使用 Azure 防火牆來保護 Azure 虛擬桌面部署
若要避免 Azure 虛擬桌面環境中出現任何未經授權的網路流量,您可以使用 Azure 防火牆來限制網路流量。 在此單元中,您將了解 Azure 防火牆如何篩選此流量。
Azure 防火牆是什麼?
回想一下,Azure 防火牆是一種雲端式安全性服務,可保護 Azure 虛擬網路資源免於遭受傳入和傳出威脅。 Azure 防火牆佈建於中樞虛擬網路內。 進出輪輻虛擬網路和內部部署網路的流量,在中樞網路內周遊防火牆。
預設拒絕所有進出網際網路的流量。 流量必須通過各種測試 (例如已設定的防火牆規則),才會獲得允許。
Azure 防火牆不僅適用於進出網際網路的流量,也適用於內部。 內部流量篩選包括您的內部部署網路與 Azure 虛擬網路之間的輪輻對輪輻流量與混合式雲端流量。
什麼是 Azure 虛擬桌面?
Azure 虛擬桌面是在雲端執行的桌面和應用程式虛擬化服務。 Azure 虛擬桌面適用於各種裝置 (例如 Windows、Mac、iOS、Android 以及 Linux),並搭配應用程式來用於存取遠端桌面和應用程式。 您也可以使用大部分的新式瀏覽器,獲得託管於 Azure 虛擬桌面的體驗。
Azure 防火牆如何篩選 Azure 虛擬桌面的流量?
當終端使用者連線到 Azure 虛擬桌面的虛擬機器時,該虛擬機器就屬於主機集區。 主機集區是一組向 Azure 虛擬桌面服務註冊為工作階段主機的 Azure 虛擬機器 (VM)。 這些 VM 在 Azure 虛擬網路中執行,並受制於虛擬網路安全性控制。
為了讓 Azure 虛擬桌面正常運作,主機集區需要對 Azure 虛擬桌面服務進行輸出網際網路存取。 主機集區也可能需要使用者的輸出網際網路存取權。 您可以使用 Azure 防火牆來鎖定環境,並篩選輸出網路流量。
下圖顯示 Azure 防火牆 如何篩選 Azure 虛擬桌面服務和主機集區的流量:
下表說明圖中的標籤:
| Label | 描述 |
|---|---|
| A | Azure 防火牆 篩選主機集區的輸出網路存取 Azure 虛擬桌面服務。 |
| B | 應用程式和網路防火牆規則和威脅情報會篩選來自主機集區虛擬網路的用戶輸出存取。 |
| C | 從防火牆到內部部署環境的流量會進行篩選。 Azure 防火牆也可以將使用者流量傳送至內部部署 Proxy。 |