Düzenle

Aracılığıyla paylaş


Sanal ağlar için Güvenlik Duvarı ve Uygulama Ağ Geçidi

Azure Application Gateway
Azure Firewall
Azure Front Door
Azure Virtual Network
Azure Web Application Firewall

Azure uygulama iş yüklerinin güvenliğini sağlamak için uygulamaların kendisinde kimlik doğrulaması ve şifreleme gibi koruyucu ölçüler kullanmanız gerekir. Ayrıca, uygulamaları barındıran sanal ağlara (VNet) güvenlik katmanları da ekleyebilirsiniz. Bu güvenlik katmanları, uygulamanın gelen akışlarını istenmeyen kullanımdan korur. Ayrıca, İnternet'e giden akışları yalnızca uygulamanızın gerektirdiği uç noktalarla sınırlandırırlar. Bu makalede Azure DDoS Koruması, Azure Güvenlik Duvarı ve Azure Uygulaması lication Gateway gibi Azure Sanal Ağ güvenlik hizmetleri, her hizmetin ne zaman kullanılacağı ve her ikisini de birleştiren ağ tasarımı seçenekleri açıklanmaktadır.

  • Uygulama tasarımı en iyi yöntemleriyle birlikte Azure DDoS Koruması, DDoS saldırılarına karşı daha fazla savunma sağlamak için gelişmiş DDoS azaltma özellikleri sağlar. Herhangi bir çevre sanal ağında Azure DDOS Koruması'nı etkinleştirmeniz gerekir.
  • Azure Güvenlik Duvarı, ağ adresi çevirisi (NAT) sunan yönetilen bir yeni nesil güvenlik duvarıdır. Azure Güvenlik Duvarı, paket filtrelemeyi İnternet Protokolü (IP) adreslerine ve İletim Denetimi Protokolü ve Kullanıcı Veri Birimi Protokolü (TCP/UDP) bağlantı noktalarına ya da uygulama tabanlı HTTP(S) veya SQL özniteliklerine dayandırır. Azure Güvenlik Duvarı, kötü amaçlı IP adreslerini tanımlamak için Microsoft tehdit bilgilerini de uygular. Daha fazla bilgi için Azure Güvenlik Duvarı belgelerine bakın.
  • Azure Güvenlik Duvarı Premium, Azure Güvenlik Duvarı Standard'ın tüm işlevlerini ve TLS denetleme ve Yetkisiz Erişim Algılama ve Koruma Sistemi (IDPS) gibi diğer özellikleri içerir.
  • Azure Uygulaması lication Gateway, Güvenli Yuva Katmanı (SSL) şifreleme ve şifre çözme gerçekleştirebilen yönetilen bir web trafiği yük dengeleyici ve HTTP(S) tam ters proxy'dir. Application Gateway, bir X-Forwarded-For HTTP üst bilgisinde özgün istemci IP adresini korur. Application Gateway ayrıca web trafiğini incelemek ve HTTP katmanındaki saldırıları algılamak için Web Uygulaması Güvenlik Duvarı kullanır. Daha fazla bilgi için Application Gateway belgelerine bakın.
  • Azure Web Uygulaması Güvenlik Duvarı (WAF), Azure Uygulaması lication Gateway'e isteğe bağlı bir ektir. HTTP isteklerinin incelenmesini sağlar ve SQL Ekleme veya Siteler Arası Betik Oluşturma gibi web katmanındaki kötü amaçlı saldırıları önler. Daha fazla bilgi için Web Uygulaması Güvenlik Duvarı belgelerine bakın.

Bu Azure hizmetleri tamamlayıcı niteliktedir. Bunlardan biri veya diğeri iş yükleriniz için en iyi olabilir veya bunları hem ağ hem de uygulama katmanlarında en iyi koruma için birlikte kullanabilirsiniz. Uygulamanızın sanal ağı için en iyi güvenlik seçeneğini belirlemek için aşağıdaki karar ağacını ve bu makaledeki örnekleri kullanın.

