Nätverkssäkerhet för Azure Relay

  • Artikel

Den här artikeln beskriver hur du använder följande säkerhetsfunktioner med Azure Relay:

  • IP-brandväggsregler
  • Privata slutpunkter

Kommentar

Azure Relay stöder inte nätverkstjänstslutpunkter.

IP-brandvägg

Som standard är Relay-namnområden tillgängliga från Internet så länge begäran levereras med giltig autentisering och auktorisering. Med IP-brandväggen kan du begränsa den ytterligare till endast en uppsättning IPv4-adresser eller IPv4-adressintervall i notationen CIDR (Classless Inter-Domain Routing).

Den här funktionen är användbar i scenarier där Azure Relay endast ska vara tillgängligt från vissa välkända platser. Med brandväggsregler kan du konfigurera regler för att acceptera trafik som kommer från specifika IPv4-adresser. Om du till exempel använder Relay med Azure Express Route kan du skapa en brandväggsregel som tillåter trafik från endast ip-adresser för din lokala infrastruktur.

IP-brandväggsreglerna tillämpas på reläets namnområdesnivå. Därför gäller reglerna för alla anslutningar från klienter som använder protokoll som stöds. Alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel i Relay-namnområdet avvisas som obehöriga. I svaret nämns inte IP-regeln. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör åtgärden acceptera eller avvisa.

Mer information finns i Så här konfigurerar du IP-brandväggen för ett Relay-namnområde

Privata slutpunkter

Med Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Relay, Azure Service Bus, Azure Event Hubs, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. Mer information finns i Vad är Azure Private Link?

En privat slutpunkt är ett nätverksgränssnitt som gör att dina arbetsbelastningar som körs i ett virtuellt nätverk kan ansluta privat och säkert till en tjänst som har en privat länkresurs (till exempel ett Relay-namnområde). Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute, VPN-anslutningar eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ange en detaljnivå i åtkomstkontrollen genom att tillåta anslutningar till specifika Azure Relay-namnområden.

Mer information finns i Konfigurera privata slutpunkter

Nästa steg

Mer information finns i följande artiklar: