Usare il filtro FQDN nelle regole di rete

Un nome di dominio completo (FQDN) rappresenta il nome di dominio completo di un host o di uno o più indirizzi IP. In Firewall di Azure e nei criteri del Firewall, è possibile usare FQDN nelle regole di rete basate sulla risoluzione DNS. Questa funzionalità consente di filtrare il traffico in uscita usando qualsiasi protocollo TCP o UDP, tra cui NTP, SSH e RDP. Per utilizzare i nomi di dominio completi nelle regole di rete, è necessario abilitare il proxy DNS. Per altre informazioni, vedere Impostazioni del DNS di Firewall di Azure.

Funzionamento

Prima di tutto, definire il server DNS usato dall'organizzazione (DNS di Azure o DNS personalizzato). Firewall di Azure converte quindi il nome di dominio completo in un indirizzo IP o indirizzi in base al server DNS scelto. Questa traduzione si applica sia all'elaborazione delle regole dell'applicazione che a quelle delle regole di rete.

Quando si verifica una nuova risoluzione DNS, vengono aggiunti nuovi indirizzi IP alle regole del firewall. I vecchi indirizzi IP scadono dopo 15 minuti se il server DNS non li restituisce più. Azure Firewall aggiorna le sue regole ogni 15 secondi in base alla risoluzione DNS degli FQDN nelle regole di rete.

Differenze tra le regole dell'applicazione e le regole di rete

• Il filtro FQDN nelle regole dell'applicazione per HTTP/S e MSSQL si basa su un proxy trasparente a livello di applicazione e sull'intestazione SNI. Questa dipendenza consente di distinguere tra due FQDN che si risolvono nello stesso indirizzo IP. Questa funzionalità non è disponibile con il filtro FQDN nelle regole di rete.

  Usare sempre le regole dell'applicazione quando possibile:

  • Per i protocolli HTTP/S o MSSQL, utilizzare le regole dell'applicazione per il filtro FQDN.
  • Per i servizi come AzureBackup e HDInsight, usare le regole dell'applicazione con tag FQDN.
  • Per altri protocolli, utilizzare le regole di rete per il filtro FQDN.

Passaggi successivi

Impostazioni DNS di Firewall di Azure