Azure Güvenlik Duvarı ve Azure Application Gateway kullanarak web uygulamaları için Sıfır Güven ağı uygulama

Bu makalede, inceleme ve uçtan uca şifrelemeyi etkinleştirmek üzere web uygulamaları için Sıfır Güven güvenliğinin nasıl uygulandığı açıklanmaktadır. Sıfır Güven modeli, sürekli kimlik doğrulaması ve örtük güven alanlarının boyutunu en aza indirme gibi birçok farklı kavram içerir.

Bu makale, genel İnternet'ten gelen trafik için Sıfır Güven mimarisinin şifreleme ve inceleme bileşenine odaklanır. Uygulamanızı güvenli bir şekilde dağıtmanın kimlik doğrulaması ve yetkilendirme gibi diğer yönleri hakkında daha fazla bilgi için Sıfır Güven belgelerine bakın. Bu makaledeki örnekte çok katmanlı yaklaşım kullanılmaktadır. Çok katmanlı bir yaklaşımda, ağ güvenliği Sıfır Güven modelinin katmanlarından birini oluşturur. Bu katmanda ağ gereçleri paketleri inceler ve yalnızca geçerli trafiğin uygulamalara ulaştığından emin olur.

Genellikle, farklı ağ gereçleri türleri ağ paketlerinin farklı yönlerini inceler:

• Web uygulaması güvenlik duvarları, web uygulaması katmanında bir saldırı olduğunu gösteren desenleri arar.

• Yeni nesil güvenlik duvarları genel tehditleri de arayabilir.

Bu mimari, Azure Application Gateway'in Azure Güvenlik Duvarı Premium'a ulaşmadan önce trafiği incelediği ve işlediği güvenliği en üst düzeye çıkarmak için yaygın bir desene odaklanır. Bazı senaryolarda, korumayı artırmak için farklı türlerdeki ağ güvenlik gereçlerini birleştirebilirsiniz. Daha fazla bilgi için bkz. Sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway.

Mimarlık

Bu diyagramda, istemcilerini temsil eden simgeden HTTPS işaret eden bir ok, Application Gateway ve Azure Web Uygulaması Güvenlik Duvarı'nı temsil eden simgelere işaret eder. Bu simgelerden Azure Güvenlik Duvarı Premium simgesine HTTPS işaret eden başka bir ok. Azure Güvenlik Duvarı Premium simgesinden iki ok işaret eder. Bir ok Etki Alanı Adı Sistemi (DNS) olarak etiketlenmiştir ve bir DNS sunucusuna veya özel bölgeye işaret eder. Diğer ok HTTPS olarak etiketlenmiştir ve Azure Sanal Makineleri'ni temsil eden bir simgeye işaret eder.

Bu mimarinin Visio dosyasını indirin.

Bu mimari, her adımda trafiği şifrelemek için Aktarım Katmanı Güvenliği (TLS) protokolunu kullanır.

1. İstemci, yük dengeleyici olan Application Gateway'e paket gönderir. Azure Web Uygulaması Güvenlik Duvarı'nın isteğe bağlı olarak eklenmesiyle çalışır.

2. Application Gateway paketlerin şifresini çözer ve web uygulamalarına yönelik tehditleri arar. Herhangi bir tehdit bulmazsa, paketleri şifrelemek için Sıfır Güven ilkelerini kullanır. Sonra onları serbest bırakır.

3. Azure Güvenlik Duvarı Premium aşağıdaki güvenlik denetimlerini çalıştırır:

   • TLS incelemesi paketlerin şifresini çözer ve inceler.
   • İzinsiz giriş algılama ve önleme sistemi (IDPS) özellikleri, paketlerin kötü amaçlı olup olmadığını denetler.

4. Paketler testleri geçerse Azure Güvenlik Duvarı Premium şu adımları uygular:

   • Paketleri şifreler.
   • Uygulama sanal makinesini (VM) belirlemek için bir Etki Alanı Adı Sistemi (DNS) hizmeti kullanır.
   • Paketleri uygulama VM'sine iletir.

