Filtragem FQDN em regras de rede
Um nome de domínio totalmente qualificado (FQDN) representa um nome de domínio de um host ou um ou mais endereços IP. Você pode usar FQDNs em regras de rede com base na resolução DNS na política de Firewall e Firewall do Azure. Esta capacidade permite-lhe filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar o Proxy DNS para usar FQDNs em suas regras de rede. Para obter mais informações, consulte Configurações de DNS da política do Firewall do Azure.
Como funciona
Depois de definir qual servidor DNS sua organização precisa (DNS do Azure ou seu próprio DNS personalizado), o Firewall do Azure converte o FQDN para um ou mais endereços IP com base no servidor DNS selecionado. Essa tradução acontece para o processamento de regras de aplicativo e rede.
Qual é a diferença entre usar nomes de domínio em regras de aplicativo em comparação com regras de rede?
- A filtragem FQDN em regras de aplicativo para HTTP/S e MSSQL é baseada em um proxy transparente de nível de aplicativo e no cabeçalho SNI. Como tal, ele pode discernir entre dois FQDNs que são resolvidos para o mesmo endereço IP. Este não é o caso da filtragem FQDN em regras de rede. Utilize sempre que possível as regras de aplicação.
- Em regras de aplicativo, você pode usar HTTP/S e MSSQL como seus protocolos selecionados. Em regras de rede, você pode usar qualquer protocolo TCP/UDP com seus FQDNs de destino.