Azure Güvenlik Duvarı ve Azure Uygulaması lication Gateway farklı teknolojiler kullanır ve farklı akışların menkul tutulmasını destekler:

Uygulama Akışı Azure Güvenlik Duvarı göre filtrelenebilir Application Gateway'de WAF tarafından filtrelenebilir
Şirket içinden/İnternet'ten Azure'a (gelen) HTTP trafiği Yes Yes
Azure'dan şirket içi/İnternet'e (giden) HTTP trafiği Yes Hayır
HTTP olmayan trafik, gelen/giden Yes Hayır

Bir uygulamanın gerektirdiği ağ akışlarına bağlı olarak, tasarım uygulama bazında farklı olabilir. Aşağıdaki diyagram, bir uygulama için önerilen yaklaşımı seçmeye yardımcı olan basitleştirilmiş bir karar ağacı sunar. Karar, uygulamanın HTTP(S) veya başka bir protokol aracılığıyla yayımlanıp yayımlanmadığına bağlıdır:

Diagram that demonstrates the virtual network security decision tree.

Bu makalede akış grafiğinden yaygın olarak önerilen tasarımlar ve daha az yaygın senaryolarda geçerli olan diğer tasarımlar ele alınacaktır:

  • Yalnızca Azure Güvenlik Duvarı, sanal ağda web uygulaması olmadığında. Hem uygulamalara gelen trafiği hem de giden trafiği denetler.
  • Sanal ağda yalnızca web uygulamaları olduğunda ve ağ güvenlik grupları (NSG) yeterli çıkış filtrelemesi sağladığında tek başına Application Gateway. Azure Güvenlik Duvarı tarafından sağlanan işlevler birçok saldırı senaryolarını (veri sızdırma, IDPS vb.) engelleyebilir. Bu nedenle, tek başına Application Gateway senaryosu genellikle önerilmez ve bu nedenle belgelenmez ve yukarıdaki akış grafiğinde yer almaz.
  • en yaygın tasarımlardan biri olan Azure Güvenlik Duvarı ve Application Gateway paralel olarak. HTTP(S) uygulamalarını web saldırılarına karşı korumak için Azure Uygulaması Lication Gateway ve diğer tüm iş yüklerini korumak ve giden trafiği filtrelemek için Azure Güvenlik Duvarı istediğinizde bu bileşimi kullanın.
  • Azure Güvenlik Duvarı önünde Application Gateway, Azure Güvenlik Duvarı tüm trafiği denetlemesini istediğinizde, web trafiğini korumak için WAF ve uygulamanın istemcinin kaynak IP adresini bilmesi gerekir. Azure Güvenlik Duvarı Premium ve TLS denetimi ile bu tasarım uçtan uca SSL senaryolarını da destekler.
  • Application Gateway'in önüne Azure Güvenlik Duvarı, Application Gateway'e ulaşmadan önce trafiği incelemek ve filtrelemek Azure Güvenlik Duvarı istediğinizde. Azure Güvenlik Duvarı HTTPS trafiğinin şifresini çözemediğinden, Application Gateway'e eklediği işlevsellik sınırlıdır. Bu senaryo yukarıdaki akış grafiğinde belgelenmemiştir.

Bu makalenin son bölümünde, önceki temel tasarımların varyasyonları açıklanmıştır. Bu çeşitlemeler şunlardır:

API Management ağ geçidi veya Azure Front Door gibi diğer ters ara sunucu hizmetlerini ekleyebilirsiniz. Veya Azure kaynaklarını üçüncü taraf ağ sanal gereçleriyle değiştirebilirsiniz.

Not

Aşağıdaki senaryolarda bir Azure sanal makinesi, web uygulaması iş yükü örneği olarak kullanılır. Senaryolar, kapsayıcılar veya Azure Web Apps gibi diğer iş yükü türleri için de geçerlidir. Özel uç noktalar da dahil olmak üzere kurulumlar için özel uç noktaya yönelik trafiği incelemek için Azure Güvenlik Duvarı kullanma'daki önerileri göz önünde bulundurun

