Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Тег FQDN представляет группу полных доменных имен (FQDN), связанных с известными службами Майкрософт. Используйте тег полного доменного имени в правилах приложения, чтобы разрешить необходимый исходящий сетевой трафик через брандмауэр.
Например, чтобы вручную разрешить сетевой трафик Центра обновления Windows через брандмауэр, необходимо создать несколько правил приложений в соответствии с документацией Майкрософт. С помощью тегов FQDN можно создать одно правило приложения, включить тег обновлений Windows и разрешить сетевой трафик конечным точкам Центра обновления Windows через брандмауэр.
Вы не можете создать собственные теги FQDN или указать, какие FQDN входят в тег. Майкрософт управляет полными доменными именами, включенными в теги FQDN, и обновляет тег, если эти имена меняются.
В следующей таблице показаны текущие теги FQDN, которые можно использовать. Корпорация Майкрософт поддерживает эти теги и может периодически добавлять больше тегов.
Текущие теги FQDN
| Тег FQDN | Описание |
|---|---|
| Обновление Windows | Разрешает исходящий доступ к Центру обновления Майкрософт, как описано в разделе Настройка брандмауэра для обновлений программного обеспечения. |
| WindowsDiagnostics | Разрешает исходящий доступ ко всем конечным точкам диагностики Windows. |
| MicrosoftActiveProtectionService (MAPS) | Разрешает исходящий доступ к MAPS. |
| AppServiceEnvironment (ASE) | Разрешает исходящий доступ к трафику платформы ASE. Этот тег не охватывает конечные точки хранилища, относящиеся к клиенту, и конечные точки SQL, созданные ASE. Эти конечные точки должны быть включены с помощью конечных точек службы или добавлены вручную. Дополнительные сведения об интеграции Брандмауэра Azure со Средой службы приложений см. в статье Блокировка Среды службы приложений. |
| AzureBackup | Разрешает исходящий доступ к службам Azure Backup. |
| AzureHDInsight | Разрешает исходящий доступ для трафика платформы HDInsight. Этот тег не охватывает специфические для клиента хранилища или трафик SQL из HDInsight. Включите эти типы трафика с помощью конечных точек службы или добавьте их вручную. |
| Windows Виртуальный рабочий стол | Разрешает исходящий трафик платформы виртуального рабочего стола Azure. Этот тег не распространяется на специфичные для развертывания конечные точки хранилища и служебной шины, созданные Виртуальным рабочим столом. Кроме того, требуются правила сети DNS и KMS. Дополнительные сведения об интеграции Брандмауэр Azure с Виртуальный рабочий стол Azure см. в статье Использование Брандмауэр Azure для защиты развертываний Виртуальный рабочий стол Azure. |
| AzureKubernetesService (AKS) | Разрешает исходящий доступ к AKS. Дополнительные сведения см. в статье Защита развернутой службы Azure Kubernetes Service (AKS) с помощью брандмауэра Azure. |
| Office365 Например: Office365.Skype.Optimize |
Несколько тегов Office 365 доступны для предоставления исходящего доступа к продукту и категории Office 365. Дополнительные сведения см. в статье "Использование Брандмауэр Azure для защиты Office 365". |
| Windows365 | Разрешает исходящее подключение к Windows 365, за исключением конечных точек сети для Microsoft Intune. Чтобы разрешить исходящее подключение к порту 5671, создайте отдельное сетевое правило. Дополнительные сведения см. в статье о требованиях к сети Windows 365. |
| MicrosoftIntune | Разрешить доступ к Microsoft Intune для управляемых устройств. |
| citrixHdxPlusForWindows365 | Требуется при использовании Citrix HDX Plus. |
Примечание.
При выборе FQDN Tag в правиле приложения задайте для поля protocol:port значение https.
Поведение порта тега FQDN
При использовании тега FQDN в правиле приложения Брандмауэр Azure трафик может быть разрешен как по протоколу HTTPS (порт 443), так и по протоколу HTTP (порт 80), даже если правило указывает только https:443. Это ожидается, так как теги FQDN сопоставляются с конечными точками службы, управляемыми Microsoft, некоторые из которых требуют HTTP для нормальной работы. Брандмауэр Azure автоматически разрешает эти необходимые порты.
- На портале требуется ПРОТОКОЛ HTTPS при настройке тегов FQDN.
- Даже при настройке https:443 трафик HTTP (порт 80) может быть разрешен.
- Это поведение применяется только к правилам тегов FQDN. Пользовательские правила FQDN применяют указанный протокол и порт.
Example:
| Тег FQDN | Настроенный протокол | Может также разрешить |
|---|---|---|
| Обновление Windows | HTTPS:443 | HTTP:80 — это ожидаемое поведение, а не неправильное настройка. |
Следующие теги FQDN могут включать конечные точки HTTP:
AppServiceEnvironment, AzureBackup, AzureKubernetesServiceWindows365WindowsDiagnosticsWindowsUpdateWindowsVirtualDesktopOffice365
Следующие шаги
Сведения о развертывании брандмауэра Azure см. в руководстве по развертыванию и настройке брандмауэра Azure с помощью портала Azure.