Konfigurálhatja az Azure Firewall alkalmazásszabályait SQL FQDN-ek használatával.

Az Azure Firewall alkalmazásszabályait SQL FQDN-ekkel konfigurálhatja. Ez a konfiguráció csak a megadott SQL Server-példányokra korlátozza a hozzáférést a virtuális hálózatokról.

Sql FQDN-k használatával szűrheti a forgalmat:

• A virtuális hálózatoktól az Azure SQL Database-hez vagy az Azure Synapse Analyticshez. Például: Csak a sql-server1.database.windows.NET hozzáférésének engedélyezése.
• A helyszínitől a felügyelt Azure SQL-példányokig vagy a virtuális hálózatokon futó SQL IaaS-hez.
• Az egyik pontról a másikra Azure SQL Managed Instance-okhoz vagy SQL IaaS-hez, melyek a virtuális hálózataidban futnak.

Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Ha az SQL-t az alapértelmezett átirányítási módban használja, a hálózati szabályok részeként az SQL-szolgáltatáscímkével szűrheti a hozzáférést. Ha nem alapértelmezett portokat használ az SQL IaaS-forgalomhoz, ezeket a portokat a tűzfal alkalmazásszabályaiban állíthatja be.

Konfigurálás az Azure CLI használatával

1. Azure Firewall üzembe helyezése az Azure CLI használatával.

2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, állítsa az SQL-kapcsolati módot proxyra. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

   Feljegyzés

   Az SQL-proxy mód nagyobb késést eredményezhet, mint az átirányítási mód. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

3. Hozzon létre egy új szabálygyűjteményt egy olyan alkalmazásszabálysal, amely az SQL FQDN-t használja az SQL Serverhez való hozzáférés engedélyezéséhez:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Konfigurálás az Azure PowerShell használatával

1. Azure Firewall üzembe helyezése az Azure PowerShell használatával.

2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, állítsa az SQL-kapcsolati módot proxyra. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

   Feljegyzés

   Az SQL-proxy mód nagyobb késést eredményezhet, mint az átirányítási mód. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

3. Hozzon létre egy új szabálygyűjteményt egy olyan alkalmazásszabálysal, amely az SQL FQDN-t használja az SQL Serverhez való hozzáférés engedélyezéséhez:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433"
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection"
      Priority   = 1000
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)
   Set-AzFirewall -AzureFirewall $AzFw
   

Konfigurálás az Azure Portal használatával

1. Azure Firewall üzembe helyezése az Azure Portal használatával.

2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, állítsa az SQL-kapcsolati módot proxyra. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

   Feljegyzés

   Az SQL-proxy mód nagyobb késést eredményezhet, mint az átirányítási mód. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-on belül csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatáscímkével szűrheti a hozzáférést.

3. Adja hozzá az alkalmazásszabályt a megfelelő protokollal, porttal és SQL FQDN-vel, majd válassza a Mentés lehetőséget.

4. Sql elérése egy virtuális hálózat virtuális gépéről, amely a forgalmat a tűzfalon keresztül szűri.

5. Ellenőrizze, hogy az Azure Firewall naplói engedélyezik-e a forgalmat.

Következő lépések

Az SQL-proxy- és átirányítási módokról az Azure SQL Database kapcsolati architektúrája című témakörben olvashat.