你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
FQDN 标记概述
FQDN 标记表示与已知的 Microsoft 服务关联的一组完全限定的域名 (FQDN)。 可以在应用程序规则中使用 FQDN 标记,以允许所需出站网络流量通过防火墙。
例如,若要手动允许 Windows 更新网络流量通过防火墙,需要根据 Microsoft 文档创建多个应用程序规则。 使用 FQDN 标记,可以创建一个应用程序规则,其中包括 Windows 更新标记,现在到 Microsoft Windows 更新终结点的网络流量可以流经防火墙。
你无法创建自己的 FQDN 标记,也无法指定标记中包含哪些 FQDN。 Microsoft 管理 FQDN 标记包含的 FQDN,并在 FQDN 更改时更新标记。
下表显示了当前可使用的 FQDN 标记。 Microsoft 维护这些标记,你可以期望定期添加其他标记。
当前 FQDN 标记
FQDN 标记 | 说明 |
---|---|
WindowsUpdate | 允许出站访问 Microsoft 更新,如如何为软件更新配置防火墙中所述。 |
WindowsDiagnostics | 允许出站访问所有 Windows 诊断终结点。 |
MicrosoftActiveProtectionService (MAPS) | 允许出站访问 MAPS。 |
AppServiceEnvironment (ASE) | 允许出站访问 ASE 平台流量。 此标记未涵盖由 ASE 创建的特定于客户的存储和 SQL 终结点。 这些应通过服务终结点启用或手动添加。 有关将 Azure 防火墙与 ASE 集成的详细信息,请参阅锁定应用服务环境。 |
AzureBackup | 允许对 Azure 备份服务进行出站访问。 |
AzureHDInsight | 允许出站访问 HDInsight 平台流量。 此标记未涵盖特定于客户的存储和来自 HDInsight 的 SQL 流量。 使用服务终结点启用这些项或手动添加它们。 |
WindowsVirtualDesktop | 允许出站 Azure 虚拟桌面(以前称为 Windows 虚拟桌面)平台流量。 此标记不包括由 Azure 虚拟桌面创建的特定于部署的存储和服务总线终结点。 此外,还需要 DNS 和 KMS 网络规则。 有关将 Azure 防火墙与 Azure 虚拟桌面集成的详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署。 |
AzureKubernetesService (AKS) | 允许出站访问 AKS。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure Kubernetes 服务 (AKS) 部署。 |
Office365 例如:Office365.Skype.Optimize |
有多个 Office 365 标记可用于允许按 Office 365 产品和类别进行出站访问。 有关详细信息,请参阅使用 Azure 防火墙保护 Office 365。 |
Windows365 | 允许与 Windows 365 进行出站通信,但 Microsoft Intune 的网络终结点除外。 若要允许与端口 5671 进行出站通信,请创建单独的网络规则。 有关详细信息,请参阅 Windows 365 网络要求。 |
MicrosoftIntune | 允许访问托管设备的 Microsoft Intune。 |
citrixHdxPlusForWindows365 | 使用 Citrix HDX Plus 时是必需的。 |
注意
在应用程序规则中选择“FQDN 标记”时,“协议:端口”字段必须设置为“https”。
后续步骤
若要了解如何部署 Azure 防火墙,请参阅教程:使用 Azure 门户部署和配置 Azure 防火墙。