Filtrage de nom de domaine complet dans les règles de réseau
Un nom de domaine complet (FQDN) représente le nom de domaine d’un hôte ou d’une ou plusieurs adresses IP. Vous pouvez utiliser des noms de domaine complets dans les règles de réseau basées sur la résolution DNS dans le pare-feu et la stratégie de pare-feu Azure. Cette fonctionnalité vous permet de filtrer le trafic sortant avec n’importe quel protocole TCP/UDP (y compris NTP, SSH, RDP, etc.). Pour utiliser des noms de domaine complet (FQDN) dans des règles de réseau, vous devez activer le proxy DNS. Pour plus d’informations, consultez Paramètres DNS du Pare-feu Azure.
Fonctionnement
Une fois que vous avez défini le serveur DNS dont votre organisation a besoin (Azure DNS ou votre propre DNS personnalisé), le Pare-feu Azure convertit le nom de domaine complet en une ou plusieurs adresses IP basées sur le serveur DNS sélectionné. Cette traduction se produit à la fois pour le traitement des règles d’application et de réseau.
Quelle est la différence entre l’utilisation des noms de domaine dans les règles d’application et celle des règles de réseau ?
- Le filtrage de nom de domaine complet dans les règles d’application pour HTTP/S et MSSQL est basé sur un proxy transparent au niveau de l’application et sur l’en-tête SNI. Par conséquent, il peut discerner deux noms de domaine complets qui sont résolus sur la même adresse IP. Ce n’est pas le cas avec le filtrage de nom de domaine complet dans les règles de réseau. Utilisez toujours les règles d’application lorsque cela est possible.
- Dans les règles d’application, vous pouvez utiliser HTTP/S et MSSQL comme protocoles sélectionnés. Dans les règles de réseau, vous pouvez utiliser n’importe quel protocole TCP/UDP avec vos noms de domaine complets de destination.