網路規則中的 FQDN 篩選
完整網域名稱 (FQDN) 代表主機或一或多個 IP 位址的網域名稱。 您可以根據 Azure 防火牆和 [防火牆原則] 中的 DNS 解析,在網路規則中使用 FQDN。 這項功能可讓您使用 TCP/UDP 通訊協定 (包含 NTP、SSH、RDP 等) 來篩選輸出流量。 您必須啟用 DNS Proxy,才能在您的網路規則中使用 FQDN。 如需詳細資訊,請參閱 Azure 防火牆原則 DNS 設定。
運作方式
一旦您定義組織需要哪些 DNS 伺服器 (Azure DNS 或您自己的自訂 DNS) 後,Azure 防火牆會根據所選 DNS 伺服器將 FQDN 轉換為一或多個 IP 位址。 此平移適用於應用程式和網路規則處理。
在應用程式規則中使用網域名稱,與在網路規則中使用有何差異?
- HTTP/S 和 MSSQL 應用程式規則中的 FQDN 篩選是以應用程式層級透明 Proxy 和 SNI 標頭為基礎。 因此,其可以分辨解析為相同 IP 位址的兩個 FQDN。 網路規則中的 FQDN 篩選不是這種情況。 可行時,盡量使用應用程式規則。
- 在應用程式規則中,您可以使用 HTTP/S 和 MSSQL 作為指定的通訊協定。 在網路規則中,您可以將任何 TCP/UDP 通訊協定與目的地 FQDN 搭配使用。