Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
FQDN 标记表示与知名的 Microsoft 服务关联的完全限定域名 (FQDN) 组。 在应用程序规则中使用 FQDN 标记,以允许通过防火墙所需的出站网络流量。
例如,若要手动允许通过防火墙Windows 更新网络流量,需要根据Microsoft文档创建多个应用程序规则。 通过使用 FQDN 标记,可以创建一个应用程序规则,其中包括 Windows 更新s 标记,并允许网络流量通过防火墙到 Microsoft Windows 更新 终结点。
你无法创建自己的 FQDN 标记,也无法指定标记中包含哪些 FQDN。 Microsoft 会管理 FQDN 标记内所包含的 FQDN,并在 FQDN 发生变化时更新该标记。
下表显示了当前可使用的 FQDN 标记。 Microsoft维护这些标记,预计会定期添加更多标记。
当前 FQDN 标记
| FQDN 标记 | 说明 |
|---|---|
| WindowsUpdate | 允许出站访问 Microsoft 更新,如 如何配置软件更新防火墙中所述。 |
| WindowsDiagnostics | 允许外部访问所有 Windows 诊断终结点。 |
| MicrosoftActiveProtectionService (MAPS) | 允许出站访问 MAPS。 |
| AppServiceEnvironment (ASE) | 允许出站访问 ASE 平台流量。 此标记未涵盖特定于客户的存储和由 ASE 创建的 SQL 终结点。 应通过 服务终结点 启用这些终结点,或手动添加这些终结点。 有关将 Azure 防火墙 与 ASE 集成的详细信息,请参阅 锁定 App Service 环境。 |
| AzureBackup | 允许出站访问Azure 备份服务。 |
| AzureHDInsight | 允许出站访问 HDInsight 平台流量。 此标记未涵盖特定于客户的存储和来自 HDInsight 的 SQL 流量。 使用 服务终结点 启用这些流量类型,或手动添加这些流量类型。 |
| WindowsVirtualDesktop | 允许出站 Azure 虚拟桌面 平台流量。 此标记不包括由 Azure 虚拟桌面 创建的特定于部署的存储和服务总线终结点。 此外,还需要 DNS 和 KMS 网络规则。 有关将Azure 防火墙与Azure 虚拟桌面集成的详细信息,请参阅 使用Azure 防火墙来保护Azure 虚拟桌面部署。 |
| AzureKubernetesService (AKS) | 允许出站访问 AKS(Azure Kubernetes 服务)。 有关详细信息,请参阅 使用 Azure 防火墙 来保护Azure Kubernetes 服务 (AKS)部署。 |
注意
在应用程序规则中选择 FQDN 标记 时,将 protocol:port 字段设置为 https。
FQDN 标签端口行为
在Azure 防火墙应用程序规则中使用 FQDN 标记时,即使规则仅指定了 https:443,也可能允许通过 HTTPS(端口 443)和 HTTP(端口 80)访问流量。 这是预期的,因为FQDN标记映射到由Microsoft管理的服务端点,其中一些需要HTTP才能正常运作。 Azure 防火墙自动允许这些所需的端口。
- 门户在配置 FQDN 标记时需要 HTTPS。
- 即使已经配置了https:443,仍然可能允许HTTP(端口80)流量。
- 此行为仅适用于 FQDN 标记规则。 自定义 FQDN 规则强制实施指定的协议和端口。
Example:
| FQDN 标记 | 配置的协议 | 也可以允许 |
|---|---|---|
| WindowsUpdate | HTTPS:443 | HTTP:80 这是预期行为,而不是错误配置。 |
以下 FQDN 标记可能包括 HTTP 终结点:
AppServiceEnvironment、AzureBackup、AzureKubernetesService、Windows365、WindowsDiagnostics、WindowsUpdate、WindowsVirtualDesktop、Office365
后续步骤
若要了解如何部署Azure 防火墙,请参阅 Tutorial:使用 Azure 门户部署和配置Azure 防火墙。