Bu mimarideki çeşitli denetim altyapıları trafik bütünlüğünü sağlar:

• Azure Web Uygulaması Güvenlik Duvarı, web katmanındaki saldırıları önlemek için kuralları kullanır. Saldırılara örnek olarak SQL kod ekleme ve siteler arası betik oluşturma verilebilir. Kurallar ve Açık Dünya Çapında Uygulama Güvenliği Projesi (OWASP) Çekirdek Kural Kümesi (CRS) hakkında daha fazla bilgi için bkz. Web uygulaması güvenlik duvarı CRS kural grupları ve kuralları.

• Azure Güvenlik Duvarı Premium, genel yetkisiz erişim algılama ve önleme kurallarını kullanır. Bu kurallar, web uygulamalarını hedefleyen kötü amaçlı dosyaları ve diğer tehditleri tanımlamaya yardımcı olur.

Bu mimari, bu makalede ele alınan aşağıdaki ağ tasarımı türlerini destekler:

• Geleneksel merkez ve uç ağları
• Azure Sanal WAN'i platform olarak kullanan ağlar
• Dinamik yönlendirmeyi basitleştirmek için Azure Route Server kullanan ağlar

Azure Güvenlik Duvarı Premium ve ad çözümleme

Azure Güvenlik Duvarı Premium kötü amaçlı trafiği denetlediğinde, Host başlığının paket IP adresi ve İletim Denetimi Protokolü (TCP) bağlantı noktasıyla eşleştiğini doğrular. Örneğin, Application Gateway'in 172.16.1.4 IP adresine ve 443 numaralı TCP bağlantı noktasına web paketleri gönderdiğini varsayalım. HTTP Ana Bilgisayar üst bilgisinin değeri bu IP adresine çözümlenmelidir.

HTTP Ana Bilgisayar üst bilgileri genellikle IP adresleri içermez. Bunun yerine, üst bilgiler sunucunun dijital sertifikasıyla eşleşen adlar içerir. Bu durumda Azure Güvenlik Duvarı Premium, Ana bilgisayar üst bilgisi adını bir IP adresine çözümlemek için DNS kullanır. Ağ tasarımı, hangi DNS çözümünün en iyi şekilde çalıştığını belirler.

Uyarı

Application Gateway, HTTP Ana Bilgisayar üst bilgilerinde bağlantı noktası numaralarını desteklemez. Sonuç olarak:

• Azure Güvenlik Duvarı Premium, 443 varsayılan HTTPS TCP bağlantı noktası olduğunu varsayar.
• Application Gateway ile web sunucusu arasındaki bağlantı yalnızca 443 numaralı TCP bağlantı noktasını destekler, standart olmayan bağlantı noktalarını desteklemez.

Dijital sertifikalar

Aşağıdaki diyagramda, bu mimarinin TLS oturumlarının ve sertifikalarının kullandığı ortak adlar (CN) ve sertifika yetkilileri (CA) gösterilmektedir.

Bu diyagramda, istemcilerini temsil eden simgeden HTTPS işaret eden bir ok, Application Gateway ve Azure Web Uygulaması Güvenlik Duvarı'nı temsil eden simgelere işaret eder. Bu simgelerin sol tarafında CN, myapp.contoso.com ve CA, DigiCert bulunur. Bu simgelerin sağ tarafında HTTP ayarlarında Azure Güvenlik Duvarı kök CA'sı bulunur. Bu simgelerden Azure Güvenlik Duvarı Premium simgesine HTTPS işaret eden başka bir ok. Bu simgenin sol tarafında CN, myapp.contoso.com ve CA, Azure Güvenlik Duvarı CA'sı yer alır. HTTPS etiketli başka bir ok, Azure Sanal Makineleri temsil eden bir simgeyi işaret eder. Bu simgenin sol tarafında CN, myapp.contoso.com ve CA, DigiCert bulunur.

Azure Güvenlik Duvarı kendi sertifikalarını dinamik olarak oluşturur. Bu özellik, Application Gateway'in arkasına yerleştirilmesinin temel nedenlerinden biridir. Aksi takdirde, uygulama istemcisi güvenlik riski olarak işaretlenen kendi kendine oluşturulan sertifikalarla karşı karşıyadır.

TLS bağlantıları

Bu mimari üç farklı TLS bağlantısı içerir. Dijital sertifikalar her birini doğrular.

İstemcilerden Application Gateway'e

Application Gateway'de istemcilerin gördüğü dijital sertifikayı dağıtırsınız. DigiCert veya Let's Encrypt gibi iyi bilinen bir CA genellikle böyle bir sertifika verir. Bu mekanizma, Azure Güvenlik Duvarı'nın otomatik olarak imzalanan veya iç ortak anahtar altyapısı CA'sından dinamik olarak dijital sertifikalar oluşturmasından temel olarak farklıdır.

