Azure portalı kullanarak Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma
Giden ağ erişimini denetleme, genel ağ güvenlik planının önemli bir parçasıdır. Örneğin, web sitelerine erişimi sınırlamak isteyebilirsiniz. Alternatif olarak, erişilebilen giden IP adreslerini ve bağlantı noktalarını sınırlamak da isteyebilirsiniz.
Azure Güvenlik Duvarı, Azure alt ağından giden ağ erişimini denetlemenin bir yoludur. Azure Güvenlik Duvarı ile şunları yapılandırabilirsiniz:
- Bir alt ağdan erişilebilen tam etki alanı adlarını (FQDN) tanımlayan uygulama kuralları.
- Kaynak adres, protokol, hedef bağlantı noktası ve hedef adresini tanımlayan ağ kuralları.
Ağ trafiğinizi güvenlik duvarından alt ağın varsayılan ağ geçidi olarak yönlendirdiğinizde ağ trafiği yapılandırılan güvenlik duvarı kurallarına tabi tutulur.
Bu makalede, kolay dağıtım için iki alt ağa sahip basitleştirilmiş bir tek sanal ağ oluşturursunuz.
Üretim dağıtımları için güvenlik duvarının kendi sanal ağında olduğu bir merkez-uç modeli önerilir. İş yükü sunucuları, bir veya daha fazla alt ağa sahip aynı bölgedeki eşlenmiş sanal ağlarda yer alır.
- AzureFirewallSubnet - güvenlik duvarı bu alt ağdadır.
- Workload-SN: İş yükü sunucusu bu alt ağda yer alır. Bu alt ağın ağ trafiği güvenlik duvarından geçer.
Bu makalede şunları öğreneceksiniz:
- Test amaçlı ağ ortamı oluşturma
- Güvenlik duvarı dağıtma
- Varsayılan rota oluşturma
- Uygulama kuralını www.google.com erişime izin verecek şekilde yapılandırma
- Dış DNS sunucularına erişime izin vermek için ağ kuralı yapılandırma
- Test sunucusuna uzak masaüstüne izin vermek için NAT kuralı yapılandırma
- Güvenlik duvarını test etme
Not
Bu makalede, güvenlik duvarını yönetmek için klasik Güvenlik Duvarı kuralları kullanılır. Tercih edilen yöntem Güvenlik Duvarı İlkesi'ni kullanmaktır. Güvenlik Duvarı İlkesi'ni kullanarak bu yordamı tamamlamak için bkz. Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ve ilkeyi dağıtma ve yapılandırma
İsterseniz Azure PowerShell kullanarak bu yordamı tamamlayabilirsiniz.
Önkoşullar
Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Ağı ayarlama
İlk olarak güvenlik duvarını dağıtmak için gerekli olan kaynakları içerecek bir kaynak grubu oluşturun. Ardından bir sanal ağ, alt ağlar ve bir test sunucusu oluşturun.
Kaynak grubu oluşturma
Kaynak grubu bu yordamda kullanılan tüm kaynakları içerir.
- Azure Portal’ında oturum açın.
- Azure portalı menüsünde Kaynak grupları'nı seçin veya herhangi bir sayfadan Kaynak grupları'nı arayın ve seçin. Daha sonra, Oluştur'u seçin.
- Abonelik için, aboneliğinizi seçin.
- Kaynak grubu adı alanına Test-FW-RG yazın.
- Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
- Gözden geçir ve oluştur’u seçin.
- Oluştur'u belirleyin.
Sanal ağ oluşturma
Bu sanal ağın iki alt ağı vardır.
Not
AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.
- Azure portalı menüsünde veya Giriş sayfasında Sanal ağlar'ı arayın.
- Sonuç bölmesinde Sanal ağlar'ı seçin.
- Oluştur'u belirleyin.
- Abonelik için, aboneliğinizi seçin.
- Kaynak grubu için Test-FW-RG'yi seçin.
- Sanal ağ adı için Test-FW-VN yazın.
- Bölge için daha önce kullandığınız bölgeyi seçin.
- İleri'yi seçin.
- Güvenlik sekmesinde Azure Güvenlik Duvarı Etkinleştir'i seçin.
- Azure Güvenlik Duvarı ad için Test-FW01 yazın.
- Azure Güvenlik Duvarı genel IP adresi için Genel IP adresi oluştur'u seçin.
- Ad alanına fw-pip yazın ve Tamam'ı seçin.
- İleri'yi seçin.
- Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.
- Alt ağ'ın altında varsayılan'ı seçin ve Ad değerini Workload-SN olarak değiştirin.
- Başlangıç adresi için 10.0.2.0/24 olarak değiştirin.
- Kaydet'i seçin.
- Gözden geçir ve oluştur’u seçin.
- Oluştur'u belirleyin.
