在网络规则中使用 FQDN 筛选

完全限定的域名(FQDN)表示主机或一个或多个 IP 地址的完整域名。 在 Azure 防火墙和防火墙策略中,可以根据 DNS 解析在网络规则中使用 FQDN。 此功能允许使用任何 TCP/UDP 协议(包括 NTP、SSH 和 RDP)筛选出站流量。 若要在网络规则中使用 FQDN,必须启用 DNS 代理。 有关详细信息,请参阅 Azure 防火墙 DNS 设置

注意

根据设计,网络规则中的 FQDN 筛选不支持通配符。

工作原理

首先,定义组织使用的 DNS 服务器(Azure DNS 或自定义 DNS)。 然后,Azure 防火墙将 FQDN 转换为基于所选 DNS 服务器的 IP 地址或地址。 此转换适用于应用程序和网络规则处理。

发生新的 DNS 解析时,会将新的 IP 地址添加到防火墙规则中。 如果 DNS 服务器不再返回旧 IP 地址,则 15 分钟后过期。 Azure 防火墙根据网络规则中 FQDN 的 DNS 解析每隔 15 秒更新其规则。

应用程序规则与网络规则之间的差异

  • HTTP/S 和 MSSQL 的应用程序规则中的 FQDN 筛选依赖于应用程序级别的透明代理和 SNI 标头。 这样,它就可以区分解析为同一 IP 地址的两个 FQDN。 此功能不适用于网络规则中的 FQDN 筛选。

    如果可能,请始终使用应用程序规则:

    • 对于 HTTP/S 或 MSSQL 协议,请使用应用程序规则进行 FQDN 筛选。
    • 对于 AzureBackup、HDInsight 等服务,请使用带 FQDN 标记的应用程序规则。
    • 对于其他协议,请使用网络规则进行 FQDN 筛选。

后续步骤

Azure 防火墙 DNS 设置