Application Gateway'den Azure Güvenlik Duvarı Premium'a

TLS trafiğinin şifresini çözmek ve incelemek için Azure Güvenlik Duvarı Premium dinamik olarak sertifikalar oluşturur. Azure Güvenlik Duvarı Premium, kendisini web sunucusu olarak Application Gateway'e de sunar. Özel CA, Azure Güvenlik Duvarı Premium tarafından oluşturulan sertifikaları imzalar. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium sertifikalarını. Application Gateway'in bu sertifikaları doğrulaması gerekir. Uygulamanın HTTP ayarlarında, Azure Güvenlik Duvarı Premium'un kullandığı kök CA'yı yapılandıracaksınız.

Azure Güvenlik Duvarı Premium'dan web sunucusuna

Azure Güvenlik Duvarı Premium, hedef web sunucusuyla bir TLS oturumu oluşturur. Azure Güvenlik Duvarı Premium, iyi bilinen bir CA'nın web sunucusu TLS paketlerini imzalar.

Bileşen rolleri

Application Gateway ve Azure Güvenlik Duvarı Premium, rolleri farklı olduğundan sertifikaları birbirinden farklı işler:

• Application Gateway, ters web ara sunucusu. HTTP ve HTTPS isteklerini keserek web sunucularını kötü amaçlı istemcilerden korur. Application Gateway'in arka uç havuzunda bulunan her korumalı sunucuyu IP adresi veya tam etki alanı adıyla bildirirsiniz. Meşru istemcilerin her uygulamaya erişebilmesi gerekir. Bu nedenle Application Gateway'i genel CA'nın imzaladığınız dijital bir sertifikayla yapılandırabilirsiniz. Herhangi bir TLS istemcisinin kabul ettiğini bir CA kullanın.

• Azure Güvenlik Duvarı Premium, ileriye dönük bir web ara sunucusudur. Diğer bir ifadeyle, korumalı istemcilerden gelen TLS çağrılarını keserek istemcileri kötü amaçlı web sunucularından koruyan bir web proxy'si işlevi görür. Korumalı bir istemci HTTP isteğinde bulunduğunda, iletme web proxy'si dijital sertifikalar oluşturup istemciye sunarak hedef web sunucusunun kimliğine bürünüyor. Azure Güvenlik Duvarı Premium, dinamik olarak oluşturulan sertifikaları imzalayan özel bir CA kullanır. Korumalı istemcileri bu özel CA'ya güvenecek şekilde yapılandırabilirsiniz. Bu mimaride Azure Güvenlik Duvarı Premium, Application Gateway'den web sunucusuna gelen istekleri korur. Application Gateway, Azure Güvenlik Duvarı Premium'un kullandığı özel CA'ya güvenir.

Yönlendirme ve trafik iletme

Ağ tasarımınızın topolojisine bağlı olarak yönlendirme biraz farklıdır. Aşağıdaki bölümlerde merkez-uç, Sanal WAN ve Yönlendirme Sunucusu topolojileri örnekleri açıklanmaktadır. Tüm topolojilerin ortak yönleri şunlardır:

• Application Gateway her zaman ara sunucu görevi görür. Azure Güvenlik Duvarı Premium, TLS incelemesi için yapılandırıldığında da ara sunucu görevi görür. Application Gateway, istemcilerden gelen TLS oturumlarını sonlandırır ve yeni TLS oturumları Azure Güvenlik Duvarı'na yönelik olarak oluşturulur. Azure Güvenlik Duvarı, Application Gateway'den alınan TLS oturumlarını alır ve sonlandırır ve iş yüklerine yönelik yeni TLS oturumları oluşturur. Bu işlem, Azure Güvenlik Duvarı Premium'un IDPS yapılandırmasını etkiler. Daha fazla bilgi için bkz. IDPS ve özel IP adresleri.

• İş yükü, Azure Güvenlik Duvarı alt ağı IP adresinden gelen bağlantıları görür. Özgün istemci IP adresi, Application Gateway'in X-Forwarded-For ekli olduğu HTTP üst bilgisinde korunur. Azure Güvenlik Duvarı, X-Forwarded-For üst bilgisine kaynak istemci IP adresini eklemeyi de destekler. Bu senaryoda, kaynak istemci IP adresi uygulama ağ geçidinin IP adresidir.

