Megosztás a következőn keresztül:

Konfigurálhatja az Azure Firewall alkalmazásszabályait teljes SQL-tartománynevekkel

  • Cikk

Mostantól SQL FQDN-ekkel konfigurálhatja az Azure Firewall alkalmazásszabályait. Ez lehetővé teszi, hogy a virtuális hálózatokhoz való hozzáférést csak a megadott SQL Server-példányokra korlátozza.

Az SQL teljes tartományneveivel szűrheti a forgalmat:

  • A virtuális hálózatoktól az Azure SQL Database-hez vagy az Azure Synapse Analyticshez. Például: Csak a sql-server1.database.windows.net hozzáférésének engedélyezése.
  • Helyszíni hálózatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.
  • Küllős kapcsolatról a virtuális hálózaton futó felügyelt Azure SQL-példányra vagy SQL IaaS-re.

Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Ha az SQL-t az alapértelmezett átirányítási módban használja, a hálózati szabályok részeként szűrheti a hozzáférést az SQL szolgáltatáscímkével. Ha nem alapértelmezett portokat használ az SQL IaaS-forgalomhoz, ezeket a portokat a tűzfal alkalmazásszabályaiban állíthatja be.

Konfigurálás az Azure CLI használatával

  1. Azure Firewall üzembe helyezése az Azure CLI használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Konfigurálás az Azure PowerShell használatával

  1. Azure Firewall üzembe helyezése az Azure PowerShell használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Hozzon létre egy új szabálygyűjteményt egy alkalmazásszabálysal az SQL FQDN használatával az SQL Serverhez való hozzáférés engedélyezéséhez:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Konfigurálás az Azure Portal használatával

  1. Azure Firewall üzembe helyezése az Azure CLI használatával.

  2. Ha az Azure SQL Database, az Azure Synapse Analytics vagy a felügyelt SQL-példány felé szűri a forgalmat, győződjön meg arról, hogy az SQL-kapcsolati mód proxyra van állítva. Az SQL-kapcsolati mód váltásáról az Azure SQL csatlakozási beállításai című témakörben olvashat.

    Feljegyzés

    Az SQL-proxy mód nagyobb késést eredményezhet az átirányításhoz képest. Ha továbbra is átirányítási módot szeretne használni, amely az Azure-ban csatlakozó ügyfelek alapértelmezett módja, a tűzfal hálózati szabályaiban az SQL-szolgáltatás címkéje alapján szűrheti a hozzáférést.

  3. Adja hozzá az alkalmazásszabályt a megfelelő protokollal, porttal és SQL FQDN-vel, majd válassza a Mentés lehetőséget.

  4. Az SQL elérése egy virtuális hálózat virtuális gépéről, amely a tűzfalon keresztül szűri a forgalmat.

  5. Ellenőrizze, hogy az Azure Firewall naplói engedélyezik-e a forgalmat.

Következő lépések

Az SQL-proxy- és átirányítási módokról az Azure SQL Database kapcsolati architektúrája című témakörben olvashat.