Azure Güvenlik Duvarı Yönetimi NIC

Not

Bu özellik daha önce Zorlamalı Tünel olarak adlandırılıyordu. Başlangıçta, yalnızca Zorlamalı Tünel için bir Yönetim ağ arabirimi gerekiyordu. Ancak, bazı yaklaşan Güvenlik Duvarı özellikleri için de bir Yönetim ağı arayüzü gerekecek; bu nedenle, zorunlu tünellemeden bağımsız hale getirilmiştir.

Azure Güvenlik Duvarı Yönetimi ağ arabirimi, güvenlik duvarı yönetim trafiğini müşteri trafiğinden ayırır. Zorlamalı tünel ve diğer yönetim özelliklerini desteklemek için Güvenlik Duvarı Yönetimi ağ arabirimi etkinleştirilmiş bir Azure Güvenlik Duvarı oluşturmanız veya hizmet kesintisini önlemek için mevcut bir Azure Güvenlik Duvarı'nda etkinleştirmeniz gerekir.

Yönetim ağ arabirimini etkinleştirdiğinizde ne olur?

Bir Yönetim NIC'sini etkinleştirirseniz, güvenlik duvarı yönetim trafiğini ilişkili genel IP adresiyle AzureFirewallManagementSubnet (en düşük alt ağ boyutu /26) üzerinden yönlendirir. Güvenlik duvarının trafiği yönetmesi için bu genel IP adresini atarsınız. AzureFirewallManagementSubnet, güvenlik duvarının işletimsel amaçları için gereken tüm trafiği içerir.

Varsayılan olarak, hizmet sistem tarafından sağlanan bir yol tablosunu Yönetim alt ağıyla ilişkilendirir. Bu alt ağda izin verilen tek yol, İnternet'e giden varsayılan bir yoldur ve Ağ geçidi yollarını yay devre dışı bırakılmalıdır. Bu yapılandırma hizmet kesintilerine neden olabileceğinden, müşteri yönlendirme tablolarını Yönetim alt ağıyla ilişkilendirmekten kaçının. Bir yol tablosunu ilişkilendirirseniz, hizmet kesintilerini önlemek için varsayılan İnternet yolu olduğundan emin olun.

Güvenlik duvarı Yönetimi NIC yapılandırmasını gösteren ekran görüntüsü.

Mevcut güvenlik duvarlarında yönetim NIC'sini etkinleştirme

Standart ve Premium güvenlik duvarı sürümleri için, önceden gösterildiği gibi oluşturma işlemi sırasında Güvenlik Duvarı Yönetimi NIC'sini el ile etkinleştirmeniz gerekir. Ancak, tüm Temel Güvenlik Duvarı sürümleri ve tüm Güvenli Hub güvenlik duvarları her zaman bir Yönetim NIC'sini etkinleştirir.

Zaten mevcut olan bir güvenlik duvarı için, güvenlik duvarını durdurmanız ve ardından zorunlu tünellemeyi desteklemek amacıyla Güvenlik Duvarı Yönetim ağ arabirimi etkinleştirilmiş şekilde yeniden başlatmanız gerekir. Mevcut bir güvenlik duvarını silmeye ve yeni bir güvenlik duvarını yeniden dağıtmaya gerek kalmadan Güvenlik Duvarı Yönetimi NIC'sini etkinleştirmek için güvenlik duvarını durdurmayı veya başlatmayı kullanabilirsiniz. Güvenlik Duvarı Yönetimi NIC'sini etkinleştirmeye çalışırken de dahil olmak üzere kesintileri önlemek için güvenlik duvarını her zaman bakım saatlerinde başlatın veya durdurun.

  1. Azure portalında öğesini AzureFirewallManagementSubnet oluşturun ve sanal ağ için uygun IP adresi aralığını kullanın.

    AzureFirewallManagementSubnet için alt ağ yapılandırmasını gösteren ekran görüntüsü.

  2. Mevcut güvenlik duvarı genel IP adresiyle aynı özelliklere sahip yeni yönetim genel IP adresini oluşturun: SKU, katman ve konum.