Not
Azure Güvenlik Duvarı, kullanılabilir bağlantı noktalarına göre gerektiğinde genel IP'leri kullanır. Giden bağlantı için bir genel IP'yi rastgele seçtikten sonra, yalnızca geçerli genel IP'den başka bağlantı yapılamadıktan sonra bir sonraki kullanılabilir genel IP'yi kullanır. Yüksek trafik hacmi ve aktarım hızına sahip senaryolarda, giden bağlantı sağlamak için NAT Ağ Geçidi kullanılması önerilir. SNAT bağlantı noktaları, NAT Gateway ile ilişkili tüm genel IP'ler arasında dinamik olarak ayrılır. Daha fazla bilgi edinmek için bkz. NAT Gateway'i Azure Güvenlik Duvarı ile tümleştirme.
Sanal makine oluşturun
Şimdi iş yükü sanal makinesini oluşturun ve İş Yükü-SN alt aya yerleştirin.
Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur’u seçin.
Windows Server 2019 Datacenter'ı seçin.
Sanal makine için şu değerleri girin:
Ayar Value Kaynak grubu Test-FW-RG Virtual machine name Srv-Work Bölge Öncekiyle aynı Görsel Windows Server 2019 Datacenter Yönetici kullanıcı adı Kullanıcı adı yazın Parola Parola yazın Gelen bağlantı noktası kuralları,Genel gelen bağlantı noktaları'nın altında Yok'a tıklayın.
Diğer varsayılanları kabul edin ve İleri: Diskler'i seçin.
Disk varsayılanlarını kabul edin ve İleri: Ağ'ı seçin.
Sanal ağ için Test-FW-VN'nin seçildiğinden ve alt ağın İş Yükü-SN olduğundan emin olun.
Genel IP için Yok'a tıklayın.
Diğer varsayılanları kabul edin ve İleri: Yönetim'i seçin.
Varsayılanları kabul edin ve İleri: İzleme'yi seçin.
Önyükleme tanılaması için Önyükleme tanılamasını devre dışı bırakmak için Devre Dışı Bırak'ı seçin. Diğer varsayılanları kabul edin ve Gözden geçir + oluştur'u seçin.
Özet sayfasındaki ayarları gözden geçirin ve Oluştur'u seçin.
Dağıtım tamamlandıktan sonra Kaynağa git'i seçin ve daha sonra kullanmanız gereken Srv-Work özel IP adresini not edin.
Not
Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.
Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:
- VM'ye bir genel IP adresi atanır.
- VM, giden kuralları olan veya olmayan standart bir yük dengeleyicinin arka uç havuzuna yerleştirilir.
- VM'nin alt a bilgisayarına bir Azure NAT Gateway kaynağı atanır.
Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.
Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.
Güvenlik duvarını inceleme
- Kaynak grubuna gidin ve güvenlik duvarını seçin.
- Güvenlik duvarı özel ve genel IP adreslerini not edin. Bu adresleri daha sonra kullanacaksınız.
Varsayılan rota oluşturma
Güvenlik duvarı üzerinden giden ve gelen bağlantı için bir yol oluşturduğunuzda, sonraki atlama olarak sanal gereç özel IP'sine sahip varsayılan 0.0.0.0/0 yolu yeterlidir. Bu, giden ve gelen bağlantıları güvenlik duvarı üzerinden yönlendirir. Örneğin, güvenlik duvarı bir TCP el sıkışmasını gerçekleştiriyorsa ve gelen bir isteği yanıtlarsa, yanıt trafiği gönderen IP adresine yönlendirilir. Bu tasarım gereğidir.
Sonuç olarak, AzureFirewallSubnet IP aralığını dahil etmek için başka bir kullanıcı tanımlı yol oluşturmanıza gerek yoktur. Bu, bağlantıların bırakılmasına neden olabilir. Özgün varsayılan yol yeterlidir.
Workload-SN alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandırın.
- Azure portalında Rota tablolarını arayın.
- Sonuçlar bölmesinde Yönlendirme tabloları'nı seçin.
- Oluştur'u belirleyin.
- Abonelik için, aboneliğinizi seçin.
- Kaynak grubu için Test-FW-RG'yi seçin.
- Bölge için daha önce kullandığınız konumu seçin.
- Ad alanına Firewall-route yazın.
- Gözden geçir ve oluştur’u seçin.
- Oluştur'u belirleyin.
Dağıtım tamamlandıktan sonra Kaynağa git'i seçin.
Güvenlik duvarı yolu sayfasında Alt ağlar'ı ve ardından İlişkilendir'i seçin.
Sanal ağ için Test-FW-VN'yi seçin.
Alt ağ için İş Yükü-SN'yi seçin. Bu yol için yalnızca İş Yükü-SN alt ağı seçtiğinizden emin olun; aksi takdirde güvenlik duvarınız düzgün çalışmaz.
Tamam'ı seçin.
Yollar'ı ve ardından Ekle'yi seçin.
Yol adı için fw-dg yazın.
Hedef türü için IP Adresleri'ne tıklayın.
Hedef IP adresleri/CIDR aralıkları için 0.0.0.0/0 yazın.
Sonraki atlama türü için Sanal gereç'i seçin.
Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.
Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.
Ekle'yi seçin.
