Firewallregeln für ausgehenden Datenverkehr für Azure SQL-Datenbank und Azure Synapse Analytics

Gilt für: Azure SQL-DatenbankAzure Synapse Analytics (nur dedizierte SQL-Pools)

Firewallregeln für ausgehenden Datenverkehr beschränken den Netzwerkdatenverkehr vom logischen Azure SQL-Server auf eine vom Kunden definierte Liste von Azure Storage-Konten und logischen Azure SQL Servern. Jeder Versuch, auf Speicherkonten oder Datenbanken zuzugreifen, die nicht in dieser Liste enthalten sind, wird verweigert. Die folgenden Features von Azure SQL-Datenbank unterstützen diese Option:

• Überwachung
• Sicherheitsrisikobewertung
• Import/Export-Dienst
• OPENROWSET
• Masseneinfügung
• sp_invoke_external_rest_endpoint

Wichtig

• Dieser Artikel gilt für Azure SQL-Datenbank und den dedizierten SQL-Pool (vormals SQL DW) in Azure Synapse Analytics. Diese Einstellungen gelten für alle SQL-Datenbank-Datenbanken und die Datenbanken des dedizierten SQL-Pools (früher „SQL DW“), die dem Server zugeordnet sind. Der Einfachheit halber wird der Begriff „Datenbank“ verwendet, wenn auf Datenbanken sowohl in Azure SQL-Datenbank als auch in Azure Synapse Analytics verwiesen wird. Ebenso bezieht sich der Begriff „Server“ auf den logischen SQL-Server, der Azure SQL-Datenbank und den dedizierten SQL-Pool (vormals SQL DW) in Azure Synapse Analytics hostet. Dieser Artikel gilt nicht für Azure SQL Managed Instance oder dedizierte SQL-Pools in Azure Synapse Analytics-Arbeitsbereichen.
• Firewallregeln für ausgehenden Datenverkehr werden in der logischen Serverinstanz definiert. Georeplikation und Failovergruppen erfordern, dass für die primäre und alle sekundären Replikate der gleiche Satz von Regeln definiert wird.

Festlegen von Firewallregeln für ausgehenden Datenverkehr im Azure-Portal

1. Navigieren Sie zum Abschnitt Ausgehende Netzwerke im Bereich Firewalls und virtuelle Netzwerke für Ihre Azure SQL-Datenbank und wählen Sie Einschränkungen für ausgehenden Netzwerkbetrieb Konfigurieren aus.

   

   Dadurch wird auf der rechten Seite den folgenden Bereich geöffnet:

   

2. Aktivieren Sie das Kontrollkästchen Ausgehende Netzwerke einschränken, und fügen Sie dann den FQDN für die Storage-Konten (oder SQL-Datenbanken) mithilfe der Schaltfläche Domäne hinzufügen hinzu.

   

3. Wenn Sie fertig sind, sollte ein Bildschirm ähnlich dem folgenden angezeigt werden. Wählen Sie OK aus, um die Einstellungen zu speichern.

   

Erstellen von Firewallregeln mithilfe von PowerShell

Wichtig

Azure SQL-Datenbank unterstützt das PowerShell Azure Resource Manager-Modul weiterhin, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch. Das folgende Skript erfordert das Azure PowerShell-Modul.

Das folgende PowerShell-Skript zeigt, wie Sie die Einstellung für ausgehende Netzwerke ändern (mithilfe der Eigenschaft RestrictOutboundNetworkAccess):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Verwenden Sie diese PowerShell-Cmdlets, um Firewallregeln für ausgehenden Datenverkehr zu konfigurieren

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Festlegen von Firewallregeln für ausgehenden Datenverkehr mithilfe Azure CLI

Wichtig

Für alle Skripts in diesem Abschnitt ist die Azure CLI erforderlich.

Azure CLI in einer Bash-Shell

Das folgende CLI-Skript zeigt, wie Sie die Ausgangseinstellung für Netzwerke (mithilfe der Eigenschaft RestrictOutboundNetworkAccess) in einer Bash-Shell ändern:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"

Verwenden Sie diese CLI-Befehle, um Firewallregeln für ausgehenden Datenverkehr zu konfigurieren

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Nächste Schritte

• Eine Übersicht über die Sicherheitsfunktionen von Azure SQL-Datenbank finden Sie hier.
• Eine Übersicht über die Azure SQL-Datenbank-Konnektivität finden Sie unter Verbindungsarchitektur von Azure SQL-Datenbank.
• Erfahren Sie mehr über die Netzwerk-Zugriffssteuerung für Azure SQL-Datenbank und Azure Synapse Analytics.
• Erfahren Sie mehr über Azure Private Link für Azure SQL-Datenbank und Azure Synapse Analytics.