Använda FQDN-filtrering i nätverksregler
Ett fullständigt kvalificerat domännamn (FQDN) representerar ett domännamn för en värd eller IP-adress(es). Du kan använda FQDN i nätverksregler baserat på DNS-matchning i Azure Firewall och brandväggsprincip. Med den här funktionen kan du filtrera utgående trafik med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Du måste aktivera DNS-proxyn för att använda FQDN i dina nätverksregler. Mer information finns i Azure Firewall DNS-inställningar.
Anteckning
FQDN-filtrering i nätverksregler stöder avsiktligt inte jokertecken
Så här fungerar det
När du har definierat vilken DNS-server din organisation behöver (Azure DNS eller din egen anpassade DNS) översätter Azure Firewall FQDN till en IP-adress baserat på den valda DNS-servern. Den här översättningen sker för bearbetning av både program- och nätverksregler.
När en ny DNS-matchning äger rum läggs nya IP-adresser till i brandväggsreglerna. Gamla IP-adresser som inte längre returneras av DNS-servern upphör att gälla om 15 minuter. Azure Firewall regler uppdateras var 15:e sekund från DNS-matchningen av FQDN i nätverksregler.
Skillnader i programregler jämfört med nätverksregler
FQDN-filtrering i programregler för HTTP/S och MSSQL baseras på en transparent proxy på programnivå och SNI-huvudet. Därför kan den skilja mellan två FQDN som matchas till samma IP-adress. Detta gäller inte FQDN-filtrering i nätverksregler.
Använd alltid programregler när det är möjligt:
- Om protokollet är HTTP/S eller MSSQL använder du programregler för FQDN-filtrering.
- För tjänster som AzureBackup, HDInsight osv. använder du programregler med FQDN-taggar.
- För andra protokoll kan du använda nätverksregler för FQDN-filtrering.