• Azure Firewall (1) Azure虚拟桌面结合Azure防火墙设置访问白名单

      《Windows Azure Platform 系列文章目录

      Azure Virtual Desktop在创建完毕后,用户通过Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通过浏览器访问任意资源。

      如果我们想限制AVD虚拟机可访问的网站地址,我们可以结合Azure Firewall来进行限制。

      实现原理说明:

      在Azure AVD虚拟网络所在的子网,设置路由,当AVD的虚拟机访问的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的内网IP地址,进行流量清洗

      1.首先我们准备一个虚拟网络

      -  subnet-1,创建Windows Server域控制器

      -  subnet-2,创建AVD虚拟机

      -  AzureFirewallSubnet,创建Azure防火墙

      2.创建Azure资源,如防火墙等,记录下Azure防火墙的内网IP地址 (172.0.2.4)。如下图:

      

      3.创建Azure路由表,与subnet-2关联(即AVD所在的虚拟网络子网)。如下图:

      

      4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火墙的内网IP地址 (172.0.2.4)

      

      5.配置Azure 防火墙的规则,具体请参考:

      https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop

      首先配置network rules

    NameSource typeSourceProtocolDestination portsDestination typeDestination
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 80 IP Address 169.254.169.254, 168.63.129.16
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 443 Service Tag AzureCloud, WindowsVirtualDesktop
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP, UDP 53 IP Address *
    Rule name IP Address AVD所在虚拟网络子网的subnet ip TCP 1688 IP address 23.102.135.246

      

      ==========================================我是分隔符=======================================

      ==========================================这里介绍配置Firewall白名单==========================

      6.我们假设只能访问*.baidu.com,具体的配置如下:

    NameSource typeSourceProtocolDestination typeDestination
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip Https:443 FQDN Tag WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip Http:80,Https:443 FQDN Tag *.baidu.com

      请注意上面的Action为Allow,具体截图如下:

      

     

      7.通过web portal访问avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html

      当我们在avd环境里,访问百度的子域名 (www.baidu.com 或者cloud.baidu.com)  都是允许的

       

       但是访问其他网站,比如qq.com, bing.com, sina.com等,都是拒绝访问的

      

     

      

      ==========================================我是分隔符=======================================

      ==========================================这里介绍配置Firewall黑名单==========================

      8.如果要设置黑名单的话,需要在Application Rule设置如下:

      -  Priority ID为200的优先生效,首先拒绝访问qq和baidu

      -  Priority ID为1000的其次生效,允许访问所有网站

      具体配置如下:

      

     

      9.我们在AVD环境里,验证效果如下。不能访问baidu和qq,但是可以访问其他网站

      

     

      
  • 相关阅读:
    redis 1 简单介绍和存储的数据结构
    mysql 14 覆盖索引+回表
    mysql 13 B+tree中存储数据的格式 页
    java Arrays.asList() 数组转集合
    java 迭代器
    mysql 12 SQL优化策略
    mysql 11 执行计划
    mysql 10 索引面试题分享
    搭建一个开源项目2-打造另一个环境以及解决上期问题
    搭建一个开源项目1-如何搭建Linux虚拟机
  • 原文地址:https://www.cnblogs.com/threestone/p/15625852.html
Copyright © 2020-2023  润新知