网络规则中的 FQDN 筛选
完全限定的域名 (FQDN) 表示主机或 IP 地址的域名。 你可以基于 Azure 防火墙和防火墙策略中的 DNS 解析在网络规则中使用 FQDN。 此功能允许你筛选采用任何 TCP/UDP 协议(包括 NTP、SSH、RDP 等)的出站流量。 若要在网络规则中使用 FQDN,你必须启用 DNS 代理。 有关详细信息,请参阅 Azure 防火墙策略 DNS 设置。
工作原理
定义你的组织需要的 DNS 服务器(Azure DNS 或你自己的自定义 DNS)后,Azure 防火墙将基于所选 DNS 服务器将 FQDN 转换为 IP 地址。 将针对应用程序和网络规则处理进行此转换。
在应用程序规则中使用域名与在网络规则中使用域名有何区别?
- 应用程序规则中针对 HTTP/S 和 MSSQL 的 FQDN 筛选基于应用程序级透明代理和 SNI 标头。 因此,它可以区分解析为同一 IP 地址的两个 FQDN。 对于网络规则中的 FQDN 筛选,情况并非如此。 如果可能,请始终使用应用程序规则。
- 在应用程序规则中,可以使用 HTTP/S 和 MSSQL 作为所选协议。 在网络规则中,可以将任何 TCP/UDP 协议与目标 FQDN 结合使用。