Teljes tartománynév szűrésének használata hálózati szabályokban
A teljes tartománynév (FQDN) egy gazdagép vagy egy vagy több IP-cím tartománynevét jelöli. Az FQDN-eket az Azure Firewall és a tűzfal szabályzatában található DNS-feloldáson alapuló hálózati szabályokban használhatja. Ez a funkció lehetővé teszi a kimenő forgalom szűrését bármely TCP/UDP protokollal (beleértve az NTP-t, az SSH-t, az RDP-t stb.). Engedélyeznie kell a DNS-proxyt, hogy teljes tartományneveket használjon a hálózati szabályokban. További információ: Azure Firewall DNS-beállítások.
Feljegyzés
A teljes tartománynév-szűrés a hálózati szabályokban nem támogatja a helyettesítő karaktereket
Hogyan működik?
Miután meghatározta, hogy melyik DNS-kiszolgálóra van szüksége a szervezetnek (Azure DNS vagy saját egyéni DNS), az Azure Firewall lefordítja a teljes tartománynevet egy IP-címre vagy címekre a kiválasztott DNS-kiszolgáló alapján. Ez a fordítás az alkalmazás- és a hálózati szabályfeldolgozás esetében is megtörténik.
Új DNS-feloldás esetén a rendszer új IP-címeket ad hozzá a tűzfalszabályokhoz. A régi IP-címek 15 percen belül lejárnak, amikor a DNS-kiszolgáló már nem adja vissza őket. Az Azure Firewall-szabályok 15 másodpercenként frissülnek a teljes tartománynevek DNS-feloldása után a hálózati szabályokban.
Az alkalmazásszabályok és a hálózati szabályok különbségei
A HTTP/S és AZ MSSQL alkalmazásszabályaiban a teljes tartománynév szűrése egy alkalmazásszintű transzparens proxyn és az SNI-fejlécen alapul. Így megkülönböztethet két teljes tartománynevet, amelyek azonos IP-címmel vannak feloldva. A hálózati szabályokban nem ez a helyzet a teljes tartománynév szűrésével.
Amikor csak lehetséges, mindig használjon alkalmazásszabályokat:
- Ha a protokoll HTTP/S vagy MSSQL, az FQDN-szűréshez használjon alkalmazásszabályokat.
- Az olyan szolgáltatások esetében, mint az AzureBackup, a HDInsight stb., használjon FQDN-címkékkel rendelkező alkalmazásszabályokat.
- Bármely más protokoll esetében használhat hálózati szabályokat az FQDN-szűréshez.