FQDN-szűrés használata hálózati szabályokban
A teljes tartománynév (FQDN) egy gazdagép vagy IP-cím(ek) tartománynevét jelöli. Az FQDN-eket a dns-feloldáson alapuló hálózati szabályokban használhatja Azure Firewall és tűzfalszabályzatban. Ez a képesség lehetővé teszi a kimenő forgalom szűrését bármely TCP/UDP protokollal (beleértve az NTP-t, az SSH-t, az RDP-t stb.). Engedélyeznie kell a DNS-proxynak, hogy teljes tartományneveket használjon a hálózati szabályokban. További információ: Azure Firewall DNS-beállítások.
Megjegyzés
A hálózati szabályok FQDN-szűrése alapértelmezés szerint nem támogatja a helyettesítő karaktereket
Működés
Miután meghatározta, hogy melyik DNS-kiszolgálóra van szüksége a szervezetnek (Azure DNS vagy saját egyéni DNS), Azure Firewall a kiválasztott DNS-kiszolgáló alapján lefordítja a teljes tartománynevet egy IP-címre(ek). Ez a fordítás alkalmazás- és hálózatiszabály-feldolgozás esetén is megtörténik.
Új DNS-feloldás esetén a rendszer új IP-címeket ad hozzá a tűzfalszabályokhoz. A DNS-kiszolgáló által már nem visszaadott régi IP-címek 15 perc múlva lejárnak. Azure Firewall szabályok 15 másodpercenként frissülnek a hálózati szabályok teljes tartományneveinek DNS-feloldásától kezdve.
Az alkalmazásszabályok és a hálózati szabályok közötti különbségek
Az FQDN-szűrés a HTTP/S és az MSSQL alkalmazásszabályaiban egy alkalmazásszintű transzparens proxyn és az SNI-fejlécen alapul. Így két teljes tartománynevet képes felismerni, amelyek ugyanarra az IP-címre vannak feloldva. A hálózati szabályok FQDN-szűrése nem így van.
Amikor csak lehetséges, mindig használjon alkalmazásszabályokat:
- Ha a protokoll HTTP/S vagy MSSQL, az FQDN-szűréshez használjon alkalmazásszabályokat.
- Az olyan szolgáltatások esetében, mint az AzureBackup, a HDInsight stb., használja az alkalmazásszabályokat FQDN-címkékkel.
- Minden más protokoll esetében használhat hálózati szabályokat az FQDN-szűréshez.