Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı'nı ve ilkesini dağıtma ve yapılandırma

Giden ağ erişimini denetleme, genel ağ güvenlik planının önemli bir parçasıdır. Örneğin, web sitelerine erişimi sınırlamak isteyebilirsiniz. Alternatif olarak, erişilebilen giden IP adreslerini ve bağlantı noktalarını sınırlamak da isteyebilirsiniz.

Azure Güvenlik Duvarı ve Güvenlik Duvarı İlkesi'ni kullanarak bir Azure alt ağından giden ağ erişimini denetleyebilirsiniz. Azure Güvenlik Duvarı ve Güvenlik Duvarı İlkesi'ni kullanarak şunları yapılandırabilirsiniz:

  • Bir alt ağdan erişilebilen tam etki alanı adlarını (FQDN) tanımlayan uygulama kuralları.
  • Kaynak adres, protokol, hedef bağlantı noktası ve hedef adresini tanımlayan ağ kuralları.

Ağ trafiğinizi güvenlik duvarından alt ağın varsayılan ağ geçidi olarak yönlendirdiğinizde ağ trafiği yapılandırılan güvenlik duvarı kurallarına tabi tutulur.

Bu öğreticide, kolay dağıtım için iki alt ağa sahip basitleştirilmiş bir tek sanal ağ (VNet) oluşturursunuz.

  • AzureFirewallSubnet - güvenlik duvarı bu alt ağdadır.
  • Workload-SN: İş yükü sunucusu bu alt ağda yer alır. Bu alt ağın ağ trafiği güvenlik duvarından geçer.

Güvenlik duvarı ağ altyapısını gösteren diyagram.

Üretim dağıtımları için güvenlik duvarının kendi sanal asında yer aldığı merkez-uç modelini kullanın. İş yükü sunucuları, bir veya daha fazla alt ağa sahip aynı bölgedeki eşlenmiş sanal ağlarda yer alır.

Bu eğitimde şunları öğreniyorsunuz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı ve güvenlik duvarı ilkesini devreye alma
  • Varsayılan rota oluşturma
  • Uygulama kuralını www.google.com erişime izin verecek şekilde yapılandırma
  • Dış DNS sunucularına erişime izin vermek için ağ kuralı yapılandırma
  • Test sunucusuna gelen HTTP erişimine izin vermek için NAT kuralı yapılandırma
  • Güvenlik duvarını test etme

İsterseniz Azure PowerShell kullanarak bu yordamı tamamlayabilirsiniz.

Prerequisites

Eğer bir Azure aboneliğiniz yoksa, başlamadan önce ücretsiz bir hesap oluşturun.

Ağı ayarlama

İlk olarak güvenlik duvarını dağıtmak için gerekli olan kaynakları içerecek bir kaynak grubu oluşturun. Ardından bir sanal ağ, alt ağlar ve bir test sunucusu oluşturun.

Bir kaynak grubu oluşturun

Kaynak grubu, öğretici için tüm kaynakları içerir.

  1. Azure portalınaoturum açın.

  2. Azure portalı menüsünde Kaynak grupları'nı seçin veya herhangi bir sayfadan Kaynak grupları'nı arayıp seçin ve ardından Oluştur'u seçin. Aşağıdaki değerleri yazın veya seçin:

    Ayar Değer
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi girin.
    Bölge Bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.

  3. Gözden geçir ve oluştur>Oluştur'u seçin.

Sanal ağ (VNet) oluştur

Bu sanal ağın iki alt ağı vardır.

Note

AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  1. Azure portalı menüsünde veya Giriş'tenKaynak oluştur'u seçin, Sanal ağ araması yapın ve Oluştur'u seçin.

  2. Aşağıdaki değerleri yazın veya seçin:

    Ayar Değer
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Name Test-FW-VN girin.
    Bölge Daha önce kullandığınız konumu seçin.

  3. IP adresleri sekmesine gitmek için İleri'yi iki kez seçin.

  4. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  5. Alt ağlar'ın altında varsayılan'ı seçin. Alt ağı düzenle bölmesinde Alt ağ amacı'nıAzure Güvenlik Duvarı olarak ayarlayın.

    Güvenlik duvarı bu alt ağda ve alt ağın adı AzureFirewallSubnet olmalıdır.

