Защита развертывания Виртуальных рабочих столов Azure с помощью Брандмауэра Azure
Чтобы предотвратить несанкционированный сетевой трафик в среде виртуального рабочего стола Azure, можно ограничить сетевой трафик с помощью Брандмауэр Azure. В этом уроке вы узнаете о фильтрации этого трафика Брандмауэром Azure.
Что такое Брандмауэр Azure?
Как уже упоминалось, Брандмауэр Azure — это облачная служба сетевой безопасности, которая защищает ресурсы виртуальных сетей Azure от угроз, использующих входящий и исходящий трафик. Брандмауэр Azure устанавливается в виртуальной сети концентратора. Входящий и исходящий трафик между периферийными виртуальными сетями и локальной сетью проходит через брандмауэр сети концентратора.
По умолчанию весь входящий и исходящий трафик из Интернета блокируется. Трафик пропускается только в том случае, если он проходит различные проверки, например настроенные правила брандмауэра.
Брандмауэр Azure работает не только для входящего и исходящего трафика Интернета, но и для внутреннего трафика. Внутренняя фильтрация трафика охватывает трафик между периферийными сетями и гибридный облачный трафик между локальной сетью и виртуальной сетью Azure.
Что такое виртуальный рабочий стол Azure?
Виртуальный рабочий стол Azure — это облачная служба виртуализации рабочих столов и приложений. Виртуальный рабочий стол Azure работает на таких устройствах, как Windows, Mac, iOS, Android и Linux, с приложениями, которые можно использовать для доступа к удаленным рабочим столам и приложениям. Для доступа к приложениям, размещенным в службе "Виртуальный рабочий стол Azure", также можно использовать большинство современных браузеров.
Как Брандмауэр Azure фильтрует трафик для Виртуального рабочего стола Azure?
Когда конечный пользователь подключается к виртуальной машине Azure Виртуальных рабочих столов, она принадлежит пулу узлов. Пул узлов — это коллекция виртуальных машин Azure (VM), которые регистрируются в службе Виртуального рабочего стола Azure в качестве узлов сеансов. Эти виртуальные машины работают в виртуальной сети Azure и подчиняются элементам управления безопасностью виртуальной сети.
Для работы Виртуального рабочего стола Azure пулу узлов требуется исходящий доступ в Интернет к службе Виртуального рабочего стола Azure. Пулу узлов также может потребоваться исходящий доступ в Интернет для пользователей. Брандмауэр Azure можно использовать для блокировки среды и фильтрации исходящего сетевого трафика.
На следующей схеме показано, как Брандмауэр Azure фильтрует трафик для службы виртуального рабочего стола Azure и пулов узлов:
В следующей таблице описаны метки на рисунке:
Label | Description |
---|---|
а | Брандмауэр Azure фильтрует исходящий сетевой доступ пула узлов к службе виртуального рабочего стола Azure. |
Б | Правила брандмауэра приложений и сетевых брандмауэров и исходящий доступ пользователей фильтра аналитики угроз из виртуальной сети пула узлов. |
О | Трафик фильтруется от брандмауэра к локальной среде. Кроме того, Брандмауэр Azure может передавать пользовательский трафик на локальный прокси-сервер. |