Verwenden der FQDN-Filterung in Netzwerkregeln

Ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) stellt den Domänennamen eines Hosts oder einer oder mehrerer IP-Adressen dar. Sie können FQDNs in Netzwerkregeln verwenden, basierend auf der DNS-Auflösung in Azure Firewall und der Firewallrichtlinie. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP und mehr) zu filtern. Für die Verwendung von FQDNs in Ihren Netzwerkregeln müssen Sie den DNS-Proxy aktivieren. Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall.

Hinweis

Die FQDN-Filterung in Netzwerkregeln unterstützt keine Wildcards.

Funktionsweise

Nachdem Sie definiert haben, welchen DNS-Server Ihre Organisation benötigt (Azure DNS oder Ihr eigenes benutzerdefiniertes DNS), übersetzt Azure Firewall den FQDN in eine IP-Adresse oder -Adressen, basierend auf dem ausgewählten DNS-Server. Diese Übersetzung erfolgt bei der Verarbeitung von Anwendungs- und Netzwerkregeln.

Wenn eine neue DNS-Auflösung stattfindet, werden die neuen IP-Adressen zu Firewallregeln hinzugefügt. Alte IP-Adressen laufen in 15 Minuten ab, wenn der DNS-Server sie nicht mehr zurückgibt. Azure Firewall-Regeln werden ab der DNS-Auflösung der FQDNs in Netzwerkregeln alle 15 Sekunden aktualisiert.

Unterschiede zwischen Anwendungsregeln und Netzwerkregeln

  • Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem auf Anwendungsebene transparenten Proxy und dem SNI-Header. Daher kann hierbei zwischen zwei FQDNs unterschieden werden, die zur selben IP-Adresse aufgelöst werden. Bei der Verwendung der FQDN-Filterung in Netzwerkregeln ist dies nicht der Fall.

    Verwenden Sie nach Möglichkeit immer Anwendungsregeln:

    • Wenn das Protokoll HTTP/S oder MSSQL lautet, verwenden Sie Anwendungsregeln für die FQDN-Filterung.
    • Verwenden Sie für Dienste wie AzureBackup, HDInsight usw. Anwendungsregeln mit FQDN-Tags.
    • Bei allen anderen Protokollen können Sie Anwendungs- oder Netzwerkregeln für die FQDN-Filterung verwenden.

Nächste Schritte

DNS-Einstellungen für Azure Firewall