  6. Başlangıç adresi için 10.0.1.0 yazın ve Kaydet'i seçin.

  7. Alt ağ ekle'yi seçin ve aşağıdaki değerleri girin, ardından Ekle'yi seçin:

    Ayar Değer
    Alt ağ adı İş Yükü-SN
    Başlangıç adresi 10.0.2.0/24

  8. Gözden geçir ve oluştur>Oluştur'u seçin.

Azure Bastion’ı dağıtma

Test için Srv-Work sanal makinesine güvenli bir şekilde bağlanmak için Azure Bastion Developer sürümünü dağıtın.

  1. Portalın üst kısmındaki arama kutusuna Bastion yazın ve sonuçlardan Bastions'ı seçin. Oluştur'u seçin ve aşağıdaki değerleri girin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Örnek ayrıntıları
    Name Test-Bastion'a girin.
    Bölge Daha önce kullandığınız konumu seçin.
    Katman Geliştirici'yi seçin.
    Sanal ağ Test-FW-VN'yi seçin.
    Alt ağ (subnet) AzureBastionSubnet, 10.0.0.0/26 adres alanıyla otomatik olarak oluşturulur.

  2. Gözden geçir ve oluştur>Oluştur'u seçin.

    Dağıtımın tamamlanması birkaç dakika sürer.

Sanal makine oluşturun

İş yükü sanal makinesini oluşturun ve Workload-SN alt ağına yerleştirin.

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın, Sanal makineler'i ve ardındanSanal makine> seçin.

  2. Sanal makine için şu değerleri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Örnek ayrıntıları
    Sanal makine ismi Srv-Work yazın.
    Bölge Daha önce kullandığınız konumu seçin.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekmiyor seçeneğini seçin.
    Güvenlik türü Standart'ı seçin.
    Resim Ubuntu Server 24.04 LTS -x64 2. Nesil'i seçin
    Boyut Sanal makine için bir boyut seçin.
    Yönetici hesabı
    Username azureuser yazın.
    SSH ortak anahtar kaynağı Yeni anahtar çifti oluştur'a tıklayın.
    Anahtar çifti adı Srv-Work_key girin.

  3. Gelen bağlantı noktası kuralları'nın altında Genel gelen bağlantı noktaları'yıYok olarak ayarlayın.

  4. Diğer varsayılanları kabul edin ve sekmesinde, Test-FW-VN ve İş Yükü-SN'nin seçili olduğundan ve Genel IP'nin Yok olduğundan emin olun.

  5. Gözden geçir ve oluştur>Oluştur'u seçin. İstendiğinde Özel anahtarı indir'i seçin ve kaynak oluşturup anahtar dosyasını kaydedin.

  6. Dağıtım tamamlandıktan sonra, daha sonra kullanmak üzere Srv-Work özel IP adresini not edin.

Web sunucusu yükleme

Sanal makineye bağlanın ve test için bir web sunucusu yükleyin.

  1. Test-FW-RG kaynak grubunda Srv-Work sanal makinesini seçin.

  2. İşletim>Çalıştırma komutu>RunShellScript'i seçin, aşağıdaki komutları girin ve çalıştır'ı seçin:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  3. Scriptin başarıyla tamamlanmasını bekleyin.

Güvenlik duvarını ve ilkeyi dağıt

Güvenlik duvarını sanal ağa dağıtın.

  1. Azure portalı menüsünde veya Giriş'tenKaynak oluştur'u seçin, Güvenlik Duvarı'nı arayın ve Oluştur'u seçin.

  2. Güvenlik Duvarı Oluştur'da, güvenlik duvarını yapılandırmak için aşağıdaki tabloyu kullanın:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Örnek ayrıntıları
    Name Girin Test-FW01.
    Bölge Daha önce kullandığınız konumu seçin.
    Güvenlik Duvarı Stok Kodu Standart'ı seçin.
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullan'ı seçin.
    Güvenlik duvarı ilkesi Yeni ekle'yi seçin ve fw-test-pol girin.
    Daha önce kullandığınız bölgeyi seçin. Tamam'ı seçin.
    Bir sanal ağ seçin Mevcut olanı kullan'ı seçin ve ardından Test-FW-VN'yi seçin. Zorlamalı Tünelle ilgili uyarıyı yoksayın. Uyarı sonraki bir adımda çözülür.
    Genel IP adresi Yeni ekle'yi seçin ve Ad alanına fw-pip yazın. Tamam'ı seçin.