• Application Gateway'den iş yüküne trafik genellikle Azure yönlendirme mekanizmaları kullanılarak Azure Güvenlik Duvarı'na gönderilir. Bu mekanizmalar, Application Gateway alt ağına yapılandırılan kullanıcı tanımlı yolları (UDR' ler) veya Sanal WAN veya Yol Sunucusu tarafından eklenen yolları içerir. Application Gateway arka uç havuzunda Azure Güvenlik Duvarı özel IP adresini açıkça tanımlamak mümkündür, ancak yük dengeleme ve oturum yapışkanlığı gibi Application Gateway'in bazı yerel işlevlerini kaldırdığından bunu yapmanızı önermiyoruz.

Aşağıdaki bölümlerde, Azure Güvenlik Duvarı ve Application Gateway ile kullanabileceğiniz en yaygın topolojilerden bazıları açıklanmaktadır.

Merkez-uç topolojisi

Merkez-uç tasarımı genellikle merkez sanal ağında paylaşılan ağ bileşenlerini ve uçlarda uygulamaya özgü bileşenleri dağıtır. Çoğu sistemde Azure Güvenlik Duvarı Premium paylaşılan bir kaynaktır. Azure Web Uygulaması Güvenlik Duvarı paylaşılan bir ağ cihazı veya uygulamaya özgü bir bileşen olabilir. Application Gateway'i bir uygulama bileşeni olarak ele almak ve aşağıdaki nedenlerle uç sanal ağına dağıtmak en iyi yöntemdir:

• Azure Web Uygulaması Güvenlik Duvarı uyarılarında sorun gidermek zor olabilir. Bu alarmları tetikleyen iletilerin meşru olup olmadığına karar vermek için genellikle uygulamanın ayrıntılı bilgisine ihtiyacınız vardır.

• Application Gateway'i paylaşılan kaynak olarak ele alırsanız Application Gateway sınırlarını aşabilirsiniz.

• Hub'da Application Gateway dağıtırsanız rol tabanlı erişim denetimi sorunlarıyla karşılaşabilirsiniz. Takımlar farklı uygulamaları yönettiğinde ancak aynı Application Gateway örneğini kullandığında bu durum oluşabilir. Ardından her ekibin Application Gateway yapılandırmasının tamamına erişimi olur.

Geleneksel merkez-uç mimarilerinde DNS özel bölgeleri, DNS'yi kullanmanın kolay bir yolunu sağlar:

1. DNS özel bölgesini yapılandırın.
2. Bölgeyi Azure Güvenlik Duvarı Premium'un bulunduğu sanal ağa bağlayın.
3. Application Gateway'in trafik ve sistem durumu denetimleri için kullandığı değer için bir adres kaydının mevcut olduğundan emin olun.

Aşağıdaki diyagramda Application Gateway uç sanal ağındayken paket akışı gösterilmektedir. Bu durumda, bir istemci genel İnternet'ten bağlanır.

Diyagram iki ana bölümden oluşur: merkez sanal ağı ve uç sanal ağı. Mavi ok, istemci isteğinin İnternet'ten uç sanal ağındaki uygulama alt ağına yolculuğunu temsil eder. Mavi ok, İnternet'i temsil eden bir simgeden başlar ve uç sanal ağındaki Application Gateway alt ağını gösterir. Mavi ok, Application Gateway alt ağından merkez sanal ağındaki Azure Güvenlik Duvarı alt ağına devam eder. Ardından Azure Güvenlik Duvarı alt ağından uç sanal ağındaki uygulama alt ağına işaret eder. Sanal ağ eşleme olarak etiketlenmiş çift taraflı bir ok, merkez sanal ağ ile uç sanal ağ bölümlerini birbirine bağlar. Yeşil ok, istemci isteğinin uygulama alt ağından istemciye dönüş yolculuğunu temsil eder. Yeşil ok, uygulama alt ağında başlar ve Azure Güvenlik Duvarı alt ağına işaret eder. Yeşil ok, Azure Güvenlik Duvarı alt ağından Application Gateway alt ağından istemciye geri döner.

