zoukankan      html  css  js  c++  java
  • Azure Firewall (1) Azure虚拟桌面结合Azure防火墙设置访问白名单

      《Windows Azure Platform 系列文章目录

      Azure Virtual Desktop在创建完毕后,用户通过Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通过浏览器访问任意资源。

      如果我们想限制AVD虚拟机可访问的网站地址,我们可以结合Azure Firewall来进行限制。

      实现原理说明:

      在Azure AVD虚拟网络所在的子网,设置路由,当AVD的虚拟机访问的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的内网IP地址,进行流量清洗

      1.首先我们准备一个虚拟网络

      -  subnet-1,创建Windows Server域控制器

      -  subnet-2,创建AVD虚拟机

      -  AzureFirewallSubnet,创建Azure防火墙

      2.创建Azure资源,如防火墙等,记录下Azure防火墙的内网IP地址 (172.0.2.4)。如下图:

      

      3.创建Azure路由表,与subnet-2关联(即AVD所在的虚拟网络子网)。如下图:

      

      4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火墙的内网IP地址 (172.0.2.4)

      

      5.配置Azure 防火墙的规则,具体请参考:

      https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop

      首先配置network rules

    NameSource typeSourceProtocolDestination portsDestination typeDestination
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 80 IP Address 169.254.169.254, 168.63.129.16
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP 443 Service Tag AzureCloud, WindowsVirtualDesktop
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip TCP, UDP 53 IP Address *
    Rule name IP Address AVD所在虚拟网络子网的subnet ip TCP 1688 IP address 23.102.135.246

      

      ==========================================我是分隔符=======================================

      ==========================================这里介绍配置Firewall白名单==========================

      6.我们假设只能访问*.baidu.com,具体的配置如下:

    NameSource typeSourceProtocolDestination typeDestination
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip Https:443 FQDN Tag WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService
    Rule Name IP Address AVD所在虚拟网络子网的subnet ip Http:80,Https:443 FQDN Tag *.baidu.com

      请注意上面的Action为Allow,具体截图如下:

      

     

      7.通过web portal访问avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html

      当我们在avd环境里,访问百度的子域名 (www.baidu.com 或者cloud.baidu.com)  都是允许的

       

       但是访问其他网站,比如qq.com, bing.com, sina.com等,都是拒绝访问的

      

     

      

      ==========================================我是分隔符=======================================

      ==========================================这里介绍配置Firewall黑名单==========================

      8.如果要设置黑名单的话,需要在Application Rule设置如下:

      -  Priority ID为200的优先生效,首先拒绝访问qq和baidu

      -  Priority ID为1000的其次生效,允许访问所有网站

      具体配置如下:

      

     

      9.我们在AVD环境里,验证效果如下。不能访问baidu和qq,但是可以访问其他网站

      

     

      

  • 相关阅读:
    Spring
    sikuli常用方法学习
    运行测试Caused by: java.lang.UnsatisfiedLinkError: no attach in java.library.path错误解决
    sikuli+java实例
    sikuli运行出现问题:Win32Util.dll: Can't load 32-bit .dll on a AMD 64 bit platform
    官网下载jdk
    java:jdk环境变量配置+tomcat环境变量配置
    Redis能干啥?细看11种Web应用场景
    计数场景的优化
    国内外三个领域巨头告诉你Redis怎么用
  • 原文地址:https://www.cnblogs.com/threestone/p/15625852.html
Copyright © 2011-2022 走看看