Azure Lei Zhang的博客

weibo: LeiZhang的微博/QQ: 185165016/QQ群:319036205/邮箱:leizhang1984@outlook.com/TeL:139-161-22926
  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
Azure Firewall (1) Azure虚拟桌面结合Azure防火墙设置访问白名单

  《Windows Azure Platform 系列文章目录

 

  Azure Virtual Desktop在创建完毕后,用户通过Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通过浏览器访问任意资源。

  如果我们想限制AVD虚拟机可访问的网站地址,我们可以结合Azure Firewall来进行限制。

 

  实现原理说明:

  在Azure AVD虚拟网络所在的子网,设置路由,当AVD的虚拟机访问的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的内网IP地址,进行流量清洗

 

  1.首先我们准备一个虚拟网络

  -  subnet-1,创建Windows Server域控制器

  -  subnet-2,创建AVD虚拟机

  -  AzureFirewallSubnet,创建Azure防火墙

 

  2.创建Azure资源,如防火墙等,记录下Azure防火墙的内网IP地址 (172.0.2.4)。如下图:

  

 

  3.创建Azure路由表,与subnet-2关联(即AVD所在的虚拟网络子网)。如下图:

  

 

  4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火墙的内网IP地址 (172.0.2.4)

  

 

  5.配置Azure 防火墙的规则,具体请参考:

  https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop

 

  首先配置network rules

NameSource typeSourceProtocolDestination portsDestination typeDestination
Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 80 IP Address 169.254.169.254, 168.63.129.16
Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 443 Service Tag AzureCloud, WindowsVirtualDesktop
Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP, UDP 53 IP Address *
Rule name IP Address AVD所在虚拟网络子网的subnet ip TCP 1688 IP address 23.102.135.246

  

 

  ==========================================我是分隔符=======================================

  ==========================================这里介绍配置Firewall白名单==========================

  6.我们假设只能访问*.baidu.com,具体的配置如下:

NameSource typeSourceProtocolDestination typeDestination
Rule Name IP Address AVD所在虚拟网络子网的subnet ip Https:443 FQDN Tag WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService
Rule Name IP Address AVD所在虚拟网络子网的subnet ip Http:80,Https:443 FQDN Tag *.baidu.com

  请注意上面的Action为Allow,具体截图如下:

 

  

 

 

  7.通过web portal访问avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html

  当我们在avd环境里,访问百度的子域名 (www.baidu.com 或者cloud.baidu.com)  都是允许的

   

   但是访问其他网站,比如qq.com, bing.com, sina.com等,都是拒绝访问的

  

 

  

  ==========================================我是分隔符=======================================

  ==========================================这里介绍配置Firewall黑名单==========================

  8.如果要设置黑名单的话,需要在Application Rule设置如下:

  -  Priority ID为200的优先生效,首先拒绝访问qq和baidu

  -  Priority ID为1000的其次生效,允许访问所有网站

  具体配置如下:

  

 

  9.我们在AVD环境里,验证效果如下。不能访问baidu和qq,但是可以访问其他网站

  

 

  

posted on 2021-11-30 19:57  Lei Zhang的博客  阅读(568)  评论(0编辑  收藏  举报