Omówienie tagów FQDN
Tag FQDN reprezentuje grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znanymi usługi firmy Microsoft. Możesz użyć tagu FQDN w regułach aplikacji, aby zezwolić na wymagany ruch sieciowy wychodzący przez zaporę.
Aby na przykład ręcznie zezwolić na ruch sieciowy usługi Windows Update przez zaporę, należy utworzyć wiele reguł aplikacji zgodnie z dokumentacją firmy Microsoft. Za pomocą tagów FQDN można utworzyć regułę aplikacji, dołączyć tag Aktualizacje systemu Windows, a teraz ruch sieciowy do punktów końcowych usługi Microsoft Windows Update może przepływać przez zaporę.
Nie można utworzyć własnych tagów FQDN ani określić, które nazwy FQDN są uwzględnione w tagu. Firma Microsoft zarządza nazwami FQDN obejmującymi tag FQDN i aktualizuje tag w miarę zmiany nazw FQDN.
W poniższej tabeli przedstawiono bieżące tagi FQDN, których można użyć. Firma Microsoft utrzymuje te tagi i można oczekiwać okresowego dodawania większej liczby tagów.
Bieżące tagi FQDN
Tag nazwy FQDN | opis |
---|---|
WindowsUpdate | Zezwalaj na dostęp wychodzący do usługi Microsoft Update zgodnie z opisem w temacie How to Configure a Firewall for Software Updates (Jak skonfigurować zaporę dla aktualizacji oprogramowania). |
WindowsDiagnostics | Zezwalaj na dostęp wychodzący do wszystkich punktów końcowych diagnostyki systemu Windows. |
MicrosoftActiveProtectionService (MAPS) | Zezwalaj na dostęp wychodzący do usługi MAPS. |
AppServiceEnvironment (ASE) | Zezwala na dostęp wychodzący do ruchu platformy ASE. Ten tag nie obejmuje punktów końcowych usługi Storage i SQL specyficznych dla klienta utworzonych przez środowisko ASE. Należy je włączyć za pośrednictwem punktów końcowych usługi lub dodać ręcznie. Aby uzyskać więcej informacji na temat integracji usługi Azure Firewall ze środowiskiem ASE, zobacz Blokowanie środowiska App Service Environment. |
Azure Backup | Zezwala na dostęp wychodzący do usług Azure Backup. |
AzureHDInsight | Zezwala na dostęp wychodzący dla ruchu platformy USŁUGI HDInsight. Ten tag nie obejmuje magazynu specyficznego dla klienta ani ruchu SQL z usługi HDInsight. Włącz je przy użyciu punktów końcowych usługi lub dodaj je ręcznie. |
WindowsVirtualDesktop | Umożliwia wychodzący ruch platformy Azure Virtual Desktop (dawniej Windows Virtual Desktop). Ten tag nie obejmuje punktów końcowych usługi Storage i Service Bus specyficznych dla wdrożenia utworzonych przez usługę Azure Virtual Desktop. Ponadto wymagane są reguły sieci DNS i KMS. Aby uzyskać więcej informacji na temat integrowania usługi Azure Firewall z usługą Azure Virtual Desktop, zobacz Używanie usługi Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop. |
AzureKubernetesService (AKS) | Zezwala na dostęp wychodzący do usługi AKS. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony wdrożeń usługi Azure Kubernetes Service (AKS). |
Office365 Na przykład: Office365.Skype.Optimize |
Dostępnych jest kilka tagów usługi Office 365 umożliwiających dostęp wychodzący przez produkt i kategorię usługi Office 365. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony usługi Office 365. |
Windows365 | Umożliwia komunikację wychodzącą z systemem Windows 365 z wyłączeniem punktów końcowych sieci dla usługi Microsoft Intune. Aby zezwolić na komunikację wychodzącą z portem 5671, utwórz oddzieloną regułę sieci. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci systemu Windows 365. |
MicrosoftIntune | Zezwalaj na dostęp do usługi Microsoft Intune dla urządzeń zarządzanych. |
citrixHdxPlusForWindows365 | Wymagane w przypadku korzystania z programu Citrix HDX Plus. |
Uwaga
Po wybraniu tagu FQDN w regule aplikacji pole protocol:port musi być ustawione na https.
Następne kroki
Aby dowiedzieć się, jak wdrożyć usługę Azure Firewall, zobacz Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure Portal.