Megosztás a következőn keresztül:


Konfigurálhatja az Azure Firewall alkalmazásszabályait teljes SQL-tartománynevekkel

Mostantól SQL FQDN-ekkel konfigurálhatja az Azure Firewall alkalmazásszabályait. Ez lehetővé teszi, hogy a virtuális hálózatokhoz való hozzáférést csak a megadott SQL Server-példányokra korlátozza.

Az SQL teljes tartományneveivel szűrheti a forgalmat:

  • A virtuális hálózatoktól az Azure SQL Database-hez vagy az Azure Synapse Analyticshez. Például: Csak a sql-server1.database.windows.net hozzáférésének engedélyezése.
  • Helyszíni hálózatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.
  • Küllős kapcsolatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.

Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Ha az SQL-t az alapértelmezett átirányítási módban használja, a hálózati szabályok részeként szűrheti a hozzáférést az SQL szolgáltatáscímkével. Ha nem alapértelmezett portokat használ az SQL IaaS-forgalomhoz, ezeket a portokat a tűzfal alkalmazásszabályaiban állíthatja be.

Konfigurálás az Azure CLI használatával

  1. Azure Firewall üzembe helyezése az Azure CLI használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

     az extension add -n azure-firewall
    
     az network firewall application-rule create \ 
         --resource-group Test-FW-RG \
         --firewall-name Test-FW01 \ 
         --collection-name sqlRuleCollection \
         --priority 1000 \
         --action Allow \
         --name sqlRule \
         --protocols mssql=1433 \
         --source-addresses 10.0.0.0/24 \
         --target-fqdns sql-serv1.database.windows.net
    

Konfigurálás az Azure PowerShell használatával

  1. Azure Firewall üzembe helyezése az Azure PowerShell használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
    
    $sqlRule = @{
       Name          = "sqlRule"
       Protocol      = "mssql:1433" 
       TargetFqdn    = "sql-serv1.database.windows.net"
       SourceAddress = "10.0.0.0/24"
    }
    
    $rule = New-AzFirewallApplicationRule @sqlRule
    
    $sqlRuleCollection = @{
       Name       = "sqlRuleCollection" 
       Priority   = 1000 
       Rule       = $rule
       ActionType = "Allow"
    }
    
    $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
    
    $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
    Set-AzFirewall -AzureFirewall $AzFw    
    

Konfigurálás az Azure Portal használatával

  1. Azure Firewall üzembe helyezése az Azure CLI használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Adja hozzá az alkalmazásszabályt a megfelelő protokollal, porttal és SQL FQDN-vel, majd válassza a Mentés lehetőséget.

  4. Az SQL elérése egy virtuális hálózat virtuális gépéről, amely a tűzfalon keresztül szűri a forgalmat.

  5. Ellenőrizze, hogy az Azure Firewall naplói engedélyezik-e a forgalmat.

Következő lépések

Az SQL-proxy- és átirányítási módokról az Azure SQL Database kapcsolati architektúrája című témakörben olvashat.