Uygulama kuralı yapılandırma
Bu, öğesine www.google.com
giden erişime izin veren uygulama kuralıdır.
- Test-FW-RG'yi açın ve Test-FW01 güvenlik duvarını seçin.
- Test-FW01 sayfasındaki Ayarlar'ın altında Kurallar (klasik) öğesini seçin.
- Uygulama kuralı koleksiyonu sekmesini seçin.
- Uygulama kuralı koleksiyonu ekle'yi seçin.
- Ad alanına App-Coll01 yazın.
- Öncelik alanına 200 yazın.
- Eylem alanında İzin ver'i seçin.
- Kurallar'ın altında, Hedef FQDN'ler bölümünde Ad alanına Allow-Google yazın.
- Kaynak türü için IP adresi'ne tıklayın.
- Kaynak için 10.0.2.0/24 yazın.
- Protokol:bağlantı noktası alanına http, https yazın.
- Hedef FQDN'ler için
www.google.com
- Ekle'yi seçin.
Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgüdür ve başka amaçlarla kullanılamaz. Daha fazla bilgi için bkz. Altyapı FQDN'leri.
Ağ kuralını yapılandırma
Bu, bağlantı noktası 53’deki (DNS) iki IP adresine giden erişime izin veren ağ kuralıdır.
Ağ kuralı koleksiyonu sekmesini seçin.
Ağ kuralı koleksiyonu ekle'yi seçin.
Ad alanına Net-Coll01 yazın.
Öncelik alanına 200 yazın.
Eylem alanında İzin ver'i seçin.
Kurallar'ın altında, AD alanına Allow-DNS yazın.
Protokol alanında UDP'yi seçin.
Kaynak türü için IP adresi'ne tıklayın.
Kaynak için 10.0.2.0/24 yazın.
Hedef türü için IP adresini seçin.
Hedef adresi için 209.244.0.3,209.244.0.4 yazın
Bunlar Level3 tarafından işletilen genel DNS sunucularıdır.
Hedef Bağlantı Noktaları için 53 yazın.
Ekle'yi seçin.
DNAT kuralını yapılandırma
Bu kural, uzak masaüstünü güvenlik duvarı üzerinden Srv-Work sanal makinesine bağlamanıza olanak tanır.
- NAT kuralı koleksiyonu sekmesini seçin.
- NAT kuralı koleksiyonu ekle'yi seçin.
- Ad alanına rdp yazın.
- Öncelik alanına 200 yazın.
- Kurallar'ın altında, Ad alanına rdp-nat yazın.
- Protokol alanında TCP'yi seçin.
- Kaynak türü için IP adresi'ne tıklayın.
- Kaynak olarak yazın*.
- Hedef adresi için güvenlik duvarı genel IP adresini yazın.
- Hedef Bağlantı Noktaları için 3389 yazın.
- Çevrilmiş adres için Srv-work özel IP adresini yazın.
- Çevrilmiş bağlantı noktası için 3389 yazın.
- Ekle'yi seçin.
Srv-Work ağ arabiriminin birincil ve ikincil DNS adresini değiştirme
Test amacıyla sunucunun birincil ve ikincil DNS adreslerini yapılandırın. Bu genel bir Azure Güvenlik Duvarı gereksinimi değildir.
- Azure portalı menüsünde Kaynak grupları'nı seçin veya herhangi bir sayfadan Kaynak grupları'nı arayın ve seçin. Test-FW-RG kaynak grubunu seçin.
- Srv-Work sanal makinesi için ağ arabirimini seçin.
- Ayarlar'ın altında DNS sunucuları'nı seçin.
- DNS sunucuları'nın altında Özel'i seçin.
- 209.244.0.3 yazın ve DNS sunucusu ekle metin kutusuna Enter tuşuna, sonraki metin kutusuna ise 209.244.0.4 tuşuna basın.
- Kaydet'i seçin.
- Srv-Work sanal makinesini yeniden başlatın.
Güvenlik duvarını test etme
Şimdi güvenlik duvarını test edin ve beklendiği gibi çalıştığını onaylayın.
Uzak masaüstünü güvenlik duvarı genel IP adresine bağlayın ve Srv-Work sanal makinesinde oturum açın.
Internet Explorer'ı açın ve
https://www.google.com
adresine gidin.Internet Explorer güvenlik uyarılarında Tamam Kapat'ı> seçin.
Google giriş sayfasını görmeniz gerekir.
https://www.microsoft.com
adresine göz atın.Güvenlik duvarı sizi engellemelidir.
Şimdi güvenlik duvarı kurallarının çalıştığını doğruladınız:
- RDP kullanarak sanal makineye bağlanabilirsiniz.
- İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.
- Yapılandırılmış dış DNS sunucusunu kullanarak DNS adlarını çözümleyebilirsiniz.
Kaynakları temizleme
Teste devam etmek için güvenlik duvarı kaynaklarınızı koruyabilir veya artık gerekli değilse Test-FW-RG kaynak grubunu silip güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.