Разрешить исходящий сетевой доступ для Виртуального рабочего стола Azure
При планировании развертывания брандмауэра Azure для защиты рабочей нагрузки, такой как Виртуальный рабочий стол Azure, необходимо знать, какие правила следует развернуть, чтобы разрешить соответствующий сетевой трафик.
Из примера учетной фирмы помните, что у вас нет несанкционированного сетевого трафика в среде виртуального рабочего стола Azure. Вы хотите ограничить исходящий сетевой трафик для виртуального рабочего стола Azure с помощью брандмауэра Azure.
Для работы виртуального рабочего стола Azure пул узлов должен иметь исходящий доступ к Интернету к службе виртуального рабочего стола Azure. Пул узлов также может потребовать исходящего доступа к интернету для ваших пользователей.
Создание правил брандмауэра
Чтобы разрешить соответствующий сетевой трафик для виртуального рабочего стола Azure, необходимо создать правила брандмауэра приложений и сети. Необходимо разрешить исходящий сетевой доступ пула узлов к виртуальному рабочему столу Azure и вспомогательным службам. В зависимости от потребностей вашей организации может потребоваться включить безопасный исходящий доступ к Интернету для конечных пользователей.
Настройка правил приложения
Чтобы разрешить исходящий сетевой доступ пула узлов к Виртуальному рабочему столу Azure, создайте коллекцию правил приложения со следующими двумя правилами:
| Правило | Описание |
|---|---|
| Разрешить виртуальный рабочий стол Azure | Используйте тег FQDN WindowsVirtualDesktop , чтобы разрешить трафик из виртуальной сети пула узлов. |
| Разрешить хранилище и аккаунты служебной шины | Используйте целевые полные доменные имена, чтобы разрешить доступ из виртуальной сети пула узлов к набору учетных записей хранения и служебной шины, используемых пулом узлов. Используйте подстановочные FQDN для обеспечения необходимого доступа или, чтобы быть более строгим, добавьте точные FQDN. |
В следующей таблице показаны целевые параметры, которые можно использовать для создания правила, позволяющего хранить и учетные записи служебной шины:
| Опции | Полные доменные имена для использования |
|---|---|
| Подстановочный домен |
*xt.blob.core.windows.net, *eh.servicebus.windows.net |
| Точные полные доменные имена | Используйте следующий запрос Log Analytics в журналах Azure Monitor, чтобы получить список точных обязательных полных доменных имен, используемых пулом узлов. |
AzureDiagnostics
| where Category == "AzureFirewallApplicationRule"
| search "Deny"
| search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
| parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
| project TimeGenerated,Protocol,FQDN
При добавлении обоих правил коллекция правил будет выглядеть следующим образом:
Вы узнаете, как создать коллекцию правил приложения в следующем упражнении.
Настройка сетевых правил
Чтобы разрешить работу виртуального рабочего стола Azure, необходимо добавить правила брандмауэра Azure для DNS и службы активации Windows.
Создайте коллекцию правил сети и добавьте следующие правила:
| Правило | Описание |
|---|---|
| Разрешить DNS | Разрешить трафик с частного IP-адреса сервера домена Active Directory на * для портов TCP и UDP 53. Некоторые развертывания могут не нуждаться в правилах DNS. Например, доменные службы Microsoft Entra перенаправляют DNS-запросы в Azure DNS по адресу 168.63.129.16. |
| Разрешить KMS | Разрешите трафик с виртуальных машин Виртуального рабочего стола Azure на TCP-порт 1688 службы активации Windows. |
При добавлении обоих сетевых правил коллекция правил будет выглядеть следующим образом:
В следующем упражнении вы узнаете, как создать коллекцию правил сети.
Разрешить безопасный исходящий интернет-доступ для пользователей
Вам может потребоваться создать больше приложений брандмауэра Azure и сетевых правил, если вы хотите разрешить пользователям исходящий доступ к Интернету.
Если у вас есть четко определенный список разрешенных назначений (например, Microsoft 365), используйте приложение брандмауэра Azure и правила сети для маршрутизации трафика конечных пользователей непосредственно в назначения. Для получения информации о веб-службе IP-адресов и URL-адресов Office 365 см. раздел "Резюме" в этом модуле.
Может потребоваться отфильтровать исходящий интернет-трафик с помощью существующего локального веб-шлюза. Для этого можно настроить веб-браузеры или другие приложения, которые выполняются в пуле узлов Виртуального рабочего стола Azure с явной конфигурацией прокси-сервера. Например, можно использовать параметры командной строки Microsoft Edge для настройки параметров прокси-сервера. Эти параметры прокси-сервера влияют только на доступ к Интернету для пользователей и разрешают исходящий трафик службы виртуального рабочего стола Azure непосредственно через брандмауэр Azure. Дополнительные сведения см. в разделе "Сводка" этого модуля.