Sdílet prostřednictvím

Konfigurace pravidel aplikací Azure Firewall pomocí SQL FQDN

Teď můžete nakonfigurovat pravidla aplikací služby Azure Firewall pomocí plně kvalifikovaných názvů domén SQL. To vám umožní omezit přístup z virtuálních sítí jenom na zadané instance SQL Serveru.

S využitím plně kvalifikovaných názvů domén SQL můžete filtrovat provoz:

  • Z virtuálních sítí do Azure SQL Database nebo Azure Synapse Analytics. Příklad: Povolit přístup pouze k sql-server1.database.windows.NET.
  • Z místního prostředí do služby Azure SQL Managed Instance nebo SQL IaaS ve vašich virtuálních sítích
  • Z propojení mezi uzly do služby Azure SQL Managed Instance nebo SQL IaaS ve vašich virtuálních sítích

Filtrování FQDN SQL je podporováno jenom v režimu pro proxy (port 1433). Pokud používáte SQL ve výchozím režimu přesměrování, můžete v rámci pravidel sítě filtrovat přístup pomocí značky služby SQL. Pokud pro provoz SQL IaaS používáte jiné než výchozí porty, můžete tyto porty nakonfigurovat v pravidlech aplikace brány firewall.

Konfigurace pomocí Azure CLI

  1. Nasazení služby Azure Firewall pomocí Azure CLI

  2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

    Poznámka:

    Režim SQL proxy může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v síťových pravidlech brány firewall.

  3. Vytvořte novou kolekci pravidel, která obsahuje aplikační pravidlo využívající SQL FQDN k povolení přístupu k SQL serveru.

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Konfigurace pomocí Azure PowerShellu

  1. Nasazení brány Azure Firewall pomocí Azure PowerShellu

  2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

    Poznámka:

    Režim SQL proxy může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v síťových pravidlech brány firewall.

  3. Vytvořte novou kolekci pravidel, která obsahuje aplikační pravidlo využívající SQL FQDN k povolení přístupu k SQL serveru.

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Konfigurace prostřednictvím portálu Azure Portal

  1. Nasazení služby Azure Firewall pomocí Azure CLI

  2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

    Poznámka:

    Režim SQL proxy může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v síťových pravidlech brány firewall.

  3. Přidejte pravidlo aplikace s odpovídajícím protokolem, portem a plně kvalifikovaným názvem domény SQL a pak vyberte Uložit.

  4. Přístup k SQL z virtuálního počítače ve virtuální síti, který filtruje provoz přes bránu firewall.

  5. Ověřte, že protokoly služby Azure Firewall ukazují, že je povolený provoz.

Další kroky

Další informace o režimech proxy serveru SQL a přesměrování najdete v tématu Architektura připojení ke službě Azure SQL Database.

  • Last updated on