使用 Azure 防火墙保护 Azure 虚拟桌面部署
若要防止 Azure 虚拟桌面环境中出现任何未经授权的网络流量,可以使用 Azure 防火墙限制网络流量。 本单元介绍 Azure 防火墙如何筛选此流量。
什么是 Azure 防火墙?
你应该记得,Azure 防火墙是一种基于云的安全服务,可保护 Azure 虚拟网络资源免受传入和传出威胁的影响。 Azure 防火墙在中心虚拟网络中进行预配。 进出辐射虚拟网络和本地网络的流量通过中心网络穿过防火墙。
默认情况下,防火墙会拒绝进出 Internet 的所有流量。 仅当流量通过各种测试(如配置的防火墙规则)时,才允许该流量。
Azure 防火墙不仅适用于进出 Internet 的流量,还适用于内部流量。 内部流量筛选包括本地网络和 Azure 虚拟网络之间的辐射型流量和混合云流量。
什么是 Azure 虚拟桌面?
Azure 虚拟桌面是在云中运行的桌面和应用虚拟化服务。 Azure 虚拟桌面可以在各种设备(如 Windows、Mac、iOS、Android 和 Linux)上工作,其中包含可用于访问远程桌面和应用的应用。 你还可以使用大多数新式浏览器访问 Azure 虚拟桌面托管的体验。
Azure 防火墙如何筛选 Azure 虚拟桌面的流量?
当最终用户连接到 Azure 虚拟桌面虚拟机时,该虚拟机便属于某个主机池。 主机池是 Azure 虚拟机 (VM) 的集合,它们作为会话主机注册到 Azure 虚拟桌面服务。 这些 VM 在 Azure 虚拟网络中运行,并受虚拟网络安全控制的约束。
要使 Azure 虚拟桌面正常工作,主机池需要对 Azure 虚拟桌面服务进行出站 Internet 访问。 主机池可能还需要为用户提供出站 Internet 访问。 你可以使用 Azure 防火墙来封锁环境,并筛选出站网络流量。
下图显示 Azure 防火墙如何筛选 Azure 虚拟桌面服务和主机池的流量:
下表解释了图中的标签:
| Label | 说明 |
|---|---|
| A | Azure 防火墙筛选主机池对 Azure 虚拟桌面服务的出站网络访问。 |
| B | 应用程序和网络防火墙规则以及威胁情报筛选来自主机池虚拟网络的用户出站访问。 |
| C | 从防火墙到本地的流量经过筛选。 Azure 防火墙还可以将用户流量发送到本地代理。 |