ネットワーク ルールでの FQDN フィルタリング
完全修飾ドメイン名 (FQDN) は、ホストまたは 1 つ以上の IP アドレスのドメイン名を表します。 Azure Firewall とファイアウォール ポリシーの DNS 解決に基づいて、ネットワーク ルールで FQDN を使用できます。 この機能を使用すると、任意の TCP/UDP プロトコル (NTP、SSH、RDP など) を使用して送信トラフィックをフィルター処理できます。 ネットワーク ルールで FQDN を使用するには、DNS プロキシを有効にする必要があります。 詳細については、Azure Firewall ポリシーの DNS 設定に関するページを参照してください。
しくみ
組織で必要な DNS サーバー (Azure DNS または独自のカスタム DNS) を定義すると、選択した DNS サーバーに基づいて Azure Firewall によって FQDN が 1 つ以上の IP アドレスに変換されます。 この変換は、アプリケーションとネットワーク ルールの両方の処理で行われます。
ネットワーク ルールでの場合と比較して、アプリケーション ルールでドメイン名を使用する場合との違いは何ですか?
- HTTP/S および MSSQL のアプリケーション ルールでの FQDN フィルタリングは、アプリケーション レベルの透過プロキシと SNI ヘッダーに基づいています。 そのため、同じ IP アドレスに解決される 2 つの FQDN を区別できます。 これは、ネットワーク ルールでの FQDN フィルタリングには当てはまりません。 可能な場合は、常にアプリケーション ルールを使用してください。
- アプリケーション ルールでは、選択したプロトコルとして HTTP/S および MSSQL を使用できます。 ネットワーク ルールでは、宛先の FQDN と共に任意の TCP/UDP プロトコルを使用できます。