הבנת כללי חומת האש

  • 6 דקות

חומות אש הן חיוניות לחסימת גישה לא מורשית למשאבים מוגנים. לכל מסד נתונים של Azure SQL מוקצית כתובת IP ציבורית המנוהלת על-ידי Microsoft. בכל אזור Azure, קיימות כתובת IP ציבורית אחת או יותר המשמשות כנקודות כניסה לשער מסד הנתונים שלך, ולאחר מכן מפנה אותך למסד הנתונים.

כיצד פועלת חומת האש

כל ניסיון חיבור מהאינטרנט או מ- Azure חייב לעבור דרך חומת האש לפני שתגיע לשרת או למסד הנתונים שלך.

דיאגרמה של ארכיטקטורת חומת האש של מסד הנתונים והשרת עבור מסד הנתונים של Azure SQL.

Azure מספק חומות אש מוכללות כדי להגביל את הגישה למסד הנתונים ולנתונים שלך ולהבטחתם. במסד הנתונים של Azure SQL, קיימים שני סוגים של כללי חומת אש: כללי חומת אש של IP ברמת השרת וכללי חומת אש של IP ברמת מסד הנתונים.

כללי חומת אש של IP ברמת השרת

הן חומות אש ברמת השרת והן בחומות אש ברמת מסד הנתונים ב- Azure SQL Database משתמשות בכללי כתובות IP במקום כניסות ל- SQL Server. גישה זו מאפשרת לכל המשתמשים מאותה כתובת IP ציבורית, בדרך כלל מכתובת ה- IP היוצאת של החברה, לגשת ל- SQL Server.

כללי חומת אש ברמת השרת מאפשרים למשתמשים להתחבר לכל מסדי הנתונים בשרת, בעוד שכללי חומת אש ברמת מסד הנתונים משמשים כדי להעניק או לחסום כתובות IP ספציפיות גישה למסדי נתונים בודדים.

באפשרותך לקבוע את התצורה של כללי חומת אש ברמת השרת באמצעות פורטל Azure או על-ידי ביצוע הפרוצדורה sp_set_firewall_rule המאוחסנת בתוך מסד הנתונים הראשי. גמישות זו מבטיחה שתוכל לנהל את הגישה בצורה יעילה ומאובטחת.

הערה

ההגדרה לאפשר לשירותים ומשאבים של Azure לגשת לשרת זה השרת נחשבת לכלל חומת אש יחיד כאשר היא זמינה.

כללי חומת אש של IP ברמת מסד הנתונים

כללי חומת אש של IP ברמת מסד הנתונים מאפשרים ללקוחות לגשת למסדי נתונים ספציפיים על-ידי יצירת כללים עבור כל מסד נתונים, כולל מסד הנתונים הראשי. כללים אלה מנוהלים באמצעות Transact-SQL משפטי התצורה לאחר קביעת התצורה של חומת האש הראשונה ברמת השרת. עליך להשתמש בהליך sp_set_database_firewall_rule המאוחסן מתוך מסד הנתונים.

בעת התחברות למסד נתונים כאשר כללי חומת אש ברמת מסד הנתונים זמינים, מסד הנתונים של Azure SQL מחפש תחילה כלל חומת אש ברמת מסד הנתונים התואם לשם מסד הנתונים במחרוזת החיבור. אם לא קיים כלל כזה, הוא בודק את כללי חומת האש של IP ברמת השרת, החלים על כל מסדי הנתונים בשרת. אם אחד הכללים נמצא, החיבור הושלם.

אם אף אחד מהם לא קיים והמשתמש מתחבר דרך SQL Server Management Studio, הוא יתבקש ליצור חוק חומת אש כפי שמוצג למטה.

צילום מסך של תיבת הדו-שיח 'כלל חומת אש חדש' ב- SQL Server Management Studio.

נקודות קצה של רשת וירטואלית

נקודות קצה של רשת וירטואלית מאפשרות תעבורה מרשת וירטואלית ספציפית של Azure. כללים אלה חלים ברמת השרת, ולא רק ברמת מסד הנתונים.

בנוסף, נקודת הקצה של השירות חלה על אזור אחד בלבד, שהוא האזור של נקודת הקצה המשמשת תחילה.

בעיה נוספת היא שלרשת הווירטואלית המחברת למסד הנתונים של Azure SQL חייבת להיות גישה יוצאת לכתובת ה- IP הציבורית עבור Azure SQL Database, שניתן לקבוע את תצורתה באמצעות תגיות שירות עבור Azure SQL Database.

כדי לטפל בבעיה זו, ודא שלרשת הווירטואלית ההתחברות למסד הנתונים של Azure SQL יש גישה יוצאת לכתובת ה- IP הציבורית עבור Azure SQL Database. בנוסף, באפשרותך להשתמש בקבוצות אבטחת רשת (NSG) כדי להגדיר ולשלוט בכללי התעבורה היוצאת, ולהבטיח שרק התעבורה הדרושה תוכל להגיע למסד הנתונים של Azure SQL.

התכונה קישור פרטי מאפשרת לך להתחבר למסד נתונים של Azure SQL ולהצעות PaaS אחרות באמצעות נקודת קצה פרטית.

נקודת קצה פרטית מאפשרת לחיבור למסד הנתונים של Azure SQL לעבור לחלוטין דרך רשת עמוד השדרה של Azure ולא דרך האינטרנט הציבורי.

תכונה זו מספקת כתובת IP פרטית ברשת הווירטואלית שלך. תכונה נוספת של קישור פרטי היא שהיא מאפשרת חיבורי Azure Express Route באמצעות מעגל זה.

קישור פרטי מציע כמה יתרונות, כולל קישוריות פרטית חוצת אזורים והגנה מפני דליפת נתונים על-ידי מתן אפשרות לחיבורים למשאבים ספציפיים בלבד.