İlke kural kümelerini Azure Güvenlik Duvarı

Güvenlik Duvarı İlkesi, Azure Güvenlik Duvarı için güvenlik ve işlem ayarlarını içeren üst düzey bir kaynaktır. Azure Güvenlik Duvarı'nin trafiği filtrelemek için kullandığı kural kümelerini yönetmek için Güvenlik Duvarı İlkesi'ni kullanabilirsiniz. Güvenlik duvarı ilkesi, aşağıdaki bileşenlere sahip bir hiyerarşiye göre kural kümelerini düzenler, önceliklerini belirler ve işler: kural koleksiyonu grupları, kural koleksiyonları ve kurallar.

Azure İlkesi kural kümesi hiyerarşisi

Kural koleksiyonu grupları

Kural koleksiyonu grubu, kural koleksiyonlarını gruplandırmak için kullanılır. Bunlar güvenlik duvarının işlediği ilk birimdir ve değerlere göre öncelik sırasına uyar. Üç varsayılan kural koleksiyonu grubu vardır ve bunların öncelik değerleri tasarım gereği önceden ayarlanmıştır. Bunlar aşağıdaki sırayla işlenir:

Kural koleksiyonu grup adı Öncelik
Varsayılan DNAT (Hedef Ağ Adresi Çevirisi) kural koleksiyon grubu 100
Varsayılan Ağ kuralı koleksiyon grubu 200
Varsayılan Uygulama kuralı koleksiyon grubu 300

Varsayılan kural koleksiyonu gruplarını silemiyor veya öncelik değerlerini değiştiremiyor olsanız da, bunların işleme sırasını farklı bir şekilde değiştirebilirsiniz. Varsayılan tasarımdan farklı bir öncelik sırası tanımlamanız gerekiyorsa, istediğiniz öncelik değerleriyle özel kural koleksiyonu grupları oluşturabilirsiniz. Bu senaryoda, varsayılan kural koleksiyonu gruplarını hiç kullanmaz ve işleme mantığını özelleştirmek için yalnızca oluşturduğunuz grupları kullanırsınız.

Kural koleksiyonu grupları DNAT, ağ veya uygulama türünde olabilecek bir veya birden çok kural koleksiyonu içerir. Örneğin, aynı iş yüklerine veya bir kural koleksiyonu grubundaki sanala ait kuralları gruplandırabilirsiniz.

Kural koleksiyonu grup boyutu sınırları için bkz . Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar.

Kural koleksiyonları

Kural koleksiyonu bir kural koleksiyonu grubuna aittir ve bir veya birden çok kural içerir. Güvenlik duvarı tarafından işlenen ikinci birimdir ve değerlere göre öncelik sırasına uyarlar. Kural koleksiyonları tanımlı bir eyleme (izin ver veya reddet) ve öncelik değerine sahip olmalıdır. Tanımlanan eylem, kural koleksiyonundaki tüm kurallar için geçerlidir. Öncelik değeri, kural koleksiyonlarının işlenme sırasını belirler.

Üç tür kural koleksiyonu vardır:

  • DNAT
  • Uygulama

Kural türleri, üst kural koleksiyonu kategorileriyle eşleşmelidir. Örneğin, BIR DNAT kuralı yalnızca BIR DNAT kural koleksiyonunun parçası olabilir.

Kurallar

Kural bir kural koleksiyonuna aittir ve ağınızda hangi trafiğe izin verilip reddedildiği belirtir. Bunlar güvenlik duvarının işlediği üçüncü birimdir ve değerlere göre öncelik sırasına uymaz. Kurallar için işleme mantığı yukarıdan aşağıya bir yaklaşım izler. Güvenlik duvarı, izin verme veya reddetme koşuluyla eşleşip eşleşmediğini belirlemek üzere güvenlik duvarından geçen tüm trafiği değerlendirmek için tanımlı kuralları kullanır. Trafiğe izin veren bir kural yoksa, trafik varsayılan olarak reddedilir.

Yerleşik altyapı kuralı koleksiyonumuz , uygulama kurallarını varsayılan olarak reddetmeden önce trafiği işler.

Gelen ve giden karşılaştırması

Gelen güvenlik duvarı kuralı, ağınızı ağınızın dışından gelen tehditlere (İnternet'ten gelen trafik) karşı korur ve ağınıza içe doğru sızmaya çalışır.

Giden güvenlik duvarı kuralı, dahili olarak (Azure içindeki özel bir IP adresinden gelen trafik) ve dışarı doğru giden kötü amaçlı trafiğe karşı koruma sağlar. Bu genellikle bir hedefe ulaşmadan önce Güvenlik Duvarı aracılığıyla yeniden yönlendirilen Azure kaynaklarının içinden gelen trafiktir.

Kural türleri

Üç kural türü mevcuttur:

  • DNAT
  • Uygulama

DNAT kuralları

DNAT kuralları, bir veya daha fazla güvenlik duvarı genel IP adresi üzerinden gelen trafiğe izin verir veya trafiği reddeder. Genel IP adresinin özel IP adresine çevrilmesini istediğinizde DNAT kuralı kullanabilirsiniz. Azure Güvenlik Duvarı genel IP adresleri, İnternet'ten gelen trafiği dinlemek, trafiği filtrelemek ve bu trafiği Azure'daki iç kaynaklara çevirmek için kullanılabilir.

Ağ kuralları

Ağ kuralları, ağ katmanına (L3) ve aktarım katmanına (L4) göre gelen, giden ve doğu-batı trafiğine izin verir veya reddeder.
Trafiği IP adreslerine, bağlantı noktalarına ve protokollere göre filtrelemek istediğinizde bir ağ kuralı kullanabilirsiniz.

Uygulama kuralları

Uygulama kuralları, uygulama katmanına (L7) göre giden ve doğu-batı trafiğine izin verir veya reddeder. Trafiği tam etki alanı adlarına (FQDN'ler), URL'lere ve HTTP/HTTPS protokollerine göre filtrelemek istediğinizde bir uygulama kuralı kullanabilirsiniz.

Sonraki adımlar