使用 Azure 防火墙保护 Azure 虚拟桌面部署

Azure 虚拟桌面是在 Azure 上运行的云虚拟桌面基础结构 (VDI) 服务。 当最终用户连接到 Azure 虚拟桌面时,其会话来自于主机池中一个会话主机。 主机池是一组 Azure 虚拟机,这些虚拟机作为会话主机注册到 Azure 虚拟桌面。 这些虚拟机在虚拟网络中运行,并受虚拟网络安全控制的约束。 它们需要对 Azure 虚拟桌面服务的出站 Internet 访问权限才能正常运行,并且可能还需要最终用户的出站 Internet 访问权限。 Azure 防火墙可帮助锁定环境并筛选出站流量。

显示 Azure 防火墙体系结构与 Azure 虚拟桌面的关系图。

请参阅本文中的指南,使用 Azure 防火墙为 Azure 虚拟桌面主机池提供额外保护。

先决条件

  • 已部署的 Azure 虚拟桌面环境和主机池。 有关详细信息,请参阅 部署 Azure 虚拟桌面
  • 至少部署了一个防火墙管理器策略的 Azure 防火墙。
  • 防火墙策略中启用了 DNS 和 DNS 代理,以便在 网络规则中使用 FQDN

若要详细了解 Azure 虚拟桌面术语,请参阅 Azure 虚拟桌面术语

警告

如果使用默认路由将所有流量路由到 Azure 防火墙,则 Azure 虚拟桌面断开连接可能会在 Azure 防火墙横向扩展期间发生。 建议直接访问 Azure 虚拟桌面的网关和代理,以避免断开连接。 若要解决此问题,请将路由添加到应用于 Azure 虚拟桌面子网的路由表, 目标类型 设置为 服务标记目标服务 设置为 WindowsVirtualDesktop,下 一跃点 设置为 Internet

Azure 虚拟桌面主机池的出站访问

为 Azure 虚拟桌面创建的 Azure 虚拟机必须有权访问多个完全限定的域名(FQDN)才能正常运行。 Azure 防火墙使用 Azure 虚拟桌面 FQDN 标记 WindowsVirtualDesktop 以简化此配置。 需要创建 Azure 防火墙策略,并为网络规则和应用程序规则创建规则集合。 为规则集合设置优先级,并指定允许或拒绝操作。

重要

建议不要将 TLS 检查用于 Azure 虚拟桌面。 有关详细信息,请参阅 代理服务器指南

Azure 防火墙策略示例

使用在 https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD 上发布的模板,可以轻松地在单个 Azure 防火墙策略中部署上述所有强制和可选规则。 在部署到生产环境之前,我们建议查看定义的所有网络规则和应用程序规则,以确保与 Azure 虚拟桌面官方文档和安全要求保持一致。

主机池对 Internet 的出站访问权限

视组织的需求而定,你可能想要为最终用户启用安全的出站 Internet 访问。 如果允许的目标列表定义良好(例如,对于 Microsoft 365 访问),则可以使用 Azure 防火墙应用程序和网络规则来配置所需的访问。 这会将最终用户流量直接路由到 Internet,以获得最佳性能。 如果需要允许 Windows 365 或 Intune 的网络连接,请参阅适用于 Intune的 Windows 365 网络要求和网络终结点。

如果要使用现有的本地安全 Web 网关筛选出站用户 Internet 流量,可以使用显式代理配置来配置 Web 浏览器或 Azure 虚拟桌面主机池上运行的其他应用程序。 这些代理设置只影响最终用户的 Internet 访问,从而允许 Azure 虚拟桌面平台出站流量直接通过 Azure 防火墙。

控制用户对 Web 的访问

管理员可以允许或拒绝用户访问不同的网站类别。 将规则添加到应用程序集合中,可以从特定 IP 地址到要允许或拒绝的 Web 类别。 查看所有 Web 类别

后续步骤