你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 防火墙保护 Azure 虚拟桌面部署

Azure 虚拟桌面是在 Azure 上运行的云虚拟桌面基础结构 (VDI) 服务。 当最终用户连接到 Azure 虚拟桌面时,其会话来自主机池中的会话主机。 主机池是注册到 Azure 虚拟桌面作为会话主机的 Azure 虚拟机的集合。 这些虚拟机在虚拟网络中运行,并受虚拟网络安全控制的限制。 它们需要对 Azure 虚拟桌面服务的出站 Internet 访问权限才能正常运行,并且可能还需要最终用户的出站 Internet 访问权限。 Azure 防火墙可以帮助你锁定环境并筛选出站流量。

显示将 Azure 防火墙与 Azure 虚拟桌面配合使用的体系结构的示意图。

请参阅本文中的指南,使用 Azure 防火墙为 Azure 虚拟桌面主机池提供额外保护。

先决条件

  • 已部署的 Azure 虚拟桌面环境和主机池。 有关详细信息,请参阅部署 Azure 虚拟桌面
  • 至少部署了一个防火墙管理器策略的 Azure 防火墙。
  • 在防火墙策略中启用了 DNS 和 DNS 代理以使用网络规则中的 FQDN

若要了解有关 Azure 虚拟桌面术语的更多信息,请参阅 Azure 虚拟桌面术语

主机池对 Azure 虚拟桌面的出站访问权限

为 Azure 虚拟桌面创建的 Azure 虚拟机必须有权访问多个完全限定的域名 (FQDN) 才能正常工作。 Azure 防火墙使用 Azure 虚拟桌面 FQDN 标记 WindowsVirtualDesktop 以简化此配置。 需要创建 Azure 防火墙策略,并为网络规则和应用程序规则创建规则集合。 为规则集合设置优先级,并指定允许或拒绝操作。

需要为每个所需的 FQDN 和终结点创建规则。 可在 Azure 虚拟桌面所需的 FQDN 和终结点获取该列表。 若要将特定主机池标识为“源”,可以创建一个 IP 组,其中包含每个会话主机来代表它。

重要

建议不要将 TLS 检查用于 Azure 虚拟桌面。 有关详细信息,请参阅代理服务器准则

Azure 防火墙策略示例

使用在 https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD 上发布的模板,可以轻松地在单个 Azure 防火墙策略中部署上述所有强制和可选规则。 在部署到生产环境之前,我们建议查看定义的所有网络规则和应用程序规则,以确保与 Azure 虚拟桌面官方文档和安全要求保持一致。

主机池对 Internet 的出站访问

视组织的需求而定,你可能想要为最终用户启用安全的出站 Internet 访问。 如果允许的目标列表定义完善(例如 Microsoft 365 访问),可以使用 Azure 防火墙应用程序和网络规则来配置所需的访问权限。 这会将最终用户流量直接路由到 Internet,以获得最佳性能。 如果需要允许 Windows 365 或 Intune 的网络连接,请参阅 Windows 365 的网络要求Intune 的网络终结点

如果要使用现有的本地安全 Web 网关筛选出站用户 Internet 流量,可以使用显式代理配置来配置 Web 浏览器或 Azure 虚拟桌面主机池上运行的其他应用程序。 例如,请参阅如何使用 Microsoft Edge 命令行选项配置代理设置。 这些代理设置只影响最终用户的 Internet 访问,从而允许 Azure 虚拟桌面平台出站流量直接通过 Azure 防火墙。

控制用户对 Web 的访问

管理员可以允许或拒绝用户访问不同的网站类别。 将规则添加到应用程序集合中,可以从特定 IP 地址到要允许或拒绝的 Web 类别。 查看所有 Web 类别

下一步