Share via

Configuración de reglas de aplicación de Azure Firewall con nombres de dominio completos de SQL

  • Artículo

Ahora es posible configurar reglas de aplicación de Azure Firewall con FQDN de SQL. Esto permite limitar el acceso desde las redes virtuales a las instancias de SQL server especificadas.

Con los FQDN de SQL, puede filtrar el tráfico:

  • Desde las redes virtuales a una instancia de Azure SQL Database o Azure Synapse Analytics. Por ejemplo: permitir el acceso a sql-server1.database.windows.net únicamente.
  • Desde el entorno local a instancias administradas de Azure SQL o SQL IaaS que se ejecutan en las redes virtuales.
  • Desde spoke-to-spoke a instancias administradas de Azure SQL o SQL IaaS que se ejecutan en las redes virtuales.

El filtrado por nombre de dominio completo de SQL se admite solo en modo de proxy (puerto 1433). Si usa SQL en el modo de redirección predeterminado, puede filtrar el acceso mediante la etiqueta de servicio de SQL como parte de reglas de red. Si usa puertos no predeterminados para el tráfico de SQL IaaS, puede configurar esos puertos en las reglas de aplicación del firewall.

Configuración mediante la CLI de Azure

  1. Implemente Azure Firewall mediante la CLI de Azure.

  2. Si filtra el tráfico a Azure SQL Database, Azure Synapse Analytic o SQL Managed Instance, asegúrese de que el modo de conectividad SQL esté establecido en Proxy. Para obtener información sobre cómo cambiar el modo de conectividad SQL, consulte Configuración de conectividad de Azure SQL.

    Nota

    El modo de proxy de SQL puede traducirse en una mayor latencia en comparación con el modo de redirección. Si quiere seguir usando el modo de redirección, que es el valor predeterminado para los clientes que se conectan desde dentro de Azure, puede filtrar el acceso mediante la etiqueta de servicio de SQL en reglas de red del firewall.

  3. Cree una nueva colección de reglas con una regla de aplicación mediante el FQDN de SQL para permitir el acceso a un servidor SQL Server:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Configuración mediante Azure PowerShell

  1. Implemente Azure Firewall mediante Azure PowerShell.

  2. Si filtra el tráfico a Azure SQL Database, Azure Synapse Analytic o SQL Managed Instance, asegúrese de que el modo de conectividad SQL esté establecido en Proxy. Para obtener información sobre cómo cambiar el modo de conectividad SQL, consulte Configuración de conectividad de Azure SQL.

    Nota

    El modo de proxy de SQL puede traducirse en una mayor latencia en comparación con el modo de redirección. Si quiere seguir usando el modo de redirección, que es el valor predeterminado para los clientes que se conectan desde dentro de Azure, puede filtrar el acceso mediante la etiqueta de servicio de SQL en reglas de red del firewall.

  3. Cree una nueva colección de reglas con una regla de aplicación mediante el FQDN de SQL para permitir el acceso a un servidor SQL Server:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Configurar mediante Azure Portal

  1. Implemente Azure Firewall mediante la CLI de Azure.

  2. Si filtra el tráfico a Azure SQL Database, Azure Synapse Analytic o SQL Managed Instance, asegúrese de que el modo de conectividad SQL esté establecido en Proxy. Para obtener información sobre cómo cambiar el modo de conectividad SQL, consulte Configuración de conectividad de Azure SQL.

    Nota

    El modo de proxy de SQL puede traducirse en una mayor latencia en comparación con el modo de redirección. Si quiere seguir usando el modo de redirección, que es el valor predeterminado para los clientes que se conectan desde dentro de Azure, puede filtrar el acceso mediante la etiqueta de servicio de SQL en reglas de red del firewall.

  3. Agregue la regla de aplicación con el protocolo, el puerto y el FQDN de SQL adecuados y luego seleccione Guardar. Regla de aplicación con FQDN de SQL

  4. Acceda a SQL desde una máquina virtual de una red virtual que filtre el tráfico a través del firewall.

  5. Valide que los registros de Azure Firewall muestran que se permite el tráfico.

Pasos siguientes

Para información sobre los modos de redirección y proxy SQL, consulte Arquitectura de conectividad de Azure SQL Database.