Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Güvenlik Duvarı İlkesi, Azure Güvenlik Duvarı yapılandırmak için önerilen yöntemdir. Güvenli Sanal Hub'lar ve Hub Sanal Ağ'lerdeki birden çok Azure Güvenlik Duvarı örneğinde kullanılabilen genel bir kaynaktır. İlkeler bölgeler ve abonelikler arasında çalışır.
İlke oluşturma ve ilişkilendirme
İlke, Azure portalı, REST API, şablonlar, Azure PowerShell, CLI ve Terraform gibi çeşitli yollarla oluşturulabilir ve yönetilebilir.
Ayrıca, ilkeleri oluşturmak için portalı veya Azure PowerShell'i kullanarak mevcut Klasik kuralları Azure Güvenlik Duvarı geçirebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı yapılandırmalarını Azure Güvenlik Duvarı ilkesine geçirme.
İlkeler, Sanal WAN(Güvenli Sanal Hub oluşturma) veya Sanal Ağ (Hub Sanal Ağı oluşturma) içinde dağıtılan bir veya daha fazla güvenlik duvarıyla ilişkilendirilebilir. Güvenlik duvarları hesabınıza bağlı herhangi bir bölgede veya abonelikte bulunabilir.
Klasik kurallar ve ilkeler
Azure Güvenlik Duvarı hem Klasik kuralları hem de ilkeleri destekler, ancak ilkeler önerilen yapılandırmadır. Aşağıdaki tablo ilkeleri ve klasik kuralları karşılaştırır:
| Subject | Policy | Klasik kurallar |
|---|---|---|
| Contains | NAT, Ağ, Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil), IDPS, TLS İncelemesi, Web Kategorileri, URL Filtreleme | NAT, Ağ ve Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil) |
| Protects | Virtual Hubs (VWAN) ve Sanal Ağlar | Yalnızca Sanal Ağ |
| Portal deneyimi | Güvenlik Duvarı Yöneticisi'nin kullanıldığı merkezi yönetim | Tek başına güvenlik duvarı deneyimi |
| Birden çok güvenlik duvarı desteği | Güvenlik Duvarı İlkesi, güvenlik duvarları arasında kullanılabilen ayrı bir kaynaktır | Kuralları el ile dışarı ve içeri aktarma veya üçüncü taraf yönetim çözümlerini kullanma |
| Pricing | Güvenlik duvarı ilişkilendirmesi temelinde faturalandırılır. Fiyatlandırma bölümüne bakın. | Free |
| Desteklenen dağıtım mekanizmaları | Portal, REST API, şablonlar, Azure PowerShell ve CLI | Portal, REST API, şablonlar, PowerShell ve CLI. |
Temel, Standart ve Premium ilkeleri
Azure Güvenlik Duvarı Temel, Standart ve Premium ilkelerini destekler. Aşağıdaki tabloda bu ilkeler arasındaki fark özetlemektedir:
| İlke türü | Özellik desteği | Güvenlik duvarı SKU desteği |
|---|---|---|
| Temel ilke | NAT kuralları, Ağ kuralları, Uygulama kuralları IP Grupları Tehdit Bilgileri (uyarılar) |
Basic |
| Standart ilke | NAT kuralları, Ağ kuralları, Uygulama kuralları Özel DNS, DNS ara sunucusu IP Grupları İnternet Kategorileri Tehdit Bilgileri |
Standart veya Premium |
| Premium ilke | Tüm Standart özellik desteğinin yanı sıra: TLS İncelemesi İnternet Kategorileri URL Filtreleme IDPS |
Premium |
Hiyerarşik ilkeler
Yeni güvenlik duvarı ilkeleri sıfırdan oluşturulabilir veya mevcut ilkelerden devralınabilir. Devralma, DevOps'un kuruluş tarafından zorunlu kılınan temel ilkelerin üzerinde yerel güvenlik duvarı ilkeleri tanımlamasına olanak tanır.
Boş olmayan bir üst ilkeyle yeni bir ilke oluşturulduğunda, tüm kural koleksiyonlarını üst ilkeden devralır. Hem ana politika hem de alt politika aynı bölgede bulunmalıdır. Ancak, bir güvenlik duvarı ilkesi nerede depolandığından bağımsız olarak herhangi bir bölgedeki güvenlik duvarlarıyla ilişkilendirilebilir.
Kuralın Devralınması
Üst ilkeden devralınan ağ kuralı koleksiyonları her zaman yeni bir ilkenin parçası olarak tanımlanan ağ kuralı koleksiyonları üzerinde önceliklendirilir. Aynı mantık, uygulama kuralı koleksiyonları için de geçerlidir. Devralmadan bağımsız olarak, ağ kuralı koleksiyonları uygulama kuralı koleksiyonlarından önce işlenir.
NAT kuralı koleksiyonları, tek tek güvenlik duvarlarına özgü olduklarından devralınmıyor. Eğer NAT kurallarını kullanmak istiyorsanız, bunları alt ilkede tanımlamanız gerekir.
Tehdit İstihbaratı modu ve izin verilenler listesi devralma
Tehdit Bilgileri modu da üst ilkeden devralınır. Alt politika ayarında bu ayarı geçersiz kılabilirsiniz fakat daha sıkı bir modda gerçekleştirilmelidir; devre dışı bırakamazsınız. Örneğin, üst ilkeniz Yalnızca Uyarı olarak ayarlanmışsa, alt ilke Uyarı ve Reddet olarak ayarlanabilir, ancak daha az katı bir moda getirilemez.
Benzer şekilde, Tehdit İstihbarat izin listesi üst ilkeden devralınır, ve alt ilke bu listeye ek IP adresleri ekleyebilir.
Devralma ile, üst ilkedeki tüm değişiklikler ilişkili güvenlik duvarı alt ilkelerine otomatik olarak uygulanır.
Yerleşik yüksek kullanılabilirlik
Yüksek kullanılabilirlik yerleşiktir, bu nedenle yapılandırmanız gereken bir şey yoktur. Herhangi bir bölgede bir Azure Güvenlik Duvarı İlkesi nesnesi oluşturabilir ve bunu aynı Entra Id kiracısı altındaki birden çok Azure Güvenlik Duvarı örneğine genel olarak bağlayabilirsiniz. İlkeyi oluşturduğunuz bölge devre dışı kalırsa ve eşleştirilmiş bir bölgeye sahipse ARM(Azure Resource Manager) nesne meta verileri otomatik olarak ikincil bölgeye yük devreder. Yük devretme sırasında veya çifti olmayan tek bölge başarısız durumda kalırsa, Azure Güvenlik Duvarı İlkesi nesnesini değiştiremezsiniz. Ancak, Güvenlik Duvarı İlkesi'ne bağlı Azure Güvenlik Duvarı örnekleri çalışmaya devam eder. Daha fazla bilgi için bkz . Azure'da bölgeler arası çoğaltma: İş sürekliliği ve olağanüstü durum kurtarma.
Pricing
İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesine sahip bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi Fiyatlandırması.
Sonraki Adımlar
- Azure Güvenlik Duvarı dağıtmayı öğrenin - Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı Manager ile bulut ağınızın güvenliğini sağlama
- Azure ağ güvenliği hakkında daha fazla bilgi edinin