1. İstemci bir web sunucusuna istek gönderir.

2. Application Gateway, istemci paketlerini durdurur ve inceler. Paketler incelemeden geçerse, Application Gateway paketleri arka uç VM'sine gönderir. Paketler Azure'a ulaştığında, Application Gateway alt ağındaki bir UDR bunları Azure Güvenlik Duvarı Premium'a iletir.

3. Azure Güvenlik Duvarı Premium, paketler üzerinde güvenlik denetimleri çalıştırır. Testleri geçerlerse Azure Güvenlik Duvarı Premium paketleri uygulama VM'sine iletir.

4. VM yanıt verir ve hedef IP adresini uygulama ağ geçidine ayarlar. VM alt ağındaki bir UDR paketleri Azure Güvenlik Duvarı Premium'a yönlendirir.

5. Azure Güvenlik Duvarı Premium paketleri Application Gateway'e iletir.

6. Application Gateway istemciyi yanıtlar.

Trafik, genel İnternet yerine şirket içi bir ağdan da gelebilir. Trafik, siteden siteye sanal özel ağ (VPN) üzerinden veya Azure ExpressRoute üzerinden akar. Bu senaryoda trafik ilk olarak hub'da bir sanal ağ geçidine ulaşır. Ağ akışının geri kalanı önceki diyagramla aynıdır.

Diyagram iki ana bölümden oluşur: merkez sanal ağı ve uç sanal ağı. Mavi ok, istemci isteğinin şirket içinden uygulama VM'sine yolculuğunu temsil eder. Mavi ok şirket içi istemcide başlar ve merkez sanal ağındaki sanal ağ geçidi alt ağına işaret eder. Mavi ok, sanal ağ geçidi alt ağından uç sanal ağındaki Application Gateway alt ağına devam eder. Ardından merkez sanal ağındaki Azure Güvenlik Duvarı alt ağına işaret eder ve uç sanal ağındaki uygulama alt ağına devam eder. Sanal ağ eşleme olarak etiketlenmiş çift taraflı bir ok, merkez sanal ağ ile uç sanal ağ bölümlerini birbirine bağlar. Yeşil ok, istemci isteğinin uygulama VM'sinden şirket içi istemciye dönüş yolculuğunu temsil eder. Yeşil ok uygulama VM'sinde başlar ve Azure Güvenlik Duvarı alt ağına işaret eder. Ardından Application Gateway alt ağına, sanal ağ geçidine ve ardından istemciye işaret eder.

1. Şirket içi istemci sanal ağ geçidine bağlanır.

2. Sanal ağ geçidi, istemci paketlerini Application Gateway'e iletir.

3. Application Gateway paketleri inceler. İncelemeyi geçerlerse Application Gateway alt ağındaki bir UDR paketleri Azure Güvenlik Duvarı Premium'a iletir.

4. Azure Güvenlik Duvarı Premium, paketler üzerinde güvenlik denetimleri çalıştırır. Testleri geçerlerse Azure Güvenlik Duvarı Premium paketleri uygulama VM'sine iletir.

5. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. VM alt ağındaki bir UDR paketleri Azure Güvenlik Duvarı Premium'a yönlendirir.

6. Azure Güvenlik Duvarı Premium paketleri Application Gateway'e iletir.

7. Application Gateway paketleri sanal ağ geçidine gönderir.

8. Sanal ağ geçidi istemciyi yanıtlar.

Sanal WAN topolojisi

Bu mimaride Sanal WAN ağ hizmetini de kullanabilirsiniz. Bu bileşen birçok avantaj sağlar. Örneğin uç sanal ağlarda kullanıcı tarafından korunan UDR'lere olan ihtiyacı ortadan kaldırır. Bunun yerine sanal hub yönlendirme tablolarında statik yollar tanımlayabilirsiniz. Hub'a bağladığınız her sanal ağın programlaması bu yolları içerir.

Sanal WAN'ı bir ağ platformu olarak kullandığınızda, iki ana fark sonucu:

• Microsoft sanal hub'ları yönettiği için DNS özel bölgelerini bir sanal hub'a bağlayamazsınız. Abonelik sahibi olarak, özel DNS bölgelerini bağlama izniniz yoktur. Sonuç olarak, dns özel bölgesini Azure Güvenlik Duvarı Premium içeren güvenli hub ile ilişkilendiremezsiniz.

