Azure Güvenlik Duvarı Premium'ı dağıtma ve yapılandırma

Azure Güvenlik Duvarı Premium, son derece hassas ve düzenlenmiş ortamlar için gereken özelliklere sahip yeni nesil bir güvenlik duvarıdır. Aşağıdaki özellikleri içerir:

  • TLS İncelemesi - giden trafiğin şifresini çözer, verileri işler, ardından verileri şifreler ve hedefe gönderir.
  • IDPS - Kötü amaçlı etkinliklere yönelik ağ etkinliklerini izlemek, bu etkinlikle ilgili bilgileri günlüğe kaydetmek, raporlamak ve isteğe bağlı olarak engellemeye çalışmak için kullanabileceğiniz bir ağ yetkisiz erişim algılama ve önleme sistemi (IDPS).
  • URL filtreleme - Azure Güvenlik Duvarı'nın FQDN filtreleme özelliğini bir URL'nin tamamını dikkate almak için genişletir. Örneğin, www.contoso.com/a/c yerine www.contoso.com.
  • Web kategorileri - yöneticiler kumar web siteleri, sosyal medya web siteleri ve diğerleri gibi web sitesi kategorilerine kullanıcı erişimine izin verebilir veya erişimi reddedebilir.

Daha fazla bilgi için bkz . Azure Güvenlik Duvarı Premium özellikleri.

Üç alt ağa sahip merkezi bir sanal ağa (10.0.0.0/16) sahip bir test ortamı dağıtmak için şablon kullanın:

  • Çalışma alt ağı (10.0.10.0/24)
  • Azure Bastion alt ağı (10.0.20.0/24)
  • Güvenlik duvarı alt ağı (10.0.100.0/24)

Önemli

Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.

Basitlik için bu test ortamında tek bir merkezi sanal ağ kullanılır. Üretim amaçları doğrultusunda eşlenmiş sanal ağlara sahip merkez-uç topolojisi daha yaygındır.

Çalışan, Bastion ve güvenlik duvarı alt ağlarıyla merkezi bir sanal ağı gösteren diyagram.

Çalışan sanal makinesi, güvenlik duvarı üzerinden HTTP/S istekleri gönderen bir istemcidir.

Prerequisites

Eğer bir Azure aboneliğiniz yoksa, başlamadan önce ücretsiz bir hesap oluşturun.

Altyapıyı dağıtın

Şablon IDPS, TLS İncelemesi, URL Filtreleme ve Web Kategorileri ile etkinleştirilen Azure Güvenlik Duvarı Premium için eksiksiz bir test ortamı dağıtır:

  • Temel özelliklerinin (IDPS, TLS İncelemesi, URL Filtreleme ve Web Kategorileri) kolay doğrulanmasına olanak sağlayan önceden tanımlanmış ayarlara sahip yeni bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi.
  • Key Vault ve Yönetilen Kimlik de dahil olmak üzere tüm bağımlılıklar. Üretim ortamında, bu kaynaklara zaten sahip olabilirsiniz ve aynı şablonda gerekli olmayabilir.
  • Oluşturulan Key Vault'ta oluşturulan ve dağıtılan kendi kendine imzalanan bir kök CA.
  • Windows test sanal makinesinde (WorkerVM) oluşturulan ve dağıtılan türetilmiş ara CA.
  • Bastion Konağı (BastionHost) da dağıtılır ve windows test makinesine (WorkerVM) bağlanmak için bunu kullanabilirsiniz.

Azure'a Resource Manager şablonunu konuşlandırmak için buton.

Güvenlik duvarını test etme

Artık IDPS, TLS İncelemesi, Web filtreleme ve Web kategorilerini test edebilirsiniz.

Güvenlik duvarı tanılama ayarları ekleme

Güvenlik duvarı günlüklerini toplamak için tanılama ayarları ekleyin.

  1. DemoFirewall'ı seçin. İzleme'nin altında Tanılama ayarları'nı seçin.
  2. Tanılama ayarı ekle’yi seçin.
  3. Tanılama ayarı adı için fw-diag girin.
  4. Günlük altında AzureFirewallApplicationRule ve AzureFirewallNetworkRule'yi seçin.
  5. Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin.
  6. Kaydetseçeneğini seçin.

IDPS testleri

IDPS'yi test etmek için kendi iç test web sunucunuzu uygun bir sunucu sertifikasıyla dağıtın. Bu test, bir web sunucusuna kötü amaçlı trafik göndermeyi içerir, bu nedenle bu testi genel bir web sunucusunda yapmayın. Azure Güvenlik Duvarı Premium sertifika gereksinimleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium sertifikaları.

Çeşitli HTTP üst bilgilerini denetlemek ve kötü amaçlı trafiğin benzetimini yapmak için kullanın curl .

