Konfigurieren von Azure Firewall-Anwendungsregeln mit SQL-FQDNs

Sie können Azure Firewall-Anwendungsregeln mit SQL-FQDNs konfigurieren. Diese Konfiguration beschränkt den Zugriff von Ihren virtuellen Netzwerken auf nur die angegebenen SQL Server-Instanzen.

Mithilfe von SQL-FQDNs können Sie Datenverkehr filtern:

• Von Ihren virtuellen Netzwerken über eine Azure SQL-Datenbank oder Azure Synapse Analytics. Beispiel: Nur Zugriff auf sql-server1.database.windows.NET zulassen.
• Von lokalen Umgebungen zu Azure SQL Managed Instances oder SQL IaaS, die in Ihren virtuellen Netzwerken ausgeführt werden.
• Von Spoke-zu-Spoke zu verwalteten Azure SQL-Instanzen oder SQL-IaaS in Ihren virtuellen Netzwerken.

Die SQL-FQDN-Filterung wird nur im Proxymodus unterstützt (Port 1433). Wenn Sie SQL im Standardumleitungsmodus verwenden, können Sie den Zugriff mithilfe des SQL-Diensttags als Teil von Netzwerkregeln filtern. Wenn Sie nicht standardmäßige Ports für SQL-IaaS-Datenverkehr verwenden, können Sie diese Ports in den Firewallanwendungsregeln konfigurieren.

Konfigurieren mithilfe der Azure CLI

1. Stellen Sie eine Azure Firewall-Instanz unter Verwendung der Azure-Befehlszeilenschnittstelle bereit.

2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder sql Managed Instance filtern, legen Sie den SQL-Verbindungsmodus auf Proxy fest. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

   Hinweis

   Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie den Umleitungsmodus weiterhin verwenden möchten. Dies ist die Standardeinstellung für Clients, die in Azure verbunden sind, können Sie den Zugriff mithilfe des SQL-Diensttags in Firewallnetzwerkregeln filtern.

3. Erstellen Sie eine neue Regelauflistung mit einer Anwendungsregel, die SQL-FQDN verwendet, um den Zugriff auf einen SQL-Server zu ermöglichen:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Konfigurieren mithilfe von Azure PowerShell

1. Stellen Sie eine Azure Firewall-Instanz unter Verwendung von Azure PowerShell bereit.

2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder sql Managed Instance filtern, legen Sie den SQL-Verbindungsmodus auf Proxy fest. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

   Hinweis

   Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie den Umleitungsmodus weiterhin verwenden möchten. Dies ist die Standardeinstellung für Clients, die in Azure verbunden sind, können Sie den Zugriff mithilfe des SQL-Diensttags in Firewallnetzwerkregeln filtern.

3. Erstellen Sie eine neue Regelauflistung mit einer Anwendungsregel, die SQL-FQDN verwendet, um den Zugriff auf einen SQL-Server zu ermöglichen:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433"
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection"
      Priority   = 1000
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)
   Set-AzFirewall -AzureFirewall $AzFw
   

Konfigurieren mithilfe des Azure-Portals

1. Stellen Sie eine Azure-Firewall mithilfe des Azure-Portals bereit.

2. Wenn Sie Datenverkehr zu Azure SQL-Datenbank, Azure Synapse Analytics oder sql Managed Instance filtern, legen Sie den SQL-Verbindungsmodus auf Proxy fest. Informationen zum Ändern des SQL-Konnektivitätsmodus finden Sie unter Azure SQL-Konnektivitätseinstellungen.

   Hinweis

   Im SQL-Modus Proxy kommt es unter Umständen zu längeren Wartezeiten als im Modus Umleiten. Wenn Sie den Umleitungsmodus weiterhin verwenden möchten. Dies ist die Standardeinstellung für Clients, die in Azure verbunden sind, können Sie den Zugriff mithilfe des SQL-Diensttags in Firewallnetzwerkregeln filtern.

3. Fügen Sie die Anwendungsregel mit dem entsprechenden Protokoll, Port und SQL-FQDN hinzu, und wählen Sie dann "Speichern" aus.

4. Greifen Sie von einem virtuellen Computer in einem virtuellen Netzwerk auf SQL zu, der den Datenverkehr über die Firewall filtert.

5. Vergewissern Sie sich anhand von Azure Firewall-Protokollen, dass der Datenverkehr zugelassen wird.

Nächste Schritte

Informationen zu den SQL-Modi „Proxy“ und „Umleiten“ finden Sie unter Verbindungsarchitektur von Azure SQL.