  Azure Güvenlik Duvarı Premium için DNS çözümlemesi uygulamak için bunun yerine DNS sunucularını kullanın:

  • Azure Güvenlik Duvarı DNS ayarlarını özel DNS sunucularını kullanacak şekilde yapılandırın.

  • Sanal WAN'a bağladığınız paylaşılan hizmetler sanal ağında sunucuları dağıtın.

  • Dns özel bölgesini paylaşılan hizmetler sanal ağına bağlayın. DNS sunucuları daha sonra Application Gateway'in HTTP Ana Bilgisayar üst bilgilerinde kullandığı adları çözümleyebilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı DNS ayarları.

• Sanal WAN'ı yalnızca ön ek sanal ağ ön ekinden daha kısa (daha az özel) olduğunda uçtaki yolları programlamak için kullanabilirsiniz. Örneğin, önceki diyagramlarda uç sanal ağının ön eki 172.16.0.0/16vardır. Bu durumda Sanal WAN, sanal ağ ön eki () veya alt ağlardan herhangi biri (172.16.0.0/16172.16.0.0/24, 172.16.1.0/24) ile eşleşen bir yol ekleyemez. Başka bir deyişle, Sanal WAN aynı sanal ağda bulunan iki alt ağ arasındaki trafiği yönlendiremez.

  Application Gateway ve hedef web sunucusu aynı sanal ağda olduğunda bu sınırlama belirginleşir. Sanal WAN, Application Gateway ile web sunucusu arasındaki trafiği Azure Güvenlik Duvarı Premium üzerinden gitmeye zorlayamaz. Geçici çözümlerden biri, Application Gateway ve web sunucusu alt ağlarında UDR'leri el ile yapılandırmaktır.

Aşağıdaki diyagramda, Sanal WAN kullanan bir mimarideki paket akışı gösterilmektedir. Bu senaryoda Application Gateway'e erişim şirket içi bir ağdan gelir. Siteden siteye VPN veya ExpressRoute örneği bu ağı Sanal WAN'a bağlar. İnternet tabanlı erişim benzer bir yol izler.

Diyagram dört bölümden oluşur: merkez sanal ağı, Application Gateway sanal ağı, uygulama sanal ağı ve paylaşılan hizmetler sanal ağı. Mavi ok, istemci isteğinin şirket içinden uygulama VM'sine yolculuğunu temsil eder. Mavi ok şirket içi istemciden başlar ve merkez sanal ağındaki VPN ağ geçidini gösterir. Ardından mavi ok, VPN ağ geçidinden Application Gateway sanal ağındaki Application Gateway alt ağına işaret etti. Application Gateway alt ağından merkez sanal ağında Azure Güvenlik Duvarı Premium'un temsil ettiği bir simgeye devam eder. Ardından Azure Güvenlik Duvarı Premium simgesinden paylaşılan hizmetler sanal ağındaki DNS alt ağına işaret eder. Yeşil ok, istemci isteğinin şirket içi istemciye geri dönüş yolculuğunu temsil eder. Yeşil ok, DNS alt ağından başlar ve merkez sanal ağındaki Azure Güvenlik Duvarı Premium simgesini gösterir. Mavi ok, Azure Güvenlik Duvarı Premium güvenlik denetimlerini geçen paketleri temsil eder. Uygulama sanal ağındaki uygulama VM'sine işaret eder. Yeşil ok, Azure Güvenlik Duvarı Premium'a geri döner ve ardından Application Gateway alt ağı, VPN ağ geçidi ve son olarak istemciye döner.

1. Şirket içi istemci VPN ağ geçidine bağlanır.

2. VPN ağ geçidi, istemci paketlerini Application Gateway'e iletir.

3. Application Gateway paketleri inceler. İncelemeyi geçerlerse Application Gateway alt ağı paketleri Azure Güvenlik Duvarı Premium'a iletir.

4. Azure Güvenlik Duvarı Premium, paylaşılan hizmetler sanal ağındaki bir DNS sunucusundan DNS çözümlemesi isteğinde bulunur.

5. DNS sunucusu çözüm isteğini yanıtlar.

6. Azure Güvenlik Duvarı Premium, paketler üzerinde güvenlik denetimleri çalıştırır. Testleri geçerlerse Azure Güvenlik Duvarı Premium paketleri uygulama VM'sine iletir.

