Ağ kurallarında FQDN filtrelemesini kullanma
Tam etki alanı adı (FQDN), bir konağın veya IP adreslerinin etki alanı adını temsil eder. FQDN'leri Azure Güvenlik Duvarı ve Güvenlik Duvarı ilkesindeki DNS çözümlemesini temel alan ağ kurallarında kullanabilirsiniz. Bu özellik, giden trafiği herhangi bir TCP/UDP protokolüyle (NTP, SSH, RDP ve daha fazlası dahil) filtrelemenize olanak tanır. Ağ kurallarınızda FQDN'leri kullanmak için DNS Proxy'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. AZURE GÜVENLIK DUVARı DNS ayarları.
Not
Tasarım gereği, ağ kurallarında FQDN filtreleme joker karakterleri desteklemez
Nasıl çalışır?
Kuruluşunuzun hangi DNS sunucusuna (Azure DNS veya kendi özel DNS'niz) ihtiyacı olduğunu tanımladıktan sonra Azure Güvenlik Duvarı FQDN'yi seçilen DNS sunucusuna göre bir IP adreslerine çevirir. Bu çeviri hem uygulama hem de ağ kuralı işleme için gerçekleşir.
Yeni bir DNS çözümlemesi gerçekleştiğinde, güvenlik duvarı kurallarına yeni IP adresleri eklenir. DNS sunucusu tarafından artık döndürülmedi eski IP adreslerinin süresi 15 dakika içinde dolar. Azure Güvenlik Duvarı kuralları, ağ kurallarındaki FQDN'lerin DNS çözümlemesinden itibaren her 15 saniyede bir güncelleştirilir.
Uygulama kuralları ile ağ kuralları arasındaki farklar
HTTP/S ve MSSQL için uygulama kurallarında FQDN filtrelemesi, uygulama düzeyinde saydam ara sunucuyu ve SNI üst bilgisini temel alır. Bu nedenle, aynı IP adresine çözümlenen iki FQDN arasında ayrım yapabilir. Ağ kurallarında FQDN filtrelemesinde bu durum söz konusu değildir.
Mümkün olduğunda her zaman uygulama kurallarını kullanın:
- Protokol HTTP/S veya MSSQL ise, FQDN filtrelemesi için uygulama kurallarını kullanın.
- AzureBackup, HDInsight gibi hizmetler için FQDN etiketleriyle uygulama kurallarını kullanın.
- Diğer protokoller için FQDN filtreleme için ağ kurallarını kullanabilirsiniz.