Použití filtrování plně kvalifikovaného názvu domény v pravidlech sítě
Plně kvalifikovaný název domény (FQDN) představuje název domény hostitele nebo jedné nebo více IP adres. Plně kvalifikované názvy domén můžete používat v pravidlech sítě na základě překladu DNS ve službě Azure Firewall a zásadách brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí libovolného protokolu TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Proxy serveru DNS musíte povolit, aby v pravidlech sítě používal plně kvalifikované názvy domén. Další informace najdete v tématu Nastavení DNS služby Azure Firewall.
Poznámka:
Filtrování plně kvalifikovaného názvu domény v pravidlech sítě záměrně nepodporuje zástupné cardy.
Jak to funguje
Jakmile definujete, který server DNS vaše organizace potřebuje (Azure DNS nebo vlastní DNS), Azure Firewall přeloží plně kvalifikovaný název domény na IP adresu nebo adresy na základě vybraného serveru DNS. K tomuto překladu dochází pro zpracování pravidel aplikace i sítě.
Při novém překladu DNS jsou do pravidel brány firewall přidány nové IP adresy. Platnost starých IP adres vyprší za 15 minut, když je server DNS už nevrátí. Pravidla služby Azure Firewall se aktualizují každých 15 sekund od překladu DNS plně kvalifikovaných názvů domén v pravidlech sítě.
Rozdíly v pravidlech aplikací vs. síťová pravidla
Filtrování plně kvalifikovaného názvu domény v pravidlech aplikace pro HTTP/S a MSSQL je založené na transparentním proxy serveru na úrovni aplikace a hlavičce SNI. Proto může rozlišovat mezi dvěma plně kvalifikovanými názvy domén, které se přeloží na stejnou IP adresu. Nejedná se o případ filtrování plně kvalifikovaného názvu domény v pravidlech sítě.
Vždy používejte pravidla aplikace, pokud je to možné:
- Pokud je protokol HTTP/S nebo MSSQL, použijte pravidla aplikace pro filtrování plně kvalifikovaného názvu domény.
- Pro služby, jako je AzureBackup, HDInsight atd., použijte pravidla aplikace se značkami plně kvalifikovaného názvu domény.
- Pro všechny ostatní protokoly můžete použít síťová pravidla pro filtrování plně kvalifikovaného názvu domény.