Información general de las etiquetas FQDN
Una etiqueta FQDN representa un grupo de nombres de dominio completo (FQDN) asociados con los servicios de Microsoft conocidos. Puede usar una etiqueta FQDN en las reglas de una aplicación para permitir que pase el tráfico de red saliente necesario a través del firewall.
Por ejemplo, para permitir manualmente el tráfico de red de Windows Update a través del firewall, debe crear varias reglas de aplicación según la documentación de Microsoft. Si usa etiquetas FQDN, puede crear una regla de aplicación e incluir la etiqueta Windows Update para que el tráfico de red que apunta a los puntos de conexión de Windows Update pueda fluir a través del firewall.
No puede crear sus propias etiquetas FQDN ni especificar qué nombres de dominio completo se incluyen en una etiqueta. Microsoft administra los nombres de dominio completo que abarca la etiqueta FQDN y la actualiza a medida que estos cambian.
En la siguiente tabla se muestran las etiquetas FQDN actuales que puede usar. Microsoft mantiene estas etiquetas y agregará otras periódicamente.
Etiquetas FQDN actuales
Etiqueta FQDN | Descripción |
---|---|
WindowsUpdate | Permite el acceso saliente a Microsoft Update como se describe en How to Configure a Firewall for Software Updates (Cómo configurar el firewall para las actualizaciones de software). |
WindowsDiagnostics | Permite el acceso saliente a todos los puntos de conexión de Diagnósticos de Windows. |
MicrosoftActiveProtectionService (MAPS) | Permite el acceso saliente a MAPS. |
AppServiceEnvironment (ASE) | Permite el acceso saliente hacia el tráfico de la plataforma de ASE. Esta etiqueta no incluye los puntos de conexión de SQL y Storage específicos del cliente creados por ASE. Dichos puntos de conexión deben habilitarse a través de los puntos de conexión de servicio o se deben agregar manualmente. Para obtener más información acerca de cómo integrar Azure Firewall con ASE, consulte Bloqueo de una instancia de App Service Environment. |
AzureBackup | Permite el acceso saliente a los servicios de Azure Backup. |
AzureHDInsight | Permite el acceso saliente hacia el tráfico de la plataforma de HDInsight. Esta etiqueta no incluye tráfico de SQL y Storage específico del cliente de HDInsight. Habilite esta opción mediante puntos de conexión de servicio o agréguela manualmente. |
WindowsVirtualDesktop | Permite el tráfico saliente de la plataforma Azure Virtual Desktop (anteriormente Windows Virtual Desktop). Esta etiqueta no cubre los puntos de conexión de Service Bus y del almacenamiento específico de la implementación creados por Azure Virtual Desktop. Además, se requieren las reglas de red de KMS y DNS. Para más información sobre la integración de Azure Firewall con Azure Virtual Desktop, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop. |
AzureKubernetesService (AKS) | Permite el acceso de salida a AKS. Para más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Kubernetes Service (AKS). |
Office365 Por ejemplo: Office365.Skype.Optimize |
Hay varias etiquetas Office 365 disponibles para permitir el acceso saliente por productos y categorías de Office 365. Para obtener más información, consulte Uso de Azure Firewall para proteger Office 365. |
Windows365 | Permite la comunicación saliente a Windows 365, excepto los puntos de conexión de red para Microsoft Intune. Para permitir la comunicación saliente al puerto 5671, cree una regla de red separada. Para obtener más información, consulte Requisitos de red de Windows 365. |
MicrosoftIntune | Permitir el acceso a Microsoft Intune para dispositivos administrados. |
citrixHdxPlusForWindows365 | Se requiere cuando se usa Citrix HDX Plus. |
Nota:
Al seleccionar Etiqueta FQDN en una regla de aplicación, el campo protocolo:puerto debe estar establecido en https.
Pasos siguientes
Para obtener información sobre cómo implementar una instancia de Azure Firewall, consulte Tutorial: Implementación y configuración de Azure Firewall mediante Azure Portal.