7. VM yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Uygulama alt ağı paketleri Azure Güvenlik Duvarı Premium'a yönlendirir.

8. Azure Güvenlik Duvarı Premium paketleri Application Gateway'e iletir.

9. Application Gateway paketleri VPN ağ geçidine gönderir.

10. VPN ağ geçidi istemciyi yanıtlar.

Bu tasarımı kullanırsanız, hub'ın uç sanal ağlara yayınladığı yönlendirmeyi değiştirmeniz gerekebilir. Özellikle, Application Gateway v2 yalnızca İnternet'e işaret eden bir 0.0.0.0/0 yolu destekler. İnternet'e işaret etmeyen bu adrese sahip yollar, Microsoft'un Application Gateway'i yönetmek için gerektirdiği bağlantıyı bozar. Sanal hub'ınız bir 0.0.0.0/0 yol tanıtıyorsa, aşağıdaki adımlardan birini uygulayarak bu yolun Application Gateway alt ağından yayılmasını önleyin:

• 0.0.0.0/0 için bir yol ve sonraki atlama türü Internet olarak bir yol tablosu oluşturun. Bu yolu Application Gateway'i dağıttığınız alt ağ ile ilişkilendirin.

• Application Gateway'i ayrılmış bir uçta dağıtırsanız, sanal ağ bağlantısı ayarlarında varsayılan yolun yayılmasını devre dışı bırakın.

Yönlendirme Sunucusu topolojisi

Route Server , yolları uçlara otomatik olarak eklemek için başka bir yol sağlar. Yol tablolarını korumanın yönetim yükünü önlemek için bu işlevi kullanın. Rota Sunucusu, Sanal WAN ve merkez-uç değişkenlerini birleştirir:

• Merkez sanal ağlarını yönetmek için Yönlendirme Sunucusu'nu kullanabilirsiniz. Sonuç olarak, merkez sanal ağını bir DNS özel bölgesine bağlayabilirsiniz.

• Yönlendirme Sunucusu, Sanal WAN'ın IP adresi ön ekleri ile aynı sınırlamaya sahiptir. Uçlara yalnızca ön ek sanal ağ ön ekinden daha kısa (daha az özel) olduğunda yol ekleyebilirsiniz. Bu sınırlama nedeniyle Application Gateway ve hedef web sunucusunun farklı sanal ağlarda olması gerekir.

Aşağıdaki diyagramda, Route Server dinamik yönlendirmeyi basitleştirdiğinde paket akışı gösterilmektedir. Aşağıdaki noktaları göz önünde bulundurun:

• Yol Sunucusu şu anda sınır ağ geçidi protokolü (BGP) üzerinden göndermek için yolların eklenmiş olduğu cihazı gerektirir. Azure Güvenlik Duvarı Premium BGP'yi desteklemez, bu nedenle bunun yerine Microsoft dışı bir ağ sanal gereci (NVA) kullanın.

• Hub'daki NVA işlevi, uygulamanızın DNS'ye ihtiyacı olup olmadığını belirler.

Diyagram dört bölümden oluşur: merkez sanal ağı, Application Gateway sanal ağı, uygulama sanal ağı ve paylaşılan hizmetler sanal ağı. Merkez sanal ağı, sanal ağ geçidi alt ağını, Route Server alt ağını ve NVA alt ağını temsil eden üç kutu içerir. Mavi ok, istemci isteğinin şirket içinden uygulama VM'sine yolculuğunu temsil eder. Mavi ok şirket içi istemciden başlar ve merkez sanal ağ bölümündeki sanal ağ geçidini gösterir. Ardından mavi ok, Application Gateway sanal ağındaki Application Gateway alt ağını gösterir. Mavi ok, merkez sanal ağındaki NVA alt ağına devam eder. Ardından NVA alt ağından paylaşılan hizmetler sanal ağındaki DNS alt ağına işaret eder. Yeşil ok, istemci isteğinin şirket içi istemciye geri dönüş yolculuğunu temsil eder. DNS alt ağından başlar ve merkez sanal ağındaki NVA alt ağına işaret eder. Mavi ok, NVA güvenlik denetimlerini geçen paketleri temsil eder. Uygulama sanal ağındaki uygulama VM'sine işaret eder. Yeşil ok NVA alt ağına işaret eder ve Application Gateway alt ağına, ardından sanal ağ geçidine ve son olarak istemciye geri döner.

