Delen via


Azure Firewall-toepassingsregels met SQL-FQDN's configureren

U kunt nu Azure Firewall-toepassingsregels configureren met SQL FQDN's. Hiermee kunt u de toegang van uw virtuele netwerken beperken tot alleen de opgegeven SQL Server-exemplaren.

Met SQL-FQDN's kunt u verkeer filteren:

  • Van uw VNets naar een Azure SQL Database of Azure Synapse Analytics. Bijvoorbeeld: Alleen toegang tot sql-server1.database.windows.net toestaan.
  • Van on-premises naar Azure SQL Managed Instances of SQL IaaS die in uw VNet's worden uitgevoerd.
  • Van spoke-to-spoke naar Azure SQL Managed Instances of SQL IaaS die in uw VNet's worden uitgevoerd.

Filteren op SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433). Als u SQL gebruikt in de standaardomleidingsmodus, kunt u de toegang filteren met behulp van de SQL-servicetag als onderdeel van netwerkregels. Als u niet-standaardpoorten gebruikt voor SQL IaaS-verkeer, kunt u die poorten configureren in de toepassingsregels van de firewall.

Configureren met behulp van Azure CLI

  1. Implementeer een Azure Firewall met behulp van Azure CLI.

  2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

    Notitie

    De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

  3. Maak een nieuwe regelverzameling met een toepassingsregel met behulp van SQL FQDN om toegang tot een SQL-server toe te staan:

     az extension add -n azure-firewall
    
     az network firewall application-rule create \ 
         --resource-group Test-FW-RG \
         --firewall-name Test-FW01 \ 
         --collection-name sqlRuleCollection \
         --priority 1000 \
         --action Allow \
         --name sqlRule \
         --protocols mssql=1433 \
         --source-addresses 10.0.0.0/24 \
         --target-fqdns sql-serv1.database.windows.net
    

Configureren met Behulp van Azure PowerShell

  1. Implementeer een Azure Firewall met behulp van Azure PowerShell.

  2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

    Notitie

    De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

  3. Maak een nieuwe regelverzameling met een toepassingsregel met behulp van SQL FQDN om toegang tot een SQL-server toe te staan:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
    
    $sqlRule = @{
       Name          = "sqlRule"
       Protocol      = "mssql:1433" 
       TargetFqdn    = "sql-serv1.database.windows.net"
       SourceAddress = "10.0.0.0/24"
    }
    
    $rule = New-AzFirewallApplicationRule @sqlRule
    
    $sqlRuleCollection = @{
       Name       = "sqlRuleCollection" 
       Priority   = 1000 
       Rule       = $rule
       ActionType = "Allow"
    }
    
    $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
    
    $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
    Set-AzFirewall -AzureFirewall $AzFw    
    

Configureren met behulp van Azure Portal

  1. Implementeer een Azure Firewall met behulp van Azure CLI.

  2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, controleert u of de SQL-connectiviteitsmodus is ingesteld op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

    Notitie

    De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

  3. Voeg de toepassingsregel toe met het juiste protocol, de juiste poort en de SQL-FQDN en selecteer Opslaan.

  4. Toegang krijgen tot SQL vanaf een virtuele machine in een VNet waarmee het verkeer via de firewall wordt gefilterd.

  5. Controleer of azure Firewall-logboeken aangeven dat het verkeer is toegestaan.

Volgende stappen

Zie de connectiviteitsarchitectuur van Azure SQL Database voor meer informatie over sql-proxy- en omleidingsmodi.