Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Fully Qualified Domain Name (FQDN) steht für den vollständigen Domänennamen eines Hosts oder einer oder mehrerer IP-Adressen. Sie können in Azure Firewall und der Firewallrichtlinie vollqualifizierte Domänennamen in Netzwerkregeln basierend auf der DNS-Auflösung verwenden. Mit diesem Feature können Sie ausgehenden Datenverkehr mithilfe eines beliebigen TCP- oder UDP-Protokolls filtern, einschließlich NTP, SSH und RDP. Um FQDNs in Ihren Netzwerkregeln zu verwenden, müssen Sie DNS Proxy aktivieren. Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall.
Hinweis
Die FQDN-Filterung in Netzwerkregeln unterstützt standardmäßig keine Wildcards.
Funktionsweise
Definieren Sie zunächst den von Ihrer Organisation verwendeten DNS-Server (entweder Azure DNS oder ein benutzerdefiniertes DNS). Azure Firewall übersetzt dann den FQDN in eine IP-Adresse oder Adressen, die auf dem ausgewählten DNS-Server basieren. Diese Übersetzung gilt sowohl für die Verarbeitung von Anwendungs- als auch von Netzwerkregeln.
Wenn eine neue DNS-Auflösung erfolgt, werden den Firewall-Regeln neue IP-Adressen hinzugefügt. Alte IP-Adressen verfallen nach 15 Minuten, wenn der DNS-Server sie nicht mehr zurückgibt. Azure Firewall aktualisiert seine Regeln alle 15 Sekunden auf der Grundlage der DNS-Auflösung der FQDNs in den Netzwerkregeln.
Unterschiede zwischen Anwendungsregeln und Netzwerkregeln
Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL stützt sich auf einen transparenten Proxy auf Anwendungsebene und den SNI Header. Dies bietet die Möglichkeit, zwischen zwei FQDNs zu unterscheiden, die sich auf dieselbe IP-Adresse beheben lassen. Diese Funktionalität steht bei der FQDN-Filterung in Netzwerkregeln nicht zur Verfügung.
Verwenden Sie nach Möglichkeit immer Anwendungsregeln:
- Verwenden Sie für die Protokolle HTTP/S oder MSSQL Anwendungsregeln für die FQDN-Filterung.
- Verwenden Sie für Dienste wie AzureBackup und HDInsight Anwendungsregeln mit FQDN-Tags.
- Bei anderen Protokollen verwenden Sie Netzwerkregeln für die FQDN-Filterung.