Usar a filtragem do FQDN nas regras de rede
Um FQDN (nome de domínio totalmente qualificado) representa um nome de domínio de um host ou um ou mais endereços IP. Você pode usar FQDNs em regras de rede com base na resolução de DNS no firewall do Azure e na política de firewall. Essa funcionalidade permite filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar o proxy DNS para usar FQDNs nas regras de rede. Para obter mais informações, consulte Configurações de DNS do Firewall do Azure.
Observação
Por design, a filtragem de FQDN nas regras de rede não dá suporte a curingas
Como ele funciona
Depois de definir qual servidor DNS sua organização precisa (DNS do Azure ou seu próprio DNS personalizado), o Firewall do Azure converte o FQDN em um endereço IP ou endereços com base no servidor DNS selecionado. A conversão é feita para o processamento de regras de aplicativo e de rede.
Quando ocorre uma nova resolução de DNS, novos endereços IP são adicionados às regras de firewall. Os endereços IP antigos expiram em 15 minutos quando o servidor DNS não os retorna mais. As regras do Firewall do Azure são atualizadas a cada 15 segundos a partir da resolução DNS dos FQDNs nas regras de rede.
Diferenças nas regras de aplicativos vs. regras de rede
A filtragem de FQDN nas regras de aplicativo para HTTP/S e MSSQL é baseada em um proxy transparente de nível de aplicativo e no cabeçalho de SNI. Por isso, ela pode distinguir dois FQDNs que são resolvidos para o mesmo endereço IP. Este não é o caso da filtragem de FQDN nas regras de rede.
Sempre use regras de aplicativo quando possível:
- Se o protocolo for HTTP/S ou MSSQL, use regras de aplicativo para a filtragem de FQDN.
- Para serviços como AzureBackup, HDInsight etc., use regras de aplicativo com marcas FQDN.
- Para quaisquer outros protocolos, as regras de rede de filtragem de FQDN poderão ser usadas.