FQDN 标记表示与知名的 Microsoft 服务关联的完全限定域名 (FQDN) 组。 在应用程序规则中使用 FQDN 标记,以允许通过防火墙所需的出站网络流量。
例如,若要手动允许通过防火墙Windows Update网络流量,需要根据Microsoft文档创建多个应用程序规则。 通过使用 FQDN 标记,可以创建一个应用程序规则,其中包括 Windows Updates 标记,并允许网络流量通过防火墙到 Microsoft Windows Update 终结点。
你无法创建自己的 FQDN 标记,也无法指定标记中包含哪些 FQDN。 Microsoft 会管理 FQDN 标记内所包含的 FQDN,并在 FQDN 发生变化时更新该标记。
下表显示了当前可使用的 FQDN 标记。 Microsoft维护这些标记,预计会定期添加更多标记。
当前 FQDN 标记
| FQDN 标记 | 说明 |
|---|---|
| WindowsUpdate | 允许出站访问 Microsoft 更新,如 如何配置软件更新防火墙中所述。 |
| WindowsDiagnostics | 允许外部访问所有 Windows 诊断终结点。 |
| MicrosoftActiveProtectionService (MAPS) | 允许出站访问 MAPS。 |
| AppServiceEnvironment (ASE) | 允许出站访问 ASE 平台流量。 此标记未涵盖特定于客户的存储和由 ASE 创建的 SQL 终结点。 应通过 服务终结点 启用这些终结点,或手动添加这些终结点。 有关将 Azure Firewall 与 ASE 集成的详细信息,请参阅 锁定 App Service 环境。 |
| AzureBackup | 允许出站访问Azure Backup服务。 |
| AzureHDInsight | 允许出站访问 HDInsight 平台流量。 此标记未涵盖特定于客户的存储和来自 HDInsight 的 SQL 流量。 使用 服务终结点 启用这些流量类型,或手动添加这些流量类型。 |
| WindowsVirtualDesktop | 允许出站 Azure Virtual Desktop 平台流量。 此标记不包括由 Azure Virtual Desktop 创建的特定于部署的存储和服务总线终结点。 此外,还需要 DNS 和 KMS 网络规则。 有关将Azure Firewall与Azure Virtual Desktop集成的详细信息,请参阅 使用Azure Firewall来保护Azure Virtual Desktop部署。 |
| AzureKubernetesService (AKS) | 允许出站访问 AKS(Azure Kubernetes 服务)。 有关详细信息,请参阅 使用 Azure Firewall 来保护Azure Kubernetes Service (AKS)部署。 |
注意
在应用程序规则中选择 FQDN 标记 时,将 protocol:port 字段设置为 https。
后续步骤
若要了解如何部署Azure Firewall,请参阅 Tutorial:使用 Azure 门户部署和配置Azure Firewall。