HTTP trafiği için IDPS'yi test etmek için

  1. WorkerVM sanal makinesinde bir yönetici komut istemi penceresi açın.

  2. Komut istemine aşağıdaki komutu yazın:

    curl -A "HaxerMen" <your web server address>

  3. Web sunucusu yanıtınızı görürsünüz.

  4. Aşağıdaki iletiye benzer bir uyarı bulmak için Azure portalında Güvenlik Duvarı Ağı kural günlüklerine gidin:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Note

    Verilerin günlüklerde gösterilmeye başlaması biraz zaman alabilir. Günlüklerin verileri göstermeye başlamasına izin vermek için en az birkaç dakika verin.

  5. İmza 2032081 için imza kuralı ekleyin:

    1. DemoFirewallPolicy'yi seçin ve Ayarlar'ın altında IDPS'yi seçin.
    2. İmza kuralları sekmesini seçin.
    3. İmza Kimliği'nin altında, açık metin kutusuna 2032081 yazın.
    4. Mod'un altında Reddet'i seçin.
    5. Kaydetseçeneğini seçin.
    6. Devam etmeden önce dağıtımın tamamlanmasını bekleyin.

  6. WorkerVM'de komutunu yeniden çalıştırın curl :

    curl -A "HaxerMen" <your web server address>

    HTTP isteği artık güvenlik duvarı tarafından engellendiğinden, bağlantı zaman aşımı süresi dolduktan sonra aşağıdaki çıkışı görürsünüz:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Azure portalında İzleyici günlüklerine gidin ve engellenen istekle ilgili iletiyi bulun.

HTTPS trafiğinin IDPS'sini test etmek için

Bu curl testlerini HTTP yerine HTTPS kullanarak tekrarlayın. Örneğin:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

HTTP testleriyle elde ettiğiniz sonuçların aynısını görürsünüz.

URL filtreleme ile TLS İncelemesi

URL filtreleme ile TLS İncelemesini test etmek için aşağıdaki adımları kullanın.

  1. Güvenlik duvarı ilkesi uygulama kurallarını düzenleyin ve kural koleksiyonuna AllowURL adlı AllowWeb yeni bir kural ekleyin. Hedef URL www.nytimes.com/section/world'yi , kaynak IP adresini *, hedef türü URL'sini yapılandırın, TLS İncelemesi'ni ve protokolleri http, https seçin.

  2. Dağıtım tamamlandığında WorkerVM'de bir tarayıcı açın ve adresine https://www.nytimes.com/section/worldgidin. HTML yanıtının tarayıcıda beklendiği gibi görüntülendiğini doğrulayın.

  3. Azure portalında, Uygulama kuralı İzleme günlüklerinde URL'nin tamamını görüntüleyebilirsiniz:

    URL'yi gösteren uyarı iletisi

Reddedilen diğer URL'lere başvuracakları için bazı HTML sayfaları eksik görünebilir. Bu sorunu çözmek için aşağıdaki yaklaşımları kullanın:

  • HTML sayfası diğer etki alanlarına bağlantılar içeriyorsa, bu etki alanlarını bu FQDN'lere erişim veren yeni bir uygulama kuralına ekleyin.

  • HTML sayfası alt URL'lere bağlantılar içeriyorsa, kuralı değiştirin ve URL'ye yıldız işareti ekleyin. Örneğin: targetURLs=www.nytimes.com/section/world*

    Alternatif olarak, kurala yeni bir URL ekleyin. Örneğin:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Web kategorileri testi

Spor web sitelerine erişime izin vermek için bir uygulama kuralı oluşturun.

  1. Portaldan kaynak grubunuzu açın ve DemoFirewallPolicy'yi seçin.

  2. Uygulama Kuralları'nın ardından Kural koleksiyonu ekle'yi seçin.

  3. Ad alanına GenelWeb girin. Öncelik için 103 girin. Kural koleksiyonu grubu için DefaultApplicationRuleCollectionGroup öğesini seçin.

  4. Kurallar'ın altında, Ad için AllowSports yazın. * için Kaynak girin. Protokol için http, https girin. TLS İnceleme'yi seçin. Hedef Türü için Web kategorileri'ne tıklayın. Hedef için Spor'a tıklayın.

  5. Add (Ekle) seçeneğini belirleyin.

  6. Dağıtım tamamlandığında WorkerVM'ye gidin, bir web tarayıcısı açın ve adresine https://www.nfl.comgidin.

    NFL web sayfasını görürsünüz ve Uygulama kuralı günlüğü bir Web Kategorisi: Spor kuralı eşleştirildiğini ve isteğe izin verildiğini gösterir.

Sonraki Adımlar

  • Last updated on