  3. Güvenlik Duvarı Yönetimi NIC'yi Etkinleştir onay kutusunu temizleyin, diğer varsayılan değerleri kabul edin ve gözden geçir ve> seçin.

    Bu işlemin uygulanması birkaç dakika sürer.

  4. Dağıtım tamamlandıktan sonra Test-FW-RG'ye gidin, Test-FW01 güvenlik duvarını seçin ve daha sonra kullanmak üzere özel ve genel IP adreslerini not edin.

Varsayılan rota oluşturma

Workload-SN alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandırın.

  1. Rota tabloları için arama yapın ve seçin, Oluştur'u seçin ve aşağıdaki değerleri girin:

    Ayarlar Değer
    Proje ayrıntıları
    Abonelik Azure aboneliğinizi seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Örnek ayrıntıları
    Name Güvenlik duvarı yolu girin.
    Bölge Daha önce kullandığınız konumu seçin.

  2. Gözden geçir ve oluştur>Oluştur'u seçin.

Dağıtım tamamlandıktan sonra Kaynağa git'i seçin.

  1. Firewall rotası bölmesinde, Ayarlar altında Alt Ağlar'ı seçin ve >İlişkilendir.

  2. Sanal ağ için Test-FW-VN'yi seçin ve Alt Ağ için İş Yükü-SN'yi seçin. Tamam'ı seçin.

  3. Yollar>Ekle'yi seçin ve aşağıdaki değerleri girin:

    Ayar Değer
    Yol adı fw-dg
    Hedef türü IP Adresleri
    Hedef IP adresleri/CIDR aralıkları ön eki 0.0.0.0/0
    Sonraki atlama türü Sanal aygıt
    Sonraki geçiş adresi Daha önce not ettiğiniz güvenlik duvarının özel IP adresi

    Note

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  4. Add (Ekle) seçeneğini belirleyin.

Uygulama kuralı yapılandırma

Bu uygulama kuralı, www.google.com'e giden erişim sağlar.

  1. Test-FW-RG kaynak grubunu açın ve fw-test-pol güvenlik duvarı ilkesini seçin.

  2. Ayarlar>Kuralları'nın altında Uygulama kuralları>Kural koleksiyonu ekle'yi seçin.

  3. Aşağıdaki değerleri girin:

    Ayar Değer
    Name App-Coll01
    Priority 200
    Kural toplama işlemi İzin ver
    Kurallar
    Name Google'a İzin Ver
    Kaynak türü IP adresi
    Kaynak 10.0.2.0/24
    Protokol:Port http, https
    Hedef Türü FQDN
    Varış Noktası www.google.com

  4. Add (Ekle) seçeneğini belirleyin.

Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgü olup başka amaçlarla kullanılamaz. Daha fazla bilgi için bkz. Altyapı FQDN'leri.

Devam etmeden önce uygulama kuralı dağıtımının tamamlanmasını bekleyin.

Ağ kuralını yapılandırma

Bu ağ kuralı, 53 numaralı bağlantı noktasında (DNS) iki IP adresine giden erişim verir.

  1. Ağ kuralları>Kural koleksiyonu ekle'yi seçin.

  2. Aşağıdaki değerleri girin:

    Ayar Değer
    Name Net-Coll01
    Priority 200
    Kural toplama işlemi İzin ver
    Kural koleksiyonu grubu DefaultNetworkRuleCollectionGroup
    Kurallar
    Name DNS'ye İzin Ver
    Kaynak türü IP Adresi
    Kaynak 10.0.2.0/24
    Protokol UDP
    Hedef Bağlantı Noktaları 53
    Hedef türü IP adresi
    Varış Noktası 209.244.0.3,209.244.0.4 (CenturyLink tarafından işletilen genel DNS sunucuları)

  3. Add (Ekle) seçeneğini belirleyin.

Devam etmeden önce ağ kuralı dağıtımının tamamlanmasını bekleyin.

