Упражнение. Защита сети

  • 10 мин

В этом упражнении вы узнаете, как просматривать правила брандмауэра и управлять ими через портал Azure. Вы также узнаете, как настроить максимально безопасное соединение через общедоступную конечную точку.

Откройте портал Azure с помощью следующей кнопки, если вы еще этого не сделали.

Портал Azure

Защита сети

При развертывании базы данных в База данных SQL Azure скрипт, который вы запустили, разрешите службам и ресурсам Azure доступ к этому серверу, что позволяет любому ресурсу из любого региона или подписки получить доступ к ресурсу. Важно снять флажок параметра, чтобы обеспечить наиболее безопасную конфигурацию общедоступной конечной точки. Если параметр Разрешить доступ к службам и ресурсам Azure к этому серверу снят, он блокирует все подключения и сети, отличные от добавленных.

В этом упражнении вы узнаете, как просматривать и изменять правила брандмауэра. Настройка правил может быть затруднена, поскольку для этого нужно указать диапазон IP-адресов для всех подключений, которые иногда могут иметь динамические IP-адреса. Альтернативные методы защиты сети показаны в демонстрационном видео после упражнения.

Управление правилами брандмауэра на портале Azure

  1. В меню ресурсов портал Azure выберите базы данных SQL, а затем выберите База данных SQL Azure (AdventureWorks).

  2. На панели команд вашей базы данных SQL выберите Настройка брандмауэра для сервера.

    Снимок экрана: переход к брандмауэрам и виртуальным сетям.

  3. Чтобы разрешить службам и ресурсам Azure доступ к этому серверу, снимите флажок рядом с параметром.

  4. Система должна добавить IP-адрес клиента компьютера во время развертывания, но если ни одно из правил не соответствует IP-адресу клиента, добавьте IP-адрес под именем правила, чтобы включить вход из SQL Server Management Studio (SSMS).

  5. Выберите Сохранить, чтобы сохранить изменения. В меню базы данных SQL выберите "Обзор" , чтобы вернуться на страницу обзора.

  6. Чтобы убедиться, что у вас по-прежнему есть доступ с локального компьютера, перейдите к SSMS. Щелкните правой кнопкой мыши базу данных в обозреватель объектов и выберите "Обновить", чтобы обновить подключение к логическому серверу База данных SQL Azure. Если ошибка не возникает, вы успешно настроили безопасный доступ к База данных SQL Azure логическому серверу для IP-адреса.

    Снимок экрана: обновление подключения к базе данных.

  7. Кроме того, можно узнать, как SSMS подключается к экземпляру База данных SQL Azure, выполнив этот код из нового запроса в SSMS:

    SELECT client_net_address FROM sys.dm_exec_connections WHERE session_id=@@SPID;

    Вы должны получить общедоступный IP-адрес локального компьютера. Вы можете проверить свой IP-адрес, выполнив следующую команду на локальном экземпляре PowerShell (а не Azure Cloud Shell):

    (Invoke-WebRequest -UseBasicParsing -Uri "https://ipinfo.io/ip").Content

    Аналогичным образом вы нашли IP-адрес в начале модуля. Этот запрос должен вернуть тот же IP-адрес.

Управление правилами брандмауэра с помощью Azure Cloud Shell

Для создания, удаления и просмотра правил брандмауэра на уровне сервера можно также использовать команду Azure CLI az sql server firewall-rule. Azure CLI можно использовать через интерфейс командной строки на виртуальной машине Azure или через записную книжку PowerShell. В этом упражнении мы поэкспериментируем с Cloud Shell. Открыть Cloud Shell можно через портал Azure, но сейчас воспользуйтесь встроенным терминалом песочницы справа, который, по сути, работает так же.

  1. Чтобы настроить среду, выполните следующую команду:

    $database_name = "AdventureWorks"
$server = Get-AzureRmSqlServer -ResourceGroupName <rgn>[sandbox resource group name]</rgn>
$logical_server = $server.ServerName

  2. Выполните следующую команду, чтобы вывести список параметров брандмауэра сервера:

    az sql server firewall-rule list -g <rgn>[sandbox resource group name]</rgn> -s $logical_server

    Выходные данные должны быть объектом JSON для каждого правила правила брандмауэрав меню "Сеть" логического сервера SQL Azure в портал Azure.

Настройка правил брандмауэра на уровне сервера с помощью портала Azure или Cloud Shell предоставляет IP-адресу клиента доступ ко всем базам данных логического сервера. Можно настроить правила брандмауэра на уровне базы данных, которые будут применяться к отдельным базам данных, с помощью команды T-SQL EXECUTE sp_set_database_firewall_rule в SSMS. T-SQL — единственный метод, доступный для настройки правил брандмауэра для конкретной базы данных. Дополнительные сведения см. в справочных материалах в конце этого модуля.

Далее

Теперь вы узнали, как обновить правила брандмауэра для определенных IP-адресов или диапазонов IP-адресов на сервере и на уровне базы данных. Для работы в рабочей среде вам также может потребоваться доступ из различных виртуальных сетей или ресурсов, например приложений Azure или виртуальных машин Azure. Виртуальные машины Azure имеют динамические IP-адреса, то есть адреса меняются. Можно настроить статические IP-адреса, но даже в этом случае настройка правил брандмауэра будет затруднена. Еще один возможный вариант — использовать правила виртуальной сети для управления доступом из определенных подсетей, в которых находятся ваши виртуальные машины или другие службы. Вы также можете настроить частную конечную точку, наиболее безопасный способ подключения к База данных SQL Azure логическому серверу.

Вы также можете задать минимальную версию TLS, разрешенную из клиентских подключений к логическому серверу, с помощью меню "Сеть " и перейти на вкладку "Подключение " логического сервера SQL Azure.

В этом видео вы узнаете, как создавать, настраивать и сравнивать различные методы подключения к базе данных в База данных SQL Azure:

  • Разрешения доступа к ресурсам Azure
  • Правила брандмауэра
  • Правила виртуальной сети
  • Частная конечная точка