Megosztás a következőn keresztül:

Konfigurálhatja az Azure Firewall alkalmazásszabályait teljes SQL-tartománynevekkel

  • Cikk

Mostantól sql FQDN-ekkel konfigurálhat Azure Firewall alkalmazásszabályokat. Ez lehetővé teszi, hogy a virtuális hálózatokhoz való hozzáférést csak a megadott SQL Server-példányokra korlátozza.

Az SQL teljes tartományneveivel szűrheti a forgalmat:

  • A virtuális hálózatokról egy Azure SQL-adatbázisra vagy Azure Synapse Analyticsre. Például: Csak a sql-server1.database.windows.net hozzáférésének engedélyezése.
  • Helyszíni hálózatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.
  • Küllős kapcsolatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.

Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Ha az SQL-t az alapértelmezett átirányítási módban használja, a hálózati szabályok részeként szűrheti a hozzáférést az SQL-szolgáltatáscímkével. Ha nem alapértelmezett portokat használ az SQL IaaS-forgalomhoz, ezeket a portokat a tűzfal alkalmazásszabályaiban állíthatja be.

Konfigurálás az Azure CLI használatával

  1. Azure Firewall üzembe helyezése az Azure CLI-vel.

  2. Ha Azure SQL Database, Azure Synapse Analytics vagy SQL Managed Instance felé szűri a forgalmat, győződjön meg arról, hogy az SQL kapcsolati módja Proxy értékre van állítva. Az SQL-kapcsolati mód közötti váltásról az Azure SQL Kapcsolati beállítások című témakörben olvashat.

    Megjegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Konfigurálás a Azure PowerShell használatával

  1. Azure Firewall üzembe helyezése Azure PowerShell használatával.

  2. Ha Azure SQL Database, Azure Synapse Analytics vagy SQL Managed Instance felé szűri a forgalmat, győződjön meg arról, hogy az SQL kapcsolati módja Proxy értékre van állítva. Az SQL-kapcsolati mód közötti váltásról az Azure SQL Kapcsolati beállítások című témakörben olvashat.

    Megjegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Konfigurálás az Azure Portal használatával

  1. Azure Firewall üzembe helyezése az Azure CLI-vel.

  2. Ha Azure SQL Database, Azure Synapse Analytics vagy SQL Managed Instance felé szűri a forgalmat, győződjön meg arról, hogy az SQL kapcsolati módja Proxy értékre van állítva. Az SQL-kapcsolati mód közötti váltásról az Azure SQL Kapcsolati beállítások című témakörben olvashat.

    Megjegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

  3. Adja hozzá a megfelelő protokollt, portot és SQL FQDN-t tartalmazó alkalmazásszabályt, majd válassza a Mentés lehetőséget. alkalmazásszabály SQL FQDN-nel

  4. Sql elérése virtuális hálózatban lévő virtuális gépről, amely a tűzfalon keresztül szűri a forgalmat.

  5. Ellenőrizze, hogy Azure Firewall naplókban a forgalom engedélyezve van-e.

Következő lépések

Az SQL-proxy- és átirányítási módokról a Azure SQL Adatbázis-kapcsolati architektúra című témakörben olvashat.