Konfigurace pravidel aplikace Azure Firewall s využitím plně kvalifikovaných názvů domén SQL

Teď můžete nakonfigurovat pravidla aplikací služby Azure Firewall pomocí plně kvalifikovaných názvů domén SQL. To vám umožní omezit přístup z virtuálních sítí jenom na zadané instance SQL Serveru.

S využitím plně kvalifikovaných názvů domén SQL můžete filtrovat provoz:

• Z virtuálních sítí do Azure SQL Database nebo Azure Synapse Analytics. Příklad: Povolit přístup pouze k sql-server1.database.windows.net.
• Z místního prostředí do služby Azure SQL Managed Instance nebo SQL IaaS ve vašich virtuálních sítích
• Z propojení mezi uzly do služby Azure SQL Managed Instance nebo SQL IaaS ve vašich virtuálních sítích

Filtrování plně kvalifikovaného názvu domény SQL se podporuje jenom v režimu proxy (port 1433). Pokud používáte SQL ve výchozím režimu přesměrování, můžete v rámci pravidel sítě filtrovat přístup pomocí značky služby SQL. Pokud pro provoz SQL IaaS používáte jiné než výchozí porty, můžete tyto porty nakonfigurovat v pravidlech aplikace brány firewall.

Konfigurace pomocí Azure CLI

1. Nasazení služby Azure Firewall pomocí Azure CLI

2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

   Poznámka:

   Režim proxy serveru SQL může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v Rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v pravidlech sítě brány firewall.

3. Vytvořte novou kolekci pravidel s pravidlem aplikace pomocí plně kvalifikovaného názvu domény SQL pro povolení přístupu k SQL Serveru:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \ 
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \ 
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Konfigurace pomocí Azure PowerShellu

1. Nasazení brány Azure Firewall pomocí Azure PowerShellu

2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

   Poznámka:

   Režim proxy serveru SQL může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v Rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v pravidlech sítě brány firewall.

3. Vytvořte novou kolekci pravidel s pravidlem aplikace pomocí plně kvalifikovaného názvu domény SQL pro povolení přístupu k SQL Serveru:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433" 
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection" 
      Priority   = 1000 
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
   Set-AzFirewall -AzureFirewall $AzFw    
   

Konfigurace prostřednictvím portálu Azure Portal

1. Nasazení služby Azure Firewall pomocí Azure CLI

2. Pokud filtrujete provoz do služby Azure SQL Database, Azure Synapse Analytics nebo sql Managed Instance, ujistěte se, že je režim připojení SQL nastavený na Proxy. Informace o tom, jak přepnout režim připojení SQL, najdete v tématu Nastavení připojení Azure SQL.

   Poznámka:

   Režim proxy serveru SQL může vést k vyšší latenci v porovnání s přesměrováním. Pokud chcete dál používat režim přesměrování, což je výchozí nastavení pro klienty připojující se v Rámci Azure, můžete filtrovat přístup pomocí značky služby SQL v pravidlech sítě brány firewall.

3. Přidejte pravidlo aplikace s odpovídajícím protokolem, portem a plně kvalifikovaným názvem domény SQL a pak vyberte Uložit.

4. Přístup k SQL z virtuálního počítače ve virtuální síti, který filtruje provoz přes bránu firewall.

5. Ověřte, že protokoly služby Azure Firewall ukazují, že je povolený provoz.

Další kroky

Další informace o režimech proxy serveru SQL a přesměrování najdete v tématu Architektura připojení ke službě Azure SQL Database.