Aracılığıyla paylaş

Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ilkesi DNAT ile gelen İnternet trafiğini filtreleme

Gelen İnternet trafiğini alt ağlarınıza çevirmek ve filtrelemek için Azure Güvenlik Duvarı ilkesi Hedef Ağ Adresi Çevirisi 'ni (DNAT) yapılandırabilirsiniz. DNAT'yi yapılandırdığınızda kural toplama eylemi DNAT olarak ayarlanır. Ardından NAT kuralı koleksiyonundaki her kural, güvenlik duvarı genel IP adresinizi ve bağlantı noktanızı özel bir IP adresine ve bağlantı noktasına çevirmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedeniyle önerilen yaklaşım, belirli bir kaynağı ekleyerek ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmaktır. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Bu öğretici, DNAT kullanarak bir web sunucusu yayımlamayı gösterir.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı ve ilke kurma
  • Varsayılan rota oluşturma
  • Web sunucusunu dağıtma ve yapılandırma
  • Web sunucusunu yayımlamak için DNAT kuralı yapılandırma
  • Güvenlik duvarını test etme

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları'nı ve ardından Ekle'yi seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu adı alanına RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Ağ ortamını oluşturma

Bu öğretici için eşlenen iki sanal ağ oluşturuyorsunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleştirin.

Hub sanal ağını oluştur

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Sanal ağlar'ı seçin.

  3. Ekle'yi seçin.

  4. Kaynak grubu için RG-DNAT-Test'i seçin.

  5. İsim için VN-Hub yazın.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Seç Sonraki: IP Adresleri.

  8. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  9. Alt ağ adı'nın altında varsayılan'ı seçin.

  10. Alt ağ adını düzenleyin ve AzureFirewallSubnet yazın.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı SSS.

  11. Alt ağ adres aralığı için 10.0.1.0/26 yazın.

  12. Kaydet'i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur'u belirleyin.

Spoke VNet oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Ekle'yi seçin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad kısmına VN-Spoke yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. Seç Sonraki: IP Adresleri.
  8. IPv4 Adres alanı için varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  9. Alt ağı ekle seçeneğini seçin.
  10. Alt ağ adı için SN-Workload yazın.
  11. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  12. Ekle'yi seçin.
  13. Gözden geçir ve oluştur’u seçin.
  14. Oluştur'u belirleyin.

Sanal ağları eşleştir

Şimdi iki sanal ağı eşleştirin.

  1. VN-Hub sanal ağını seçin.
  2. Ayarlar altında Eşlemeler'i seçin.
  3. Ekle'yi seçin.
  4. Bu sanal ağın altında, Eşleme bağlantısı adı için Peer-HubSpoke yazın.
  5. Uzak sanal ağ'ın altında, Eşleme bağlantısı adı için Peer-SpokeHub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılan değerleri kabul edin ve ekle'yi seçin.

Sanal makine oluşturun

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden, Kaynak oluştur'u seçin.
  2. Popüler'in altında Ubuntu Server 22.04 LTS'yi seçin.

Temel Bilgiler

  1. Abonelik için, aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-Test'i seçin.
  3. Sanal makine adı için Srv-Workload yazın.
  4. Bölge için daha önce kullandığınız konumu seçin.
  5. Görüntü için Ubuntu Server 22.04 LTS - x64 2. Nesil'i seçin.
  6. Boyut için Standard_B2s'ı seçin.
  7. Kimlik doğrulama türü içinSSH ortak anahtarı'yı seçin.
  8. Kullanıcı adı için azureuser yazın.
  9. SSH ortak anahtar kaynağı için Yeni anahtar çifti oluştur'a tıklayın.
  10. Anahtar çifti adı için Srv-Workload_key yazın.
  11. Genel gelen bağlantı noktaları içinde Hiçbiri'ni seçin.
  12. İleri: Diskler'i seçin.

Diskler

  • İleri: Ağ'ı seçin.

Ağ oluşturma

  1. Sanal ağ için VN-Spoke'ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için Yok'a tıklayın.
  4. Genel gelen bağlantı noktaları için Yok'u seçin.
  5. Diğer varsayılan ayarları bırakın ve İleri: Yönetim'i seçin.

Yönetim

  • İleri: İzleme'yi seçin.

Monitoring

  1. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden Geçir + Oluştur

Özeti gözden geçirin ve oluştur'u seçin.

  • Yeni anahtar çifti oluştur iletişim kutusunda Özel anahtarı indir ve kaynak oluştur'u seçin. Anahtar dosyasını Srv-Workload_key.pem olarak kaydedin.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırdığınızda bu adres kullanılacaktır. Sanal makine adını seçin ve Ayarlar altında, 'ı seçerek özel IP adresini bulun.

