Usar a filtragem do FQDN nas regras de rede
O FQDN (nome de domínio totalmente qualificado) representa o nome de domínio de um host ou de um ou mais endereços IP. Você pode usar FQDNs em regras de rede com base na resolução de DNS no firewall do Azure e na política de firewall. Essa funcionalidade permite filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar o proxy DNS para usar FQDNs nas regras de rede. Para obter mais informações, confira Configurações de DNS do Firewall do Azure.
Observação
Por design, a filtragem de FQDN nas regras de rede não dá suporte a curingas
Como ele funciona
Depois que você define o servidor DNS de que sua organização precisa (DNS do Azure ou um DNS personalizado próprio), o Firewall do Azure converte o FQDN em endereços IP com base no servidor DNS selecionado. A conversão é feita para o processamento de regras de aplicativo e de rede.
Quando ocorre uma nova resolução de DNS, novos endereços IP são adicionados às regras de firewall. Endereços IP antigos que não são mais retornados pelo servidor DNS expiram em 15 minutos. As regras do Firewall do Azure são atualizadas a cada 15 segundos a partir da resolução DNS dos FQDNs nas regras de rede.
Diferenças nas regras de aplicativos vs. regras de rede
A filtragem de FQDN nas regras de aplicativo para HTTP/S e MSSQL é baseada em um proxy transparente de nível de aplicativo e no cabeçalho de SNI. Por isso, ela pode distinguir dois FQDNs que são resolvidos para o mesmo endereço IP. Este não é o caso da filtragem de FQDN nas regras de rede.
Sempre use regras de aplicativo quando possível:
- Se o protocolo for HTTP/S ou MSSQL, use regras de aplicativo para a filtragem de FQDN.
- Para serviços como AzureBackup, HDInsight etc., use regras de aplicativo com marcas FQDN.
- Para quaisquer outros protocolos, as regras de rede de filtragem de FQDN poderão ser usadas.