完全限定的域名(FQDN)表示主机或一个或多个 IP 地址的完整域名。 在Azure Firewall和防火墙策略中,可以根据 DNS 解析在网络规则中使用 FQDN。 此功能允许使用任何 TCP 或 UDP 协议(包括 NTP、SSH 和 RDP)筛选出站流量。 若要在网络规则中使用 FQDN,必须启用 DNS 代理。 有关详细信息,请参阅 Azure Firewall DNS 设置。
注意
根据设计,网络规则中的 FQDN 筛选不支持通配符。
工作原理
首先,定义组织使用的 DNS 服务器(Azure DNS或自定义 DNS)。 然后,Azure Firewall根据所选 DNS 服务器将 FQDN 转换为 IP 地址或地址。 此转换适用于应用程序和网络规则处理。
发生新的 DNS 解析时,会将新的 IP 地址添加到防火墙规则中。 如果 DNS 服务器不再返回旧 IP 地址,则 15 分钟后过期。 Azure Firewall根据网络规则中 FQDN 的 DNS 解析每隔 15 秒更新一次规则。
应用程序规则与网络规则之间的差异
HTTP/S 和 MSSQL 的应用程序规则中的 FQDN 筛选依赖于应用程序级别的透明代理和 SNI 标头。 这种依赖性使它可以区分解析为同一 IP 地址的两个 FQDN。 此功能不适用于网络规则中的 FQDN 筛选。
如果可能,请始终使用应用程序规则:
- 对于 HTTP/S 或 MSSQL 协议,请使用应用程序规则进行 FQDN 筛选。
- 对于 AzureBackup、HDInsight 等服务,请使用带 FQDN 标记的应用程序规则。
- 对于其他协议,请使用网络规则进行 FQDN 筛选。