    Genel IP adresi oluşturmayı gösteren ekran görüntüsü.

  3. Güvenlik duvarını durdurun.

    Güvenlik duvarını durdurmak için Azure Firewall SSS'deki bilgileri kullanın.

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

  4. Yönetim genel IP adresi ve alt ağ ile güvenlik duvarını başlatın.

    Bir genel IP adresi ve bir yönetim genel IP adresi ile bir güvenlik duvarı başlatın:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall

    İki genel IP adresi ve bir yönetim genel IP adresi olan bir güvenlik duvarı başlatın:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall

    Not

    Bir güvenlik duvarını ve genel IP'yi özgün kaynak grubuna ve aboneliğe yeniden dağıtmanız gerekir. Güvenlik duvarını durdurduğunuzda veya başlattığınızda, özel IP adresi alt ağ içinde farklı bir IP adresine dönüşebilir. Bu, önceden yapılandırılmış yol tablolarının bağlantısını etkileyebilir.

Güvenlik duvarını Azure portalında görüntülediğinizde, atanan yönetim genel IP adresini görürsünüz:

Yönetim IP adresine sahip güvenlik duvarını gösteren ekran görüntüsü.

Not

Güvenlik duvarınızdaki diğer tüm IP adresi yapılandırmalarını kaldırırsanız, yönetim IP adresi yapılandırmasını da kaldırırsınız ve güvenlik duvarı serbest bırakılır. Yönetim IP adresi yapılandırmasına atanan genel IP adresini kaldıramazsınız, ancak farklı bir genel IP adresi atayabilirsiniz.

Zorlamalı tünel için yönetim ağ arabirimiyle yeni bir Azure Güvenlik Duvarı dağıtma

Durdurma/başlatma yöntemini kullanmak yerine yeni bir Azure Güvenlik Duvarı dağıtmayı tercih ediyorsanız yapılandırmanıza bir yönetim alt ağı ve yönetim NIC'sini eklediğinizden emin olun.

Önemli

  • Sanal ağ başına tek güvenlik duvarı: Aynı sanal ağ içinde iki güvenlik duvarı mevcut olmadığından, aynı sanal ağı yeniden kullanmak istiyorsanız yeni dağıtımı başlatmadan önce eski güvenlik duvarını silin.
  • Alt ağı önceden oluşturma: Mevcut bir sanal ağı kullanırken dağıtım sorunlarını önlemek için AzureFirewallManagementSubnet'in önceden oluşturulduğundan emin olun.

Önkoşullar

  • AzureFirewallManagementSubnet'i oluşturun:
    • En düşük alt ağ boyutu: /26
    • Örnek: 10.0.1.0/26

Dağıtım adımları

  1. Azure portalında Kaynak Oluşturma'ya gidin.
  2. Güvenlik Duvarı'nı arayın ve Oluştur'u seçin.
  3. Güvenlik Duvarı Oluştur'da aşağıdaki ayarları yapılandırın:
    • Abonelik: Aboneliğinizi seçin.
    • Kaynak grubu: Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
    • Ad: Güvenlik duvarı için bir ad girin.
    • Bölge: Bölgenizi seçin.
    • Güvenlik Duvarı SKU'su: Temel, Standart veya Premium'ı seçin.
    • Sanal Ağ: Yeni bir sanal ağ oluşturun veya mevcut bir ağı kullanın. Örneğin, AzureFirewallSubnet için adres alanı 10.0.0.0/16 ve alt ağı 10.0.0.0/26 kullanın.
    • Genel IP Adresi: Yeni bir genel IP adresi ekleyin. Örneğin, FW-PIP olarak adlandır.
    • Güvenlik Duvarı Yönetimi NIC'sini etkinleştir: Bu seçeneği belirleyin. AzureFirewallManagementSubnet adres aralığını (örneğin, 10.0.1.0/26) ayarlayın ve bir yönetim genel IP adresi (örneğin, Mgmt-PIP) oluşturun.
  4. Güvenlik duvarını doğrulamak ve dağıtmak için Gözden Geçir + Oluştur'u seçin. Dağıtımı birkaç dakika sürer.

İlgili içerik

  • Last updated on