在網路規則中使用 FQDN 篩選
完整網域名稱 (FQDN) 代表主機或一或多個 IP 位址的網域名稱。 您可以根據 Azure 防火牆和 [防火牆原則] 中的 DNS 解析,在網路規則中使用 FQDN。 這項功能可讓您使用 TCP/UDP 通訊協定 (包含 NTP、SSH、RDP 等) 來篩選輸出流量。 您必須啟用 DNS Proxy,才能在您的網路規則中使用 FQDN。 如需詳細資訊,請參閱 Azure 防火牆 DNS 設定。
注意
由於設計使然,網路規則中的 FQDN 篩選不支援萬用字元
運作方式
在您定義組織需要哪些 DNS 伺服器 (Azure DNS 或您自己的自訂 DNS) 後,Azure 防火牆即會根據選取的 DNS 伺服器,將 FQDN 轉譯為一或多個 IP 位址。 此平移適用於應用程式和網路規則處理。
當發生新的 DNS 解析時,會將新的 IP 位址新增至防火牆規則中。 當 DNS 伺服器不再傳回舊的 IP 位址時,這些位址將在 15 分鐘內過期。 Azure 防火牆規則會每隔 15 秒更新一次,從網路規則中的 FQDN DNS 解析進行更新。
應用程式規則與網路規則之間的差異
HTTP/S 和 MSSQL 應用程式規則中的 FQDN 篩選是以應用程式層級透明 Proxy 和 SNI 標頭為基礎。 因此,其可以分辨解析為相同 IP 位址的兩個 FQDN。 網路規則中的 FQDN 篩選不是這種情況。
可行時,盡量使用應用程式規則:
- 如果通訊協定是 HTTP/S 或 MSSQL,請使用適用於 FQDN 篩選的應用程式規則。
- 針對 AzureBackup、HDInsight 等服務,請搭配 FQDN 標籤使用應用程式規則。
- 對於任何其他通訊協定,您可以使用適用於 FQDN 篩選的網路規則。