Använda FQDN-filtrering i nätverksregler
Ett fullständigt domännamn (FQDN) representerar ett domännamn för en värd eller en eller flera IP-adresser. Du kan använda FQDN i nätverksregler baserat på DNS-matchning i Azure Firewall and Firewall-principen. Med den här funktionen kan du filtrera utgående trafik med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Du måste aktivera DNS-proxy för att kunna använda FQDN i dina nätverksregler. Mer information finns i DNS-inställningar för Azure Firewall.
Kommentar
FQDN-filtrering i nätverksregler stöder avsiktligt inte jokertecken
Hur det fungerar
När du har definierat vilken DNS-server din organisation behöver (Azure DNS eller din egen anpassade DNS) översätter Azure Firewall FQDN till en IP-adress eller -adresser baserat på den valda DNS-servern. Den här översättningen sker för bearbetning av både program- och nätverksregler.
När en ny DNS-matchning äger rum läggs nya IP-adresser till i brandväggsreglerna. Gamla IP-adresser upphör att gälla om 15 minuter när DNS-servern inte längre returnerar dem. Azure Firewall-reglerna uppdateras var 15:e sekund från DNS-matchningen av FQDN i nätverksregler.
Skillnader i programregler jämfört med nätverksregler
FQDN-filtrering i programregler för HTTP/S och MSSQL baseras på en transparent proxy på programnivå och SNI-huvudet. Därför kan den skilja mellan två FQDN:er som matchas till samma IP-adress. Detta är inte fallet med FQDN-filtrering i nätverksregler.
Använd alltid programregler när det är möjligt:
- Om protokollet är HTTP/S eller MSSQL använder du programregler för FQDN-filtrering.
- För tjänster som AzureBackup, HDInsight osv. använder du programregler med FQDN-taggar.
- För andra protokoll kan du använda nätverksregler för FQDN-filtrering.