Filtrování plně kvalifikovaného názvu domény v pravidlech sítě
Plně kvalifikovaný název domény (FQDN) představuje název domény hostitele nebo jedné nebo více IP adres. Plně kvalifikované názvy domén můžete používat v pravidlech sítě na základě překladu DNS ve službě Azure Firewall a zásadách brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí libovolného protokolu TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Proxy serveru DNS musíte povolit, aby v pravidlech sítě používal plně kvalifikované názvy domén. Další informace najdete v tématu Nastavení DNS zásad služby Azure Firewall.
Jak to funguje
Jakmile definujete, který server DNS vaše organizace potřebuje (Azure DNS nebo vlastní DNS), Azure Firewall přeloží plně kvalifikovaný název domény na jednu nebo více IP adres na základě vybraného serveru DNS. K tomuto překladu dochází pro zpracování pravidel aplikace i sítě.
Jaký je rozdíl mezi používáním názvů domén v pravidlech aplikace v porovnání s pravidly sítě?
- Filtrování plně kvalifikovaného názvu domény v pravidlech aplikace pro HTTP/S a MSSQL je založené na transparentním proxy serveru na úrovni aplikace a hlavičce SNI. Proto může rozlišovat mezi dvěma plně kvalifikovanými názvy domén, které se přeloží na stejnou IP adresu. Nejedná se o případ filtrování plně kvalifikovaného názvu domény v pravidlech sítě. Vždy používejte pravidla aplikace, pokud je to možné.
- V pravidlech aplikací můžete jako vybrané protokoly použít HTTP/S a MSSQL. V pravidlech sítě můžete použít libovolný protokol TCP/UDP s cílovými plně kvalifikovanými názvy domén.