Azure Firewall-toepassingsregels configureren met SQL FQDN's

U kunt nu Azure Firewall-toepassingsregels configureren met SQL FQDN's. Hiermee kunt u de toegang van uw virtuele netwerken beperken tot alleen de opgegeven SQL Server-exemplaren.

Met SQL-FQDN's kunt u verkeer filteren:

• Van uw VNets naar een Azure SQL Database of Azure Synapse Analytics. Bijvoorbeeld: Alleen toegang tot sql-server1.database.windows.NET toestaan.
• Van op locatie naar Azure SQL Managed Instances of SQL IaaS die worden gehost in uw VNets.
• Van spoke-to-spoke naar Azure SQL Managed Instances of SQL IaaS die worden uitgevoerd in uw VNets.

Filteren op SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433). Als u SQL gebruikt in de standaardomleidingsmodus, kunt u de toegang filteren met behulp van de SQL-servicetag als onderdeel van netwerkregels. Als u niet-standaardpoorten gebruikt voor SQL IaaS-verkeer, kunt u deze poorten configureren in de firewalltoepassingsregels.

Configureren met behulp van Azure CLI

1. Implementeer een Azure Firewall met behulp van Azure CLI.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Note

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Maak een nieuwe regelverzameling met een toepassingsregel met behulp van SQL FQDN om toegang tot een SQL-server toe te staan:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \ 
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \ 
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Configureren met Behulp van Azure PowerShell

1. Implementeer een Azure Firewall met behulp van Azure PowerShell.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Note

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Maak een nieuwe regelverzameling met een toepassingsregel met behulp van SQL FQDN om toegang tot een SQL-server toe te staan:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433" 
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection" 
      Priority   = 1000 
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
   Set-AzFirewall -AzureFirewall $AzFw    
   

Configureren met behulp van Azure Portal

1. Implementeer een Azure Firewall met behulp van Azure CLI.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Note

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Voeg de toepassingsregel toe met het juiste protocol, de juiste poort en de SQL-FQDN en selecteer Opslaan.

4. Toegang krijgen tot SQL vanaf een virtuele machine in een VNet waarmee het verkeer via de firewall wordt gefilterd.

5. Controleer of azure Firewall-logboeken aangeven dat het verkeer is toegestaan.

Volgende stappen

Zie de connectiviteitsarchitectuur van Azure SQL Database voor meer informatie over sql-proxy- en omleidingsmodi.