Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un nom de domaine complet (FQDN) représente le nom de domaine complet d’un hôte ou d’une ou plusieurs adresses IP. Dans le pare-feu Azure et la politique de pare-feu, vous pouvez utiliser des FQDN (noms de domaine complets) dans les règles de réseau basées sur la résolution DNS. Cette fonctionnalité vous permet de filtrer le trafic sortant à l’aide de n’importe quel protocole TCP ou UDP, y compris NTP, SSH et RDP. Pour utiliser les FQDN dans vos règles réseau, vous devez activer le proxy DNS. Pour plus d’informations, consultez Paramètres DNS du Pare-feu Azure.
Remarque
Le filtrage FQDN dans les règles réseau ne prend pas en charge les caractères génériques par conception.
Fonctionnement
Tout d’abord, définissez le serveur DNS que votre organisation utilise (Azure DNS ou un DNS personnalisé). Le Pare-feu Azure traduit ensuite le nom de domaine complet en une adresse IP, ou en plusieurs adresses IP, en fonction du serveur DNS choisi. Cette traduction s’applique à la fois au traitement des applications et des règles réseau.
Lorsqu’une nouvelle résolution DNS se produit, de nouvelles adresses IP sont ajoutées aux règles de pare-feu. Les anciennes adresses IP expirent après 15 minutes si le serveur DNS ne les renvoie plus. Le pare-feu Azure met à jour ses règles toutes les 15 secondes sur la base de la résolution DNS des FQDN dans les règles réseau.
Différences entre les règles d’application et les règles réseau
Le filtrage FQDN dans les règles d’application pour HTTP/S et MSSQL s’appuie sur un proxy transparent au niveau de l’application et l’en-tête SNI. Cette dépendance lui permet de différencier deux FQDN qui se résolvent à la même adresse IP. Cette fonctionnalité n’est pas disponible avec le filtrage FQDN dans les règles de réseau.
Utilisez des règles d’application lorsque cela est possible :
- Pour les protocoles HTTP/S ou MSSQL, utilisez les règles d’application pour le filtrage FQDN.
- Pour des services comme AzureBackup et HDInsight, utilisez des règles d’application avec des étiquettes de nom de domaine complet.
- Pour les autres protocoles, utilisez les règles réseau pour le filtrage FQDN.