Filtrowanie nazw FQDN w regułach sieci
W pełni kwalifikowana nazwa domeny (FQDN) reprezentuje nazwę domeny hosta lub co najmniej jeden adres IP. Nazwy FQDN można używać w regułach sieci na podstawie rozpoznawania nazw DNS w usłudze Azure Firewall i zasadach zapory. Ta funkcja umożliwia filtrowanie ruchu wychodzącego przy użyciu dowolnego protokołu TCP/UDP (w tym NTP, SSH, RDP i innych). Należy włączyć serwer proxy DNS, aby używać nazw FQDN w regułach sieci. Aby uzyskać więcej informacji, zobacz Ustawienia DNS zasad usługi Azure Firewall.
Jak to działa
Po zdefiniowaniu serwera DNS, którego potrzebuje organizacja (Azure DNS lub własnego niestandardowego systemu DNS), usługa Azure Firewall tłumaczy nazwę FQDN na co najmniej jeden adres IP na podstawie wybranego serwera DNS. To tłumaczenie odbywa się zarówno w przypadku przetwarzania reguł aplikacji, jak i sieci.
Jaka jest różnica między używaniem nazw domen w regułach aplikacji w porównaniu z regułami sieci?
- Filtrowanie nazw FQDN w regułach aplikacji dla protokołów HTTP/S i MSSQL jest oparte na przezroczystym serwerze proxy na poziomie aplikacji i nagłówku SNI. W związku z tym może rozróżniać dwie nazwy FQDN rozpoznawane jako ten sam adres IP. Tak nie jest w przypadku filtrowania nazw FQDN w regułach sieci. Zawsze używaj reguł aplikacji, jeśli to możliwe.
- W regułach aplikacji można używać protokołów HTTP/S i MSSQL jako wybranych protokołów. W regułach sieciowych można użyć dowolnego protokołu TCP/UDP z docelowymi nazwami FQDN.