Filtro FQDN nelle regole di rete
Un nome di dominio completo (FQDN) rappresenta un nome di dominio di un host o uno o più indirizzi IP. È possibile usare gli FQDN nelle regole di rete in base alla risoluzione DNS in Firewall di Azure e nei criteri firewall. Questa funzionalità consente di filtrare il traffico in uscita con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altri). È necessario abilitare il proxy DNS per usare gli FQDN nelle regole di rete. Per altre informazioni, vedere Impostazioni DNS dei criteri firewall di Azure.
Funzionamento
Dopo aver definito il server DNS necessario all'organizzazione (DNS di Azure o DNS personalizzato), Firewall di Azure converte il nome di dominio completo in uno o più indirizzi IP in base al server DNS selezionato. Questa conversione avviene sia per l'elaborazione dell'applicazione che per quella delle regole di rete.
Qual è la differenza tra l'uso dei nomi di dominio nelle regole dell'applicazione rispetto a quello delle regole di rete?
- Il filtro FQDN nelle regole dell'applicazione per HTTP/S e MSSQL si basa su un proxy trasparente a livello di applicazione e sull'intestazione SNI. In quanto tale, è in grado di distinguere tra due FQDN risolti nello stesso indirizzo IP. Questo non è il caso del filtro FQDN nelle regole di rete. Usare sempre le regole dell'applicazione quando possibile.
- Nelle regole dell'applicazione è possibile usare HTTP/S e MSSQL come protocolli selezionati. Nelle regole di rete è possibile usare qualsiasi protocollo TCP/UDP con i nomi di dominio completi di destinazione.