Yalnızca Azure Güvenlik Duvarı

Sanal ağda WAF'den yararlanabilecek web tabanlı iş yükü yoksa yalnızca Azure Güvenlik Duvarı kullanabilirsiniz. Bu durumda tasarım basittir, ancak paket akışını gözden geçirmek daha karmaşık tasarımları anlamanıza yardımcı olur. Bu tasarımda tüm gelen trafik, şirket içi veya diğer Azure sanal ağlarından gelen bağlantılar için kullanıcı tanımlı yollar (UDR) aracılığıyla Azure Güvenlik Duvarı gönderilir. Aşağıdaki diyagramda gösterildiği gibi, genel İnternet'ten gelen bağlantılar için Azure Güvenlik Duvarı genel IP adresine gider. Azure sanal ağlarından giden trafik, aşağıdaki iletişim kutusunda gösterildiği gibi UDR'ler aracılığıyla Güvenlik Duvarı'na gönderilir.

Aşağıdaki tabloda bu senaryoya yönelik trafik akışları özetlemektedir:

Akış Application Gateway / WAF üzerinden gider Azure Güvenlik Duvarı
İnternet'ten/şirket içinden Azure'a HTTP trafiği Yok Evet (aşağıya bakın)
Azure'dan İnternet'e/şirket içi İnternet'e HTTP trafiği YOK Evet
İnternet'ten/şirket içinden Azure'a HTTP olmayan trafik YOK Evet
Azure'dan İnternet'e/şirket içi İnternet'e HTTP olmayan trafik YOK Evet

Azure Güvenlik Duvarı gelen HTTP(S) trafiğini incelemez. Ancak katman 3 ve katman 4 kurallarını ve FQDN tabanlı uygulama kurallarını uygulayabilir. Azure Güvenlik Duvarı, Azure Güvenlik Duvarı katmanına ve TLS incelemesini yapılandırıp yapılandırmadığınıza bağlı olarak giden HTTP(S) trafiğini inceler:

  • Azure Güvenlik Duvarı Standard, ağ kurallarında paketlerin yalnızca katman 3 ve katman 4 özniteliklerini ve uygulama kurallarında Konak HTTP üst bilgisini inceler.
  • Azure Güvenlik Duvarı Premium, diğer HTTP üst bilgilerini (User-Agent gibi) inceleme ve daha derin paket analizi için TLS incelemesini etkinleştirme gibi özellikler ekler. Azure Güvenlik Duvarı bir Web Uygulaması Güvenlik Duvarı eşdeğer değildir. Sanal Ağ web iş yükleriniz varsa WAF kullanmanız kesinlikle önerilir.

Aşağıdaki paket kılavuzu örneği, istemcinin vm tarafından barındırılan bir uygulamaya genel İnternet'ten nasıl eriştiği gösterilmektedir. Diyagram basitlik için yalnızca bir VM içerir. Daha yüksek kullanılabilirlik ve ölçeklenebilirlik için bir yük dengeleyicinin arkasında birden çok uygulama örneğinin olması gerekir. Bu tasarımda Azure Güvenlik Duvarı hem genel İnternet'ten gelen bağlantıları hem de UDR kullanarak uygulama alt ağı VM'sinden giden bağlantıları inceler.

  • Azure Güvenlik Duvarı hizmeti, burada ön uç IP adresi 192.168.100.4 ve 192.168.100.0/26 aralığındaki iç adreslerle birlikte, kapaklar altında çeşitli örnekler dağıtır. Bu tek tek örnekler normalde Azure yöneticisi tarafından görünmez. Ancak aradaki farkın fark edilmesi, ağ sorunlarını giderme gibi bazı durumlarda yararlıdır.
  • Trafik İnternet yerine şirket içi bir sanal özel ağdan (VPN) veya Azure ExpressRoute ağ geçidinden geliyorsa, istemci VM'nin IP adresine bağlantıyı başlatır. Güvenlik duvarının IP adresine bağlantıyı başlatmaz ve güvenlik duvarı varsayılan başına Kaynak NAT yapmaz.

Mimari

Aşağıdaki diyagramda örnek IP adresinin olduğu varsayılarak trafik akışı gösterilmektedir 192.168.100.7.

Diagram that shows Azure Firewall only.

İş Akışı

  1. İstemci, Azure Güvenlik Duvarı genel IP adresine bağlantıyı başlatır:
    • Kaynak IP adresi: ClientPIP
    • Hedef IP adresi: AzFwPIP
  2. Azure Güvenlik Duvarı genel IP'ye yönelik istek, güvenlik duvarının arka uç örneğine (bu örnekte 192.168.100.7) dağıtılır. Azure Güvenlik Duvarı Hedef NAT (DNAT) kuralı, hedef IP adresini sanal ağın içindeki uygulama IP adresine çevirir. Azure Güvenlik Duvarı ayrıca, DNAT işlemi yaparsa paketin Kaynak NAT'leri (STS) de kullanılır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı bilinen sorunlar. VM, gelen pakette aşağıdaki IP adreslerini görür:
    • Kaynak IP adresi: 192.168.100.7
    • Hedef IP adresi: 192.168.1.4
  3. VM, kaynak ve hedef IP adreslerini tersine çevirmeyle uygulama isteğini yanıtlar. Kaynak IP Azure Güvenlik Duvarı IP adresi olduğundan gelen akış için kullanıcı tanımlı yol (UDR) gerekmez. 0.0.0.0/0 için diyagramdaki UDR, genel İnternet'e giden paketlerin Azure Güvenlik Duvarı geçtiğinden emin olmak için giden bağlantılar içindir.
    • Kaynak IP adresi: 192.168.1.4
    • Hedef IP adresi: 192.168.100.7
  4. Son olarak Azure Güvenlik Duvarı SNAT ve DNAT işlemlerini geri alır ve yanıtı istemciye sunar:
    • Kaynak IP adresi: AzFwPIP
    • Hedef IP adresi: ClientPIP

Yalnızca Application Gateway

Bu tasarım, sanal ağda yalnızca web uygulamalarının bulunduğu durumu kapsar ve NSG'lerle giden trafiğin incelenmesi, İnternet'e giden akışları korumak için yeterlidir.

Not

Giden akışları denetlemek için (yalnızca NSG'ler yerine) Azure Güvenlik Duvarı kullanılması, iş yüklerinizin yalnızca onaylanan URL listesine veri gönderdiğinden emin olduğunuz veri sızdırma gibi bazı saldırı senaryolarını engelleyeceğinden bu önerilen bir tasarım değildir. Ayrıca NSG'ler yalnızca katman 3 ve katman 4 üzerinde çalışır ve FQDN desteği yoktur.

Önceki tasarımdan yalnızca Azure Güvenlik Duvarı arasındaki temel fark, Application Gateway'in NAT ile yönlendirme cihazı olarak çalışmamasıdır. Tam ters uygulama ara sunucusu gibi davranır. Diğer bir ifadeyle, Application Gateway istemciden web oturumunu durdurur ve arka uç sunucularından biriyle ayrı bir oturum oluşturur. İnternet'ten gelen HTTP(S) bağlantılarının Application Gateway'in genel IP adresine, Azure'dan veya şirket içinden ağ geçidinin özel IP adresine bağlantıların gönderilmesi gerekir. Azure VM'lerinden gelen trafik, standart sanal ağ yönlendirmesini izleyerek Application Gateway'e geri döner (daha fazla ayrıntı için paket kılavuzuna bakın). Azure VM'lerinden giden İnternet akışları doğrudan İnternet'e gider.

Aşağıdaki tabloda trafik akışları özetlemektedir:

Akış Application Gateway / WAF üzerinden gider Azure Güvenlik Duvarı
İnternet'ten/şirket içinden Azure'a HTTP trafiği Yes Yok
Azure'dan İnternet'e/şirket içi İnternet'e HTTP trafiği Hayır YOK
İnternet'ten/şirket içinden Azure'a HTTP olmayan trafik Hayır YOK
Azure'dan İnternet'e/şirket içi İnternet'e HTTP olmayan trafik Hayır YOK

Mimari

Aşağıdaki paket kılavuzu örneği, istemcinin vm tarafından barındırılan uygulamaya genel İnternet'ten nasıl eriştiği gösterilmektedir.

Diagram that shows Application Gateway only.

İş Akışı

  1. İstemci, Azure Uygulaması lication Gateway'in genel IP adresine bağlantıyı başlatır:
    • Kaynak IP adresi: ClientPIP
    • Hedef IP adresi: AppGwPIP
  2. Application Gateway genel IP'sine yönelik istek, ağ geçidinin arka uç örneğine (bu örnekte 192.168.200.7) dağıtılır. İsteği alan Application Gateway örneği istemciden bağlantıyı durdurur ve arka uçlardan biriyle yeni bir bağlantı kurar. Arka uç, Application Gateway örneğini kaynak IP adresi olarak görür. Application Gateway, özgün istemci IP adresiyle bir X-Forwarded-For HTTP üst bilgisi ekler.
    • Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
    • Hedef IP adresi: 192.168.1.4
    • X-Forwarded-For üst bilgisi: ClientPIP
  3. VM, kaynak ve hedef IP adreslerini tersine çevirmeyle uygulama isteğini yanıtlar. VM, Application Gateway'e nasıl ulaşacaklarını zaten bilir, bu nedenle UDR gerekmez.
    • Kaynak IP adresi: 192.168.1.4
    • Hedef IP adresi: 192.168.200.7
  4. Son olarak Application Gateway örneği istemciyi yanıtlar:
    • Kaynak IP adresi: AppGwPIP
    • Hedef IP adresi: ClientPIP

Azure Uygulaması lication Gateway, paket HTTP üst bilgilerine meta veriler ekler; örneğin,Özgün istemcinin IP adresini içeren X-Forwarded-For üst bilgisi. Bazı uygulama sunucularının coğrafi konumlara özgü içeriği sunmak veya günlüğe kaydetmek için kaynak istemci IP adresine ihtiyacı vardır. Daha fazla bilgi için bkz . Uygulama ağ geçidi nasıl çalışır?

  • IP adresi192.168.200.7, Azure Uygulaması Lication Gateway hizmetinin burada iç, özel ön uç IP adresiyle 192.168.200.4birlikte kapaklar altında dağıttığı örneklerden biridir. Bu tek tek örnekler normalde Azure yöneticisi tarafından görünmez. Ancak aradaki farkın fark edilmesi, ağ sorunlarını giderme gibi bazı durumlarda yararlıdır.

  • İstemci vpn veya ExpressRoute ağ geçidi üzerinden şirket içi bir ağdan geliyorsa akış benzerdir. Fark, istemcinin genel adres yerine Application Gateway'in özel IP adresine erişmesidir.

Not

X-Forwarded-For hakkında daha fazla bilgi edinmek ve istekte konak adını korumak için bkz . Ters ara sunucu ile arka uç web uygulaması arasında özgün HTTP ana bilgisayar adını koruma.

Güvenlik Duvarı ve Application Gateway paralel

Basitliği ve esnekliği nedeniyle Application Gateway ve Azure Güvenlik Duvarı paralel olarak çalıştırmak genellikle en iyi senaryodur.

Sanal ağda web ve web dışı iş yüklerinin bir karışımı varsa bu tasarımı uygulayın. Azure Uygulaması lication Gateway'de Azure WAF, web iş yüklerine gelen trafiği korur ve Azure Güvenlik Duvarı diğer uygulamalar için gelen trafiği denetler. Azure Güvenlik Duvarı her iki iş yükü türünden giden akışları kapsar.

İnternet'ten gelen HTTP(S) bağlantıları Application Gateway'in genel IP adresine, Azure'dan veya şirket içinden özel IP adresine HTTP(S) bağlantılarına gönderilmelidir. Standart sanal ağ yönlendirmesi, paketleri Application Gateway'den hedef VM'lere ve hedef VM'lerden Application Gateway'e geri gönderir (daha fazla ayrıntı için paket kılavuzuna bakın). GELEN HTTP(S) olmayan bağlantılar için trafik, Azure Güvenlik Duvarı genel IP adresini hedeflemelidir (genel İnternet'ten geliyorsa) veya UDR'ler tarafından Azure Güvenlik Duvarı (diğer Azure sanal ağlarından veya şirket içi ağlardan geliyorsa) gönderilir. Azure VM'lerinden giden tüm akışlar UDR'ler tarafından Azure Güvenlik Duvarı iletilir.

