Freigeben über

Konfigurieren von Azure Firewall-Anwendungsregeln mit SQL-FQDNs

  • Artikel

Sie können nun Azure Firewall-Anwendungsregeln mit SQL-FQDNs konfigurieren. So können Sie den Zugriff aus Ihren virtuellen Netzwerken auf die angegebenen SQL Server-Instanzen beschränken.

Mit SQL-FQDNs können Sie Datenverkehr wie folgt filtern:

  • Von Ihren VNETs zu Azure SQL-Datenbank oder Azure Synapse Analytics. Beispiel: Sie haben die Möglichkeit, nur Zugriffe auf sql-server1.database.windows.net zuzulassen.
  • Von Ihrer lokalen Umgebung an verwaltete Azure SQL-Instanzen oder an SQL-IaaS in Ihren VNETs
  • Von Spoke-zu-Spoke an verwaltete Azure SQL-Instanzen oder an SQL-IaaS in Ihren VNETs

Die SQL-FQDN-Filterung wird nur im Proxymodus unterstützt (Port 1433). Wenn Sie SQL im standardmäßigen Umleitungsmodus verwenden, können Sie zur Filterung des Zugriffs das SQL-Diensttag im Rahmen von Netzwerkregeln verwenden. Wenn Sie nicht standardmäßige Ports für SQL-IaaS-Datenverkehr verwenden, können Sie diese Ports in den Firewallanwendungsregeln konfigurieren.

Konfigurieren über die Azure-Befehlszeilenschnittstelle

  1. Stellen Sie eine Azure Firewall-Instanz unter Verwendung der Azure-Befehlszeilenschnittstelle bereit.

  2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder SQL Managed Instance filtern möchten, muss der SQL-Konnektivitätsmodus auf Proxy festgelegt sein. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

    Hinweis

    Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie weiterhin den Umleitungsmodus (Standardmodus für Clients, die eine Verbindung innerhalb von Azure herstellen) verwenden möchten, können Sie den Zugriff mit dem SQL-Diensttag in Netzwerkregeln der Firewall filtern.

  3. Erstellen Sie eine neue Regelsammlung mit einer Anwendungsregel unter Verwendung des SQL-FQDN, um den Zugriff auf einen SQL-Server zu ermöglichen:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Konfigurieren mit Azure PowerShell

  1. Stellen Sie eine Azure Firewall-Instanz unter Verwendung von Azure PowerShell bereit.

  2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder SQL Managed Instance filtern möchten, muss der SQL-Konnektivitätsmodus auf Proxy festgelegt sein. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

    Hinweis

    Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie weiterhin den Umleitungsmodus (Standardmodus für Clients, die eine Verbindung innerhalb von Azure herstellen) verwenden möchten, können Sie den Zugriff mit dem SQL-Diensttag in Netzwerkregeln der Firewall filtern.

  3. Erstellen Sie eine neue Regelsammlung mit einer Anwendungsregel unter Verwendung des SQL-FQDN, um den Zugriff auf einen SQL-Server zu ermöglichen:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Konfigurieren über das Azure-Portal

  1. Stellen Sie eine Azure Firewall-Instanz unter Verwendung der Azure-Befehlszeilenschnittstelle bereit.

  2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder SQL Managed Instance filtern möchten, muss der SQL-Konnektivitätsmodus auf Proxy festgelegt sein. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

    Hinweis

    Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie weiterhin den Umleitungsmodus (Standardmodus für Clients, die eine Verbindung innerhalb von Azure herstellen) verwenden möchten, können Sie den Zugriff mit dem SQL-Diensttag in Netzwerkregeln der Firewall filtern.

  3. Fügen Sie die Anwendungsregel mit den entsprechenden Angaben für Protokoll, Port und SQL-FQDN hinzu, und wählen Sie anschließend Speichern aus. Anwendungsregel mit SQL-FQDN

  4. Greifen Sie über einen virtuellen Computer in einem VNET mit firewallbasierter Datenverkehrsfilterung auf SQL zu.

  5. Vergewissern Sie sich anhand von Azure Firewall-Protokollen, dass der Datenverkehr zugelassen wird.

Nächste Schritte

Informationen zu den SQL-Modi „Proxy“ und „Umleiten“ finden Sie unter Verbindungsarchitektur von Azure SQL.