Ağ kurallarında FQDN filtrelemeyi kullanma

Tam etki alanı adı (FQDN), bir konağın veya bir veya daha fazla IP adresinin etki alanı adını temsil eder. FQDN'leri, Azure Güvenlik Duvarı ve Güvenlik Duvarı ilkesindeki DNS çözümlemesini temel alan ağ kurallarında kullanabilirsiniz. Bu özellik, giden trafiği herhangi bir TCP/UDP protokolüyle (NTP, SSH, RDP ve daha fazlası dahil) filtrelemenize olanak tanır. Ağ kurallarınızda FQDN'leri kullanmak için DNS Proxy'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı DNS ayarları.

Not

Tasarım gereği, ağ kurallarında FQDN filtreleme joker karakterleri desteklemez

Nasıl çalışır?

Kuruluşunuzun hangi DNS sunucusuna (Azure DNS veya kendi özel DNS'niz) ihtiyacı olduğunu tanımladıktan sonra Azure Güvenlik Duvarı FQDN'yi seçilen DNS sunucusuna göre bir IP adresine veya adreslerine çevirir. Bu çeviri hem uygulama hem de ağ kuralı işleme için gerçekleşir.

Yeni bir DNS çözümlemesi gerçekleştiğinde güvenlik duvarı kurallarına yeni IP adresleri eklenir. ESKI IP adreslerinin süresi, DNS sunucusu artık döndürmediğinde 15 dakika içinde sona erer. Azure Güvenlik Duvarı kuralları, ağ kurallarındaki FQDN'lerin DNS çözümlemesinden itibaren her 15 saniyede bir güncelleştirilir.

Uygulama kuralları ile ağ kuralları arasındaki farklar

  • HTTP/S ve MSSQL için uygulama kurallarında FQDN filtrelemesi, uygulama düzeyinde saydam ara sunucuyu ve SNI üst bilgisini temel alır. Bu nedenle, aynı IP adresine çözümlenen iki FQDN arasında ayrım yapabilir. Ağ kurallarında FQDN filtrelemesinde bu durum geçerli değildir.

    Mümkün olduğunda her zaman uygulama kurallarını kullanın:

    • Protokol HTTP/S veya MSSQL ise FQDN filtrelemesi için uygulama kurallarını kullanın.
    • AzureBackup, HDInsight gibi hizmetler için FQDN etiketleriyle uygulama kurallarını kullanın.
    • Diğer tüm protokoller için FQDN filtrelemesi için ağ kurallarını kullanabilirsiniz.

Sonraki adımlar

DNS ayarlarını Azure Güvenlik Duvarı