A filtragem do FQDN nas regras de rede
Um FQDN (nome de domínio totalmente qualificado) representa um nome de domínio de um host ou um ou mais endereços IP. Você pode usar FQDNs em regras de rede com base na resolução de DNS no firewall do Azure e na política de firewall. Essa funcionalidade permite filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar o proxy DNS para usar FQDNs nas regras de rede. Veja mais informações, consulte Configurações de DNS da política de firewall do Azure.
Como ele funciona
Depois de definir qual servidor DNS a organização precisa (DNS do Azure ou o próprio DNS personalizado), o Firewall do Azure converte o FQDN em um ou mais endereços IPs com base no servidor DNS selecionado. A conversão é feita para o processamento de regras de aplicativo e de rede.
Qual é a diferença entre usar nomes de domínio em regras de aplicativo em comparação às regras de rede?
- A filtragem de FQDN nas regras de aplicativo para HTTP/S e MSSQL é baseada em um proxy transparente de nível de aplicativo e no cabeçalho de SNI. Por isso, ela pode distinguir dois FQDNs que são resolvidos para o mesmo endereço IP. Este não é o caso da filtragem de FQDN nas regras de rede. Sempre use regras de aplicativo quando possível.
- Em regras de aplicativo, você pode usar HTTP/S e MSSQL como protocolos selecionados. Em regras de rede, você pode usar qualquer protocolo TCP/UDP com seus FQDNs de destino.