Aşağıdaki tabloda bu senaryoya yönelik trafik akışları özetlemektedir:

Akış Application Gateway / WAF üzerinden gider Azure Güvenlik Duvarı
İnternet'ten/şirket içinden Azure'a HTTP trafiği Yes Hayır
Azure'dan İnternet'e/şirket içi İnternet'e HTTP trafiği Hayır Evet
İnternet'ten/şirket içinden Azure'a HTTP olmayan trafik Hayır Evet
Azure'dan İnternet'e/şirket içi İnternet'e HTTP olmayan trafik Hayır Evet

Bu tasarım NSG'lerden çok daha ayrıntılı çıkış filtrelemesi sağlar. Örneğin, uygulamaların belirli bir Azure Depolama Hesabına bağlanması gerekiyorsa, tam etki alanı adı (FQDN) tabanlı filtreler kullanabilirsiniz. FQDN tabanlı filtrelerle, uygulamalar sahte depolama hesaplarına veri göndermiyor. Bu senaryo yalnızca NSG'ler kullanılarak engellenemedi. Bu tasarım genellikle giden trafiğin FQDN tabanlı filtreleme gerektirdiği durumlarda kullanılır. Azure Kubernetes Services kümesinden gelen çıkış trafiğinin sınırlanması örnek bir durumdur.

Mimariler

Aşağıdaki diyagramda, dış istemciden gelen HTTP(S) bağlantıları için trafik akışı gösterilmektedir:

Diagram that shows Application Gateway and Azure Firewall in parallel, ingress flow,

Aşağıdaki diyagramda ağ VM'lerinden İnternet'e giden bağlantıların trafik akışı gösterilmektedir. Arka uç sistemlerine bağlanmak veya işletim sistemi güncelleştirmelerini almak buna bir örnektir:

Diagram that shows Application Gateway and Azure Firewall in parallel, egress flow.

Her hizmet için paket akışı adımları, önceki tek başına tasarım seçenekleriyle aynıdır.

Güvenlik Duvarı'nın öncesinde Application Gateway

Bu tasarım, Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için Sıfır güven ağı bölümünde daha ayrıntılı olarak açıklanmıştır, bu belge diğer tasarım seçenekleriyle karşılaştırmaya odaklanacaktır. Bu topolojide, gelen web trafiği hem Azure Güvenlik Duvarı hem de WAF üzerinden gider. WAF, web uygulaması katmanında koruma sağlar. Azure Güvenlik Duvarı merkezi bir günlük ve denetim noktası işlevi görür ve Application Gateway ile arka uç sunucuları arasındaki trafiği inceler. Application Gateway ve Azure Güvenlik Duvarı paralel olarak değil, birbiri ardına oturuyor.

Azure Güvenlik Duvarı Premium ile bu tasarım, Azure Güvenlik Duvarı Application Gateway ile web arka ucu arasındaki şifrelenmiş trafikte IDPS gerçekleştirmek için TLS incelemesi uyguladığı uçtan uca senaryoları destekleyebilir.

Bu tasarım, gelen istemci kaynağı IP adreslerini bilmesi gereken uygulamalar (örneğin coğrafi konuma özgü içerik sunmak veya günlüğe kaydetmek için) uygundur. Azure Güvenlik Duvarı önündeki Application Gateway, web sunucusunun bu üst bilgideki özgün IP adresini görebilmesi için gelen paketin kaynak IP adresini X-forwarded-for üst bilgisinde yakalar. Daha fazla bilgi için bkz . Uygulama ağ geçidi nasıl çalışır?

İnternet'ten gelen HTTP(S) bağlantıları Application Gateway'in genel IP adresine, Azure'dan veya şirket içinden özel IP adresine HTTP(S) bağlantılarına gönderilmelidir. Application Gateway UDR'lerinden paketlerin Azure Güvenlik Duvarı üzerinden yönlendirildiğinden emin olur (daha fazla ayrıntı için paket kılavuzuna bakın). GELEN HTTP(S) olmayan bağlantılar için trafik, Azure Güvenlik Duvarı genel IP adresini hedeflemelidir (genel İnternet'ten geliyorsa) veya UDR'ler tarafından Azure Güvenlik Duvarı (diğer Azure sanal ağlarından veya şirket içi ağlardan geliyorsa) gönderilir. Azure VM'lerinden giden tüm akışlar UDR'ler tarafından Azure Güvenlik Duvarı iletilir.

