Použití filtrování plně kvalifikovaného názvu domény v pravidlech sítě
Plně kvalifikovaný název domény (FQDN) představuje název domény hostitele nebo IP adresy. Plně kvalifikované názvy domén můžete použít v pravidlech sítě na základě překladu DNS v Azure Firewall a zásadách brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí libovolného protokolu TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Abyste mohli plně kvalifikované názvy domén používat v pravidlech sítě, musíte povolit proxy DNS. Další informace najdete v tématu Azure Firewall nastavení DNS.
Poznámka
Filtrování plně kvalifikovaného názvu domény v pravidlech sítě záměrně nepodporuje zástupné é kódy.
Jak to funguje
Jakmile definujete, který server DNS vaše organizace potřebuje (Azure DNS nebo vlastní DNS), Azure Firewall přeloží plně kvalifikovaný název domény na IP adresy na základě vybraného serveru DNS. K tomuto překladu dochází při zpracování pravidel aplikace i sítě.
Při novém překladu DNS se do pravidel brány firewall přidají nové IP adresy. Platnost starých IP adres, které už server DNS nevrací, vyprší za 15 minut. Azure Firewall pravidla se aktualizují každých 15 sekund od překladu dns plně kvalifikovaných názvů domén v pravidlech sítě.
Rozdíly v pravidlech aplikací a pravidlech sítě
Filtrování plně kvalifikovaného názvu domény v pravidlech aplikace pro HTTP/S a MSSQL je založené na transparentním proxy serveru na úrovni aplikace a hlavičce SNI. Proto dokáže rozlišovat mezi dvěma plně kvalifikovanými názvy domén, které se překládají na stejnou IP adresu. To není případ filtrování plně kvalifikovaného názvu domény v pravidlech sítě.
Pravidla aplikace používejte vždy, pokud je to možné:
- Pokud je protokol HTTP/S nebo MSSQL, použijte pravidla aplikace pro filtrování plně kvalifikovaného názvu domény.
- Pro služby, jako je AzureBackup, HDInsight atd., použijte pravidla aplikace se značkami plně kvalifikovaného názvu domény.
- Pro všechny ostatní protokoly můžete použít síťová pravidla pro filtrování plně kvalifikovaného názvu domény.