FQDN-filtrering i nätverksregler
Ett fullständigt domännamn (FQDN) representerar ett domännamn för en värd eller en eller flera IP-adresser. Du kan använda FQDN i nätverksregler baserat på DNS-matchning i Azure Firewall and Firewall-principen. Med den här funktionen kan du filtrera utgående trafik med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Du måste aktivera DNS-proxy för att kunna använda FQDN i dina nätverksregler. Mer information finns i DNS-inställningar för Azure Firewall-princip.
Hur det fungerar
När du har definierat vilken DNS-server din organisation behöver (Azure DNS eller din egen anpassade DNS) översätter Azure Firewall FQDN till en eller flera IP-adresser baserat på den valda DNS-servern. Den här översättningen sker för bearbetning av både program- och nätverksregler.
Vad är skillnaden mellan att använda domännamn i programregler jämfört med nätverksreglerna?
- FQDN-filtrering i programregler för HTTP/S och MSSQL baseras på en transparent proxy på programnivå och SNI-huvudet. Därför kan den skilja mellan två FQDN:er som matchas till samma IP-adress. Detta är inte fallet med FQDN-filtrering i nätverksregler. Använd alltid programregler när det är möjligt.
- I programregler kan du använda HTTP/S och MSSQL som valda protokoll. I nätverksregler kan du använda valfritt TCP/UDP-protokoll med dina mål-FQDN:er.