DNAT kuralını yapılandırma

Bu kural, güvenlik duvarı üzerinden Srv-Work sanal makinesindeki web sunucusuna bağlanır.

  1. DNAT kuralları>Kural koleksiyonu ekle'yi seçin.

  2. Aşağıdaki değerleri girin:

    Ayar Değer
    Name HTTP
    Priority 200
    Kural koleksiyonu grubu DefaultDnatRuleCollectionGroup
    Kurallar
    Name http-nat
    Kaynak türü IP adresi
    Kaynak *
    Protokol TCP
    Hedef Bağlantı Noktaları 80
    Varış Noktası Güvenlik duvarı genel IP adresi
    Çevrilen tip IP Adresi
    Çevrilmiş adres Srv-Work özel IP adresi
    Çevrilmiş port 80

  3. Add (Ekle) seçeneğini belirleyin.

Srv-Work ağ arabiriminin birincil ve ikincil DNS adresini değiştirme

Bu öğreticideki test amacıyla sunucunun birincil ve ikincil DNS adreslerini yapılandırın. Bu yapılandırma genel bir Azure Güvenlik Duvarı gereksinimi değildir.

  1. Test-FW-RG kaynak grubunda Srv-Work sanal makinesi için ağ arabirimini seçin.
  2. Ayarlar'ın altında DNS sunucuları>Özel'i seçin.
  3. DNS sunucuları olarak 209.244.0.3 ve 209.244.0.4 girin ve Kaydet'i seçin.
  4. Srv-Work sanal makinesini yeniden başlatın.

Güvenlik duvarını test etme

Şimdi güvenlik duvarını test edin ve beklendiği gibi çalıştığını onaylayın.

DNAT kuralını test edin

  1. Yerel bilgisayarınızdaki bir web tarayıcısında girin http://<firewall-public-ip-address>.
  2. Özel web sayfasını görürsünüz: Azure Güvenlik Duvarı DNAT Testi. Bu, DNAT kuralının çalıştığını doğrular.

Uygulama ve ağ kurallarını test edin

Srv-Work sanal makinesine güvenli bir şekilde bağlanmak ve güvenlik duvarı kurallarını test etmek için Azure Bastion'ı kullanın.

  1. Test-FW-RG kaynak grubunda Srv-Work sanal makinesini ve ardındanBastion ile> seçin.

  2. Bastion sayfasında aşağıdaki değerleri girin veya seçin:

    Ayar Değer
    Kimlik Doğrulaması Türü Yerel Dosyadan SSH Özel Anahtarı'nı seçin.
    Username azureuser yazın.
    Yerel Dosya Gözat'ı seçin ve VM oluşturma sırasında indirdiğiniz Srv-Work_key.pem dosyasını seçin.

  3. Bağlan seçeneğini seçin.

    Srv-Work sanal makinesinde SSH oturumuyla yeni bir tarayıcı sekmesi açılır.

  4. SSH oturumunda, Google'a erişimi test etmek için aşağıdaki komutu girin:

    curl -I https://www.google.com

    Uygulama kuralının Google'a erişime izin verdiğine işaret eden başarılı bir HTTP yanıtı (200 Tamam) görürsünüz.

  5. Şimdi engellenmesi gereken Microsoft erişimini test edin. Giriş:

    curl -I https://www.microsoft.com

    Komut zaman aşımına uğrar veya yaklaşık 60 saniye sonra başarısız olur ve güvenlik duvarının erişimi engellediğini gösterir.

Şimdi güvenlik duvarı kurallarının çalıştığını doğruladınız:

  • DNAT kuralı aracılığıyla web sunucusuna erişebilirsiniz.
  • Yalnızca izin verilen bir FQDN'ye erişebilir, ancak diğer FQDN'lere erişemezsiniz.
  • Yapılandırılmış dış DNS sunucusunu kullanarak DNS adlarını çözümleyebilirsiniz.

Kaynakları temizle

Sonraki öğreticide güvenlik duvarı kaynaklarınızı koruyabilirsiniz. Artık bunlara ihtiyacınız yoksa, güvenlik duvarıyla ilgili tüm kaynakları silmek için Test-FW-RG kaynak grubunu silin.

Sonraki Adımlar

Azure Güvenlik Duvarı Premium'u dağıt ve yapılandır

  • Last updated on