Dela via

Konfigurera Azure Firewall-programregler med fullständiga domännamn för SQL

  • Artikel

Nu kan du konfigurera Azure Firewall programregler med SQL FQDN. På så sätt kan du begränsa åtkomsten från dina virtuella nätverk till endast de angivna SQL Server-instanserna.

Med SQL-FQDN kan du filtrera trafik:

  • Från dina virtuella nätverk till en Azure SQL-databas eller Azure Synapse Analytics. Till exempel: Tillåt endast åtkomst till sql-server1.database.windows.net.
  • Från lokal miljö till Azure SQL Managed Instances eller SQL IaaS som körs i dina virtuella nätverk.
  • Från eker-till-eker till Azure SQL Managed Instances eller SQL IaaS som körs i dina virtuella nätverk.

SQL FQDN-filtrering stöds endast i proxyläge (port 1433). Om du använder SQL i standardomdirigeringsläget kan du filtrera åtkomsten med sql-tjänsttaggen som en del av nätverksregler. Om du använder portar som inte är standard för SQL IaaS-trafik kan du konfigurera portarna i brandväggsreglerna.

Konfigurera med Hjälp av Azure CLI

  1. Distribuera en Azure Firewall med hjälp av Azure CLI.

  2. Om du filtrerar trafik till Azure SQL Database, Azure Synapse Analytics eller SQL Managed Instance kontrollerar du att SQL-anslutningsläget är inställt på Proxy. Information om hur du växlar SQL-anslutningsläge finns i Azure SQL Anslutningsinställningar.

    Anteckning

    SQL-proxyläge kan resultera i längre svarstider jämfört med omdirigering. Om du vill fortsätta använda omdirigeringsläget, som är standard för klienter som ansluter i Azure, kan du filtrera åtkomsten med sql-tjänsttaggen i brandväggens nätverksregler.

  3. Skapa en ny regelsamling med en programregel med SQL FQDN för att tillåta åtkomst till en SQL-server:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Konfigurera med Azure PowerShell

  1. Distribuera en Azure Firewall med hjälp av Azure PowerShell.

  2. Om du filtrerar trafik till Azure SQL Database, Azure Synapse Analytics eller SQL Managed Instance kontrollerar du att SQL-anslutningsläget är inställt på Proxy. Information om hur du växlar SQL-anslutningsläge finns i Azure SQL Anslutningsinställningar.

    Anteckning

    SQL-proxyläge kan resultera i längre svarstider jämfört med omdirigering. Om du vill fortsätta använda omdirigeringsläget, som är standard för klienter som ansluter i Azure, kan du filtrera åtkomsten med sql-tjänsttaggen i brandväggens nätverksregler.

  3. Skapa en ny regelsamling med en programregel med SQL FQDN för att tillåta åtkomst till en SQL-server:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Konfigurera med hjälp av Azure-portalen

  1. Distribuera en Azure Firewall med hjälp av Azure CLI.

  2. Om du filtrerar trafik till Azure SQL Database, Azure Synapse Analytics eller SQL Managed Instance kontrollerar du att SQL-anslutningsläget är inställt på Proxy. Information om hur du växlar SQL-anslutningsläge finns i Azure SQL Anslutningsinställningar.

    Anteckning

    SQL-proxyläge kan resultera i längre svarstider jämfört med omdirigering. Om du vill fortsätta använda omdirigeringsläget, som är standard för klienter som ansluter i Azure, kan du filtrera åtkomsten med sql-tjänsttaggen i brandväggens nätverksregler.

  3. Lägg till programregeln med lämpligt protokoll, port och SQL FQDN och välj sedan Spara. programregel med SQL FQDN

  4. Få åtkomst till SQL från en virtuell dator i ett virtuellt nätverk som filtrerar trafiken genom brandväggen.

  5. Kontrollera att Azure Firewall loggar visar att trafiken tillåts.

Nästa steg

Mer information om SQL-proxy- och omdirigeringslägen finns i Azure SQL Database-anslutningsarkitektur.