Фильтрация по FQDN в правилах сети
Полное доменное имя (FQDN) представляет доменное имя узла или одного или нескольких IP-адресов. Полные доменные имена можно использовать в правилах сети для разрешений DNS в брандмауэре Azure и в политике брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Для использования полных доменных имен в правилах сети необходимо включить DNS-прокси. Дополнительные сведения см. на странице Параметры DNS политики Брандмауэра Azure.
Принцип работы
Определив, какой DNS-сервер требуется вашей организации (Azure DNS или собственный пользовательский DNS), Брандмауэр Azure преобразует полное доменное имя в один или несколько IP-адресов на основе выбранного DNS-сервера. Это преобразование выполняется как для обработки и правил приложения, и правил сети.
В чем разница между использованием доменных имен в правилах приложений и в правилах сети?
- Фильтрация FQDN в правилах приложений для HTTP/S и MSSQL основана на прозрачном прокси-сервере уровня приложения и заголовке SNI. Таким образом, он может различать два FQDN, которые разрешаются в один и тот же IP-адрес. Это не относится к фильтрации полного доменного имени в правилах сети. Всегда используйте правила приложения, если это возможно.
- В правилах приложений можно использовать HTTP/S и MSSQL в качестве выбранных протоколов. В правилах сети можно использовать любой протокол TCP/UDP с FQDN назначения.