Использовать фильтрацию FQDN в правилах сети

Полное доменное имя (FQDN) представляет полное доменное имя узла или одного или нескольких IP-адресов. В Azure Firewall и политике брандмауэра можно использовать полные доменные имена в сетевых правилах, основывающихся на разрешении DNS. Эта функция позволяет фильтровать исходящий трафик с помощью любого протокола TCP или UDP, включая NTP, SSH и RDP. Чтобы использовать FQDN на уровне сетевых правил, необходимо включить DNS Proxy. Дополнительные сведения см. в разделе параметры DNS брандмауэра Azure.

Принцип работы

Сначала определите DNS-сервер, который использует ваша организация (Azure DNS или пользовательский DNS). Затем брандмауэр Azure преобразует полное доменное имя в IP-адрес или адреса, используя выбранный DNS-сервер. Этот перевод применяется как к обработке правил приложений, так и к обработке сетевых правил.

При возникновении нового разрешения DNS новые IP-адреса добавляются в правила брандмауэра. Срок действия старых IP-адресов истекает через 15 минут, если DNS-сервер больше не возвращает их. Брандмауэр Azure обновляет свои правила каждые 15 секунд на основе разрешения DNS полных доменных имен (FQDN), используемых в сетевых правилах.

Различия между правилами приложений и сетевыми правилами

• Фильтрация полного доменного имени (FQDN) в правилах приложений для HTTP/S и MSSQL зависит от прозрачного прокси-сервера на уровне приложений и заголовка SNI. Эта зависимость позволяет различать два полных доменных имени, разрешающихся на один и тот же IP-адрес. Эта возможность недоступна с фильтрацией FQDN в правилах сети.

  Всегда используйте правила приложения, если это возможно:

  • Для протоколов HTTP/S или MSSQL используйте правила приложения для фильтрации FQDN.
  • Для таких служб, как AzureBackup и HDInsight, используйте правила приложения с тегами FQDN.
  • Для других протоколов используйте правила сети для фильтрации по FQDN.

Следующие шаги

Параметры DNS брандмауэра Azure