имена меняются.
В следующей таблице показаны текущие теги FQDN, которые можно использовать. Корпорация Майкрософт поддерживает эти теги, и вы можете ожидать периодического добавления дополнительных тегов.
Текущие теги FQDN
Тег FQDN | Описание |
---|---|
WindowsUpdate | Разрешает исходящий доступ к Центру обновления Майкрософт, как описано в разделе Настройка брандмауэра для обновлений программного обеспечения. |
WindowsDiagnostics | Разрешает исходящий доступ ко всем конечным точкам диагностики Windows. |
MicrosoftActiveProtectionService (MAPS) | Разрешает исходящий доступ к MAPS. |
AppServiceEnvironment (ASE) | Разрешает исходящий доступ к трафику платформы ASE. Этот тег не распространяется на конечные точки пользовательского хранилища и SQL, созданные ASE. Требуется включение с использованием конечных точек службы или добавление вручную. Дополнительные сведения об интеграции Брандмауэра Azure со средой службы приложений Azure см. в статье Блокирование среды службы приложений. |
AzureBackup | Разрешает исходящий доступ к службам Azure Backup. |
AzureHDInsight | Разрешает исходящий доступ для трафика платформы HDInsight. Этот тег не распространяется на специфичные для клиента хранилища или трафик SQL из HDInsight. Включите их с помощью конечных точек службы или добавьте их вручную. |
WindowsVirtualDesktop | Разрешает исходящий трафик платформы Виртуального рабочего стола Azure (прежнее название — Виртуальный рабочий стол Windows). Этот тег не распространяется на специфичные для развертывания конечные точки хранилища и служебной шины, созданные Виртуальным рабочим столом. Кроме того, требуются правила сети DNS и KMS. Дополнительные сведения об интеграции Брандмауэра Azure с Виртуальным рабочим столом Azure см. в этой статье. |
AzureKubernetesService (AKS) | Разрешает исходящий доступ к AKS. Дополнительные сведения см. в статье Защита развернутой службы Azure Kubernetes Service (AKS) с помощью брандмауэра Azure. |
Office365 Например: Office365.Skype.Optimize |
Доступно несколько тегов Office 365 для обеспечения исходящего доступа по Office 365 продуктам и категориям. Дополнительные сведения см. в статье Использование Брандмауэр Azure для защиты Office 365. |
Windows365 | Разрешает исходящий обмен данными с Windows 365, за исключением конечных точек сети для Microsoft Intune. Чтобы разрешить исходящий обмен данными с портом 5671, создайте отдельное правило сети. Дополнительные сведения см. в разделе требования к сети Windows 365. |
MicrosoftIntune | Разрешить доступ к Microsoft Intune для управляемых устройств. |
Примечание
При выборе тега FQDN в правиле приложения для поля protocol:port необходимо задать значение https.
Дальнейшие действия
См. дополнительные сведения о том, как развернуть и настроить Брандмауэр Azure с помощью портала Azure.