Web sunucusunu yükleme

Sanal makineye bir web sunucusu yüklemek için Azure portal Komut Çalıştır özelliğini kullanın.

  1. Azure portalında Srv-Workload sanal makinesine gidin.

  2. İşlemler'in altında Çalıştır komutu'nu seçin.

  3. RunShellScript'i seçin.

  4. Komut Betiğini Çalıştır penceresinde aşağıdaki betiği yapıştırın:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Çalıştır'ı seçin.

  6. Betiğin tamamlanmasını bekleyin. Çıkışta Nginx'in başarıyla yüklenmesi gösterilmelidir.

Güvenlik duvarını ve ilkeyi dağıtın

  1. Portal giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın ve güvenlik duvarı'nı seçin.

  3. Oluştur'u belirleyin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <aboneliğiniz>
    Kaynak grubu RG-DNAT-Test'i seçin
    Veri Akışı Adı FW-DNAT test
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanın
    Güvenlik duvarı ilkesi Yeni ekleyin:
    fw-dnat-pol
    seçtiğiniz bölge
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni ekle, Ad: fw-pip.

  5. Güvenlik Duvarı Yönetimi NIC'yi Etkinleştir'in yanındaki kutunun işaretini kaldırın.

  6. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  7. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Dağıtım birkaç dakika sürer.

  8. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  9. Güvenlik duvarının özel ve genel IP adreslerini not edin. Bunları daha sonra varsayılan yolu ve NAT kuralını oluşturduğunuzda kullanacaksınız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

Önemli

Hedef alt ağda firewalla geri dönüş için açık bir rota yapılandırmanız gerekmez. Azure Güvenlik Duvarı durum bilgisi olan bir hizmettir ve paketleri ve oturumları otomatik olarak işler. Bu rotayı oluşturursanız, durumsal oturum mantığını kesintiye uğratan ve kaybolan paketler ile bağlantılara yol açan asimetrik bir yönlendirme ortamı oluşturursunuz.

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Rota tabloları'yı seçin.

  3. Ekle'yi seçin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test'i seçin.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Ad alanına RT-FW-route yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur'u belirleyin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı seçin ve ardından İlişkilendir'i seçin.

  12. Sanal ağ için VN-Spoke'ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam'ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Yol adı için fw-dg yazın.

  17. Adres ön eki alanına 0.0.0.0/0 yazın.

  18. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  19. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  20. Tamam'ı seçin.

DNAT kuralını yapılandırma

Bu kural, İnternet'ten gelen HTTP trafiğinin güvenlik duvarı üzerinden web sunucusuna ulaşmasını sağlar.

  1. RG-DNAT-Test kaynak grubunu açın ve fw-dnat-pol güvenlik duvarı ilkesini seçin.
  2. Ayarlar'ın altında DNAT kuralları'nı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad alanına web erişimi yazın.
  5. Öncelik alanına 200 yazın.
  6. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup'ı seçin.
  7. Kurallar'ın altında, Ad alanına http-dnat yazın.
  8. Kaynak türü için IP adresi'ne tıklayın.
  9. Kaynak için, herhangi bir kaynaktan gelen trafiğe izin vermek amacıyla * yazın.
  10. Protokol alanında TCP'yi seçin.
  11. Hedef Bağlantı Noktaları için 80 yazın.
  12. Hedef Türü için IP Adresi'ne tıklayın.
  13. Hedef için güvenlik duvarı genel IP adresini yazın.
  14. Çevrilmiş adres için Srv-Workload özel IP adresini yazın.
  15. Çevrilmiş bağlantı noktası için 80 yazın.
  16. Ekle'yi seçin.

Güvenlik duvarını test etme

Şimdi web sunucusunun güvenlik duvarı üzerinden erişilebilir olduğunu doğrulamak için DNAT kuralını test edin.

  1. Bir web tarayıcısı açın.
  2. adresine http://<firewall-public-ip> gidin (güvenlik duvarının daha önce not ettiğiniz genel IP adresini kullanın).
  3. Şu web sayfasının görüntülendiğini görmeniz gerekir: Azure Güvenlik Duvarı DNAT Tanıtımı - Srv-Workload

DNAT kuralı, güvenlik duvarının genel IP adresinde gelen HTTP isteğini web sunucusunun özel IP adresine başarıyla çevirir. Bu, Azure Güvenlik Duvarı DNAT'sinin arka uç sunucularını özel bir alt ağda tutarken web uygulamalarını yayımlamak için nasıl kullanılabileceğini gösterir.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse RG-DNAT-Test kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Çakışan ağlar veya yönlendirilemeyen ağ erişimi içeren gelişmiş DNAT senaryoları için bkz:

Çakışan ve yönlendirilemeyen ağlar için Azure Güvenlik Duvarı özel IP DNAT'sini dağıtma

  • Last updated on