Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Тег FQDN — это группа полных доменных имен (FQDN), связанных с известными службами Майкрософт. Теги FQDN можно использовать в правилах приложений, чтобы разрешить нужный исходящий сетевой трафик через брандмауэр.
Например, чтобы вручную разрешить сетевой трафик Windows Update через брандмауэр, необходимо создать несколько правил для приложений в соответствии с документацией Microsoft. А с помощью тегов FQDN можно создать правило приложения и включить тег Центра обновлений Windows. После этого сетевой трафик сможет проходить через брандмауэр к конечным точкам Центра обновления Windows.
Вы не можете создать собственные теги FQDN или указать, какие FQDN входят в тег. Майкрософт управляет полными доменными именами, включенными в теги FQDN, и обновляет тег, если эти имена меняются.
В следующей таблице показаны текущие теги FQDN, которые можно использовать. Корпорация Майкрософт поддерживает эти теги и может периодически добавлять больше тегов.
Текущие теги FQDN
| Тег FQDN | Описание |
|---|---|
| Обновление Windows | Разрешает исходящий доступ к Центру обновления Майкрософт, как описано в разделе Настройка брандмауэра для обновлений программного обеспечения. |
| WindowsDiagnostics | Разрешает исходящий доступ ко всем конечным точкам диагностики Windows. |
| MicrosoftActiveProtectionService (MAPS) | Разрешает исходящий доступ к MAPS. |
| AppServiceEnvironment (ASE) | Разрешает исходящий доступ к трафику платформы ASE. Этот тег не распространяется на конечные точки пользовательского хранилища и SQL, созданные ASE. Они должны быть включены через конечные точки службы или добавлены вручную. Дополнительные сведения об интеграции Брандмауэра Azure со Средой службы приложений см. в статье Блокировка Среды службы приложений. |
| AzureBackup | Разрешает исходящий доступ к службам Azure Backup. |
| AzureHDInsight | Разрешает исходящий доступ для трафика платформы HDInsight. Этот тег не распространяется на специфичные для клиента хранилища или трафик SQL из HDInsight. Включите их с помощью конечных точек службы или добавьте их вручную. |
| Windows Виртуальный рабочий стол | Разрешает исходящий трафик платформы Виртуального рабочего стола Azure (прежнее название — Виртуальный рабочий стол Windows). Этот тег не распространяется на специфичные для развертывания конечные точки хранилища и служебной шины, созданные Виртуальным рабочим столом. Кроме того, требуются правила сети DNS и KMS. Дополнительные сведения об интеграции Azure Firewall с Azure Virtual Desktop см. в статье Использование Azure Firewall для защиты развертываний Azure Virtual Desktop. |
| AzureKubernetesService (AKS) | Разрешает исходящий доступ к AKS. Дополнительные сведения см. в статье Защита развернутой службы Azure Kubernetes Service (AKS) с помощью брандмауэра Azure. |
| Office365 Например: Office365.Skype.Optimize |
Несколько тегов Office 365 доступны для предоставления исходящего доступа к продукту и категории Office 365. Дополнительные сведения см. в статье "Использование Брандмауэр Azure для защиты Office 365". |
| Windows365 | Разрешает исходящее подключение к Windows 365, за исключением конечных точек сети для Microsoft Intune. Чтобы разрешить исходящее подключение к порту 5671, создайте отдельное сетевое правило. Дополнительные сведения см. в статье о требованиях к сети Windows 365. |
| MicrosoftIntune | Разрешить доступ к Microsoft Intune для управляемых устройств. |
| citrixHdxPlusForWindows365 | Требуется при использовании Citrix HDX Plus. |
Примечание.
При выборе тега FQDN в правиле приложения поле protocol:port должно иметь значение https.
Следующие шаги
Чтобы узнать, как развернуть и настроить Брандмауэр Azure с помощью портала Azure, см. Учебник: Развертывание и настройка Брандмауэра Azure.