Bu tasarımla ilgili önemli bir açıklama, Azure Güvenlik Duvarı Premium'un Application Gateway alt ağından kaynak IP adresine sahip trafiği göreceğidir. Bu alt ağ özel bir IP adresiyle yapılandırıldıysa (10.0.0.0/8, 192.168.0.0/16172.16.0.0/12 veya 100.64.0.0/10içinde) Azure Güvenlik Duvarı Premium, Application Gateway'den gelen trafiği dahili olarak değerlendirir ve gelen trafik için IDPS kuralları uygulamaz. IDPS kural yönergeleri ve IDPS için özel IP ön eklerini Azure Güvenlik Duvarı hakkında daha fazla bilgiyi Azure Güvenlik Duvarı IDPS Kuralları'nda bulabilirsiniz. Sonuç olarak, gelen ve giden IDPS imzalarını trafiğe uygulamak için Application Gateway alt ağından iç kaynak olarak kabul edilmeyecek şekilde Azure Güvenlik Duvarı ilkesindeki IDPS özel ön eklerinin değiştirilmesi önerilir.

Aşağıdaki tabloda bu senaryoya yönelik trafik akışları özetlemektedir:

Akış Application Gateway / WAF üzerinden gider Azure Güvenlik Duvarı
İnternet'ten/şirket içinden Azure'a HTTP trafiği Yes Yes
Azure'dan İnternet'e/şirket içi İnternet'e HTTP trafiği Hayır Evet
İnternet'ten/şirket içinden Azure'a HTTP olmayan trafik Hayır Evet
Azure'dan İnternet'e/şirket içi İnternet'e HTTP olmayan trafik Hayır Evet

Şirket içinden veya İnternet'ten Azure'a giden web trafiği için Azure Güvenlik Duvarı WAF'nin izin vermiş olduğu akışları inceler. Application Gateway'in arka uç trafiğini şifreleyip şifrelemediğine bağlı olarak (Application Gateway'den uygulama sunucularına giden trafik), farklı olası senaryolarınız olacaktır:

  1. Application Gateway, sıfır güven ilkelerini (Uçtan Uca TLS şifrelemesi) izleyerek trafiği şifreler ve Azure Güvenlik Duvarı şifrelenmiş trafik alır. Yine de Azure Güvenlik Duvarı Standard, ağ kurallarında katman 3 ve katman 4 filtrelemesi veya TLS Sunucu Adı Göstergesi (SNI) üst bilgisini kullanarak uygulama kurallarında FQDN filtrelemesi gibi denetim kuralları uygulayabilir. Azure Güvenlik Duvarı Premium, URL tabanlı filtreleme gibi TLS incelemesiyle daha derin görünürlük sağlar.
  2. Application Gateway, uygulama sunucularına şifrelenmemiş trafik gönderiyorsa, Azure Güvenlik Duvarı gelen trafiği düz metin olarak görür. Azure Güvenlik Duvarı TLS denetimi gerekmez.
  3. Azure Güvenlik Duvarı IDPS etkinleştirilirse, HTTP Ana Bilgisayarı üst bilgisinin hedef IP ile eşleşip eşleşmediğini doğrular. Bu amaçla, Konak üst bilgisinde belirtilen FQDN için ad çözümlemesi gerekir. Bu ad çözümlemesi, Azure DNS Özel Bölgeleri ve varsayılan Azure Güvenlik Duvarı DNS ayarlarıyla Azure DNS kullanılarak elde edilebilir. Ayrıca, Azure Güvenlik Duvarı ayarlarında yapılandırılması gereken özel DNS sunucularıyla da elde edilebilir. (Daha fazla bilgi için bkz.DNS Ayarlar Azure Güvenlik Duvarı.) Azure Güvenlik Duvarı dağıtıldığı Sanal Ağ yönetici erişimi yoksa, tek olasılık ikinci yöntemdir. Sanal WAN Secured Hubs'da dağıtılan Azure Güvenlik Duvarı örneklerden biri.

