Поделиться через


Использовать фильтрацию FQDN в правилах сети

Полное доменное имя (FQDN) представляет доменное имя узла или одного или нескольких IP-адресов. Полные доменные имена можно использовать в правилах сети для разрешений DNS в брандмауэре Azure и в политике брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Для использования полных доменных имен в правилах сети необходимо включить DNS-прокси. Дополнительные сведения см. в разделе Брандмауэр Azure параметров DNS.

Примечание.

Фильтры FQDN в правилах сети не поддерживают подстановочные знаки.

Принцип работы

Определив, какой DNS-сервер требуется вашей организации (Azure DNS или собственный пользовательский DNS), Брандмауэр Azure преобразует полное доменное имя в IP-адрес или адреса на основе выбранного DNS-сервера. Это преобразование выполняется как для обработки и правил приложения, и правил сети.

При новом разрешении DNS новые IP-адреса добавляются в правила брандмауэра. Срок действия старых IP-адресов истекает через 15 минут, когда DNS-сервер больше не возвращает их. Правила брандмауэра Azure обновляются каждые 15 секунд после разрешения DNS полных доменных имен в сетевых правилах.

Различия в правилах приложений и правилах сети

  • Фильтрация FQDN в правилах приложений для HTTP/S и MSSQL основана на прозрачном прокси-сервере уровня приложения и заголовке SNI. Таким образом, он может различать два FQDN, которые разрешаются в один и тот же IP-адрес. Это не относится к фильтрации полного доменного имени в правилах сети.

    Всегда используйте правила приложения, если это возможно:

    • Если используется протокол HTTP/S или MSSQL, используйте правила приложения для фильтрации FQDN.
    • Для таких служб, как AzureBackup, HDInsight и т. д., используйте правила приложения с тегами полного доменного имени.
    • Для остальных протоколов можно использовать правила сети для фильтрации по полному доменному имени.

Следующие шаги

Параметры DNS брандмауэра Azure