Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ett fullständigt domännamn (FQDN) representerar det fullständiga domännamnet för en värd eller en eller flera IP-adresser. I Azure Firewall and Firewall-principen kan du använda FQDN i nätverksregler baserat på DNS-matchning. Med den här funktionen kan du filtrera utgående trafik med hjälp av TCP/UDP-protokoll, inklusive NTP, SSH och RDP. Om du vill använda FQDN i dina nätverksregler måste du aktivera DNS-proxy. Mer information finns i DNS-inställningar för Azure Firewall.
Note
FQDN filtering in network rules doesn't support wildcards by design.
Hur det fungerar
Definiera först den DNS-server som din organisation använder (antingen Azure DNS eller en anpassad DNS). Azure Firewall översätter sedan FQDN till en IP-adress eller -adresser baserat på den valda DNS-servern. Den här översättningen gäller både bearbetning av program- och nätverksregler.
När en ny DNS-matchning inträffar läggs nya IP-adresser till i brandväggsreglerna. Gamla IP-adresser upphör att gälla efter 15 minuter om DNS-servern inte längre returnerar dem. Azure Firewall uppdaterar sina regler var 15:e sekund baserat på DNS-upplösningen av FQDN:erna i nätverksreglerna.
Skillnader mellan programregler och nätverksregler
FQDN-filtrering i programregler för HTTP/S och MSSQL förlitar sig på en transparent proxy på programnivå och SNI-huvudet. På så sätt kan den skilja mellan två FQDN:er som matchar samma IP-adress. Den här funktionen är inte tillgänglig med FQDN-filtrering i nätverksregler.
Använd alltid programregler när det är möjligt:
- För HTTP/S- eller MSSQL-protokoll använder du programregler för FQDN-filtrering.
- För tjänster som AzureBackup och HDInsight använder du programregler med FQDN-taggar.
- För andra protokoll använder du nätverksregler för FQDN-filtrering.