Как запретить порту 1433 доступ к виртуальной машине SQL Server при разрешении запроса SQL из интегрированного веб-приложения

Я интегрировал Azure WebApp с виртуальной машиной SQL Server, чтобы они могли обмениваться данными через Vnet вместо общедоступного Интернета.

Я отказался от всех TCP-портов 80 для поступлений по соображениям безопасности. Я вижу, что сообщения http успешно достигают от WebApp до VM.

Однако, когда я запрещаю все TCP-порт 1433 для поступления, запросы SQL перестают достигать от веб-приложения до виртуальной машины SQL Server. Я ожидал, что интегрированная VNet справится с этим. Виртуальная машина SQL Server имеет параметры подключения к SQL как частные (внутри виртуальной сети). Если я оставлю 1433 открытым, я смогу получить доступ из своего рабочего стола Excel к базе данных SQL Server, что в данном случае представляет угрозу безопасности.

Как решить?