1. Şirket içi istemci sanal ağ geçidine bağlanır.

2. Sanal ağ geçidi, istemci paketlerini Application Gateway'e iletir.

3. Application Gateway paketleri inceler. İncelemeyi geçerlerse Application Gateway alt ağı paketleri bir arka uç makinesine iletir. Route Server, Application Gateway alt ağına trafiği bir NVA'ya ileden bir yol ekler.

4. NVA alt ağı, paylaşılan hizmetler sanal ağındaki bir DNS sunucusundan DNS çözümlemesi isteğinde bulunur.

5. DNS sunucusu çözüm isteğini yanıtlar.

6. NVA, paketler üzerinde güvenlik denetimleri çalıştırır. Testleri geçerlerse, NVA paketleri uygulama VM'sine iletir.

7. Uygulama VM'si yanıt verir ve hedef IP adresini Application Gateway olarak ayarlar. Yol Sunucusu, VM alt ağına paketleri NVA'ya yönlendiren bir yol ekler.

8. NVA paketleri Application Gateway'e iletir.

9. Application Gateway paketleri sanal ağ geçidine gönderir.

10. Sanal ağ geçidi istemciyi yanıtlar.

Sanal WAN'da olduğu gibi Yönlendirme Sunucusu'nu kullanırken yönlendirmeyi değiştirmeniz gerekebilir. Eğer 0.0.0.0/0 rotasını tanıtırsanız, bu Application Gateway alt ağına yayılabilir. Ancak Application Gateway bu yolu desteklemez. Bu durumda Application Gateway alt ağı için bir yol tablosu yapılandırın. Bu tabloya, 0.0.0.0/0 için bir yol ve Internet sonraki atlama türünü ekleyin.

IDPS ve özel IP adresleri

Azure Güvenlik Duvarı Premium, paketlerin kaynak ve hedef IP adreslerine göre hangi IDPS kurallarının uygulanacağını belirler. Varsayılan olarak, Azure Güvenlik Duvarı RFC 1918 aralıklarındaki (10.0.0.0/8, 192.168.0.0/16ve ) ve 172.16.0.0/12RFC 6598 aralığındaki (100.64.0.0/10) özel IP adreslerini dahili olarak ele alır. Bu nedenle, Application Gateway'i bu aralıklardan birinde bir alt ağa dağıtırsanız Azure Güvenlik Duvarı Premium, Application Gateway ile iş yükü arasındaki trafiği dahili olarak kabul eder. Bu nedenle, yalnızca iç trafiğe veya herhangi bir trafiğe uygulanacak şekilde işaretlenmiş IDPS imzaları kullanılır. Gelen veya giden trafik için uygulanacak şekilde işaretlenmiş IDPS imzaları Application Gateway ile iş yükü arasındaki trafiğe uygulanmaz. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı IDPS kuralları.

IDPS gelen imza kurallarını Application Gateway ile iş yükü arasındaki trafiğe uygulanmaya zorlamanın en kolay yolu, Application Gateway'i özel aralıkların dışında bir ön ek kullanan bir alt ağa yerleştirmektir. Bu alt ağ için genel IP adreslerini kullanmanız gerekmez. Bunun yerine, Azure Güvenlik Duvarı Premium'un IDPS için dahili olarak değerlendirdiği IP adreslerini özelleştirebilirsiniz. Örneğin, kuruluşunuz 100.64.0.0/10 aralığını kullanmıyorsa, bu aralığı IDPS iç ön ekleri listesinden kaldırabilir ve Application Gateway'i 100.64.0.0/10 içinde bir IP adresiyle yapılandırılmış bir alt ağa dağıtabilirsiniz. Daha fazla bilgi için bkz: Azure Güvenlik Duvarı Premium özel IPDS aralıkları.

Katkıda Bulunanlar

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazar:

• Jose Moreno | Baş Müşteri Mühendisi

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• Sıfır Güven ile ağların güvenliğini sağlama
• Sanal ağ trafiğini yönlendirme
• Uygulama ağ geçidi nasıl çalışır?

İlgili kaynaklar

• Güvenli bir karma ağ uygulama
• Azure'da merkez-uç ağ topolojisi
• Sanal WAN kullanan merkez-uç ağ topolojisi