碼上快樂

相關內容    簡體    繁體

Azure Firewall (1) Azure虛擬桌面結合Azure防火牆設置訪問白名單

本文轉載自   查看原文   2021-11-30 19:57   164    Azure Firewall

  《Windows Azure Platform 系列文章目錄

 

  Azure Virtual Desktop在創建完畢后,用戶通過Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通過瀏覽器訪問任意資源。

  如果我們想限制AVD虛擬機可訪問的網站地址,我們可以結合Azure Firewall來進行限制。

 

  實現原理說明:

  在Azure AVD虛擬網絡所在的子網,設置路由,當AVD的虛擬機訪問的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的內網IP地址,進行流量清洗

 

  1.首先我們准備一個虛擬網絡

  -  subnet-1,創建Windows Server域控制器

  -  subnet-2,創建AVD虛擬機

  -  AzureFirewallSubnet,創建Azure防火牆

 

  2.創建Azure資源,如防火牆等,記錄下Azure防火牆的內網IP地址 (172.0.2.4)。如下圖:

  

 

  3.創建Azure路由表,與subnet-2關聯(即AVD所在的虛擬網絡子網)。如下圖:

  

 

  4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火牆的內網IP地址 (172.0.2.4)

  

 

  5.配置Azure 防火牆的規則,具體請參考:

  https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop

 

  首先配置network rules

Name Source type Source Protocol Destination ports Destination type Destination
Rule Name IP Address AVD所在虛擬網絡子網的subnet ip TCP 80 IP Address 169.254.169.254, 168.63.129.16
Rule Name IP Address AVD所在虛擬網絡子網的subnet ip TCP 443 Service Tag AzureCloud, WindowsVirtualDesktop
Rule Name IP Address AVD所在虛擬網絡子網的subnet ip TCP, UDP 53 IP Address *
Rule name IP Address AVD所在虛擬網絡子網的subnet ip TCP 1688 IP address 23.102.135.246

  

 

  ==========================================我是分隔符=======================================

  ==========================================這里介紹配置Firewall白名單==========================

  6.我們假設只能訪問*.baidu.com,具體的配置如下:

Name Source type Source Protocol Destination type Destination
Rule Name IP Address AVD所在虛擬網絡子網的subnet ip Https:443 FQDN Tag WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService
Rule Name IP Address AVD所在虛擬網絡子網的subnet ip Http:80,Https:443 FQDN Tag *.baidu.com

  請注意上面的Action為Allow,具體截圖如下:

 

  

 

 

  7.通過web portal訪問avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html

  當我們在avd環境里,訪問百度的子域名 (www.baidu.com 或者cloud.baidu.com)  都是允許的

   

   但是訪問其他網站,比如qq.com, bing.com, sina.com等,都是拒絕訪問的

  

 

  

  ==========================================我是分隔符=======================================

  ==========================================這里介紹配置Firewall黑名單==========================

  8.如果要設置黑名單的話,需要在Application Rule設置如下:

  -  Priority ID為200的優先生效,首先拒絕訪問qq和baidu

  -  Priority ID為1000的其次生效,允許訪問所有網站

  具體配置如下:

  

 

  9.我們在AVD環境里,驗證效果如下。不能訪問baidu和qq,但是可以訪問其他網站

  

 

  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Linux將端口設置進防火牆的白名單 Centos防火牆添加IP白名單 centos 7 防火牆配置和白名單問題 嵌入式Linux可用的防火牆——iptables:實現ip白名單、mac地址白名單 firewall的規則設置與命令(白名單設置) CentOS 開啟防火牆 firewall ,mysql 遠程訪問 iptables和firewall防火牆 服務器設置 白名單 CentOS 7 端口白名單設置 iOS白名單設置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM