Konfigurálhatja az Azure Firewall alkalmazásszabályait teljes SQL-tartománynevekkel
Mostantól SQL FQDN-ekkel konfigurálhatja az Azure Firewall alkalmazásszabályait. Ez lehetővé teszi, hogy a virtuális hálózatokhoz való hozzáférést csak a megadott SQL Server-példányokra korlátozza.
Az SQL teljes tartományneveivel szűrheti a forgalmat:
- A virtuális hálózatoktól az Azure SQL Database-hez vagy az Azure Synapse Analyticshez. Például: Csak a sql-server1.database.windows.net hozzáférésének engedélyezése.
- Helyszíni hálózatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.
- Küllős kapcsolatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.
Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Ha az SQL-t az alapértelmezett átirányítási módban használja, a hálózati szabályok részeként szűrheti a hozzáférést az SQL szolgáltatáscímkével. Ha nem alapértelmezett portokat használ az SQL IaaS-forgalomhoz, ezeket a portokat a tűzfal alkalmazásszabályaiban állíthatja be.
Konfigurálás az Azure CLI használatával
Azure Firewall üzembe helyezése az Azure CLI használatával.
Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.
Feljegyzés
Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.
Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:
az extension add -n azure-firewall az network firewall application-rule create \ --resource-group Test-FW-RG \ --firewall-name Test-FW01 \ --collection-name sqlRuleCollection \ --priority 1000 \ --action Allow \ --name sqlRule \ --protocols mssql=1433 \ --source-addresses 10.0.0.0/24 \ --target-fqdns sql-serv1.database.windows.net
Konfigurálás az Azure PowerShell használatával
Azure Firewall üzembe helyezése az Azure PowerShell használatával.
Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.
Feljegyzés
Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.
Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:
$AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG" $sqlRule = @{ Name = "sqlRule" Protocol = "mssql:1433" TargetFqdn = "sql-serv1.database.windows.net" SourceAddress = "10.0.0.0/24" } $rule = New-AzFirewallApplicationRule @sqlRule $sqlRuleCollection = @{ Name = "sqlRuleCollection" Priority = 1000 Rule = $rule ActionType = "Allow" } $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection $Azfw.ApplicationRuleCollections.Add($ruleCollection) Set-AzFirewall -AzureFirewall $AzFw
Konfigurálás az Azure Portal használatával
Azure Firewall üzembe helyezése az Azure CLI használatával.
Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.
Feljegyzés
Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.
Adja hozzá az alkalmazásszabályt a megfelelő protokollal, porttal és SQL FQDN-vel, majd válassza a Mentés lehetőséget.
Az SQL elérése egy virtuális hálózat virtuális gépéről, amely a tűzfalon keresztül szűri a forgalmat.
Ellenőrizze, hogy az Azure Firewall naplói engedélyezik-e a forgalmat.
Következő lépések
Az SQL-proxy- és átirányítási módokról az Azure SQL Database kapcsolati architektúrája című témakörben olvashat.