Mimari

Geri kalan akışlar (HTTP(S) olmayan gelen trafik ve giden trafik için Azure Güvenlik Duvarı, uygun durumlarda IDPS incelemesi ve TLS incelemesi sağlar. Ayrıca DNS tabanlı ağ kurallarında FQDN tabanlı filtreleme sağlar.

Diagram that shows Application Gateway before Azure Firewall.

İş Akışı

Genel İnternet'ten gelen ağ trafiği şu akışı izler:

  1. İstemci, Azure Uygulaması lication Gateway'in genel IP adresine bağlantıyı başlatır:
    • Kaynak IP adresi: ClientPIP
    • Hedef IP adresi: AppGwPIP
  2. Application Gateway genel IP'sine yönelik istek, ağ geçidinin arka uç örneğine (bu örnekte 192.168.200.7) dağıtılır. Application Gateway örneği istemciden bağlantıyı durdurur ve arka uçlardan biriyle yeni bir bağlantı kurar. Application Gateway alt ağına gelen UDR 192.168.1.0/24 paketi Azure Güvenlik Duvarı iletir ve hedef IP'yi web uygulamasına korur:
    • Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
    • Hedef IP adresi: 192.168.1.4
    • X-Forwarded-For üst bilgisi: ClientPIP
  3. Azure Güvenlik Duvarı trafiği SNAT etmez, çünkü trafik özel bir IP adresine gider. Kurallar izin verirse trafiği uygulama VM'sine iletir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT. Ancak, trafik güvenlik duvarındaki bir uygulama kuralına isabet ederse, Azure Güvenlik Duvarı bağlantının ara sunucusunu oluşturacağı için iş yükü paketi işleyen belirli güvenlik duvarı örneğinin kaynak IP adresini görür:
    • Trafiğe bir Azure Güvenlik Duvarı ağ kuralı tarafından izin veriliyorsa kaynak IP adresi: 192.168.200.7 (Application Gateway örneklerinden birinin özel IP adresi).
    • Trafiğe bir Azure Güvenlik Duvarı uygulama kuralı tarafından izin veriliyorsa kaynak IP adresi: 192.168.100.7 (Azure Güvenlik Duvarı örneklerinden birinin özel IP adresi).
    • Hedef IP adresi: 192.168.1.4
    • X-Forwarded-For üst bilgisi: ClientPIP
  4. VM, kaynak ve hedef IP adreslerini tersine çevirme isteği yanıtlar. Application Gateway'e geri gönderilen paketi yakalamak için 192.168.200.0/24 UDR, hedef IP'yi Application Gateway'e doğru korurken Azure Güvenlik Duvarı yönlendirir.
    • Kaynak IP adresi: 192.168.1.4
    • Hedef IP adresi: 192.168.200.7
  5. Burada da Azure Güvenlik Duvarı özel bir IP adresine gittiği ve trafiği Application Gateway'e ilettiği için trafiği SNAT etmez.
    • Kaynak IP adresi: 192.168.1.4
    • Hedef IP adresi: 192.168.200.7
  6. Son olarak Application Gateway örneği istemciyi yanıtlar:
    • Kaynak IP adresi: AppGwPIP
    • Hedef IP adresi: ClientPIP

VM'lerden genel İnternet'e giden akışlar, UDR tarafından tanımlanan Azure Güvenlik Duvarı üzerinden gider0.0.0.0/0.

Güvenlik duvarının ardından Application Gateway

Bu tasarım, Azure Güvenlik Duvarı Application Gateway'e ulaşmadan önce kötü amaçlı trafiği filtrelemenize ve atmanıza olanak tanır. Örneğin tehdit bilgileri tabanlı filtreleme gibi özellikler uygulayabilir. Uygulamanın protokolden bağımsız olarak hem gelen hem de giden trafik için aynı genel IP adresini alması başka bir avantajdır. Ancak, Azure Güvenlik Duvarı Gelen trafiğin GNATs'ı olduğundan, uygulamanın HTTP isteklerinin özgün IP adresine görünürlüğü olmaz. Yönetim açısından bakıldığında, örneğin sorun giderme amacıyla, belirli bir bağlantının gerçek istemci IP'sini Azure Güvenlik Duvarı SNAT günlükleriyle ilişkilendirerek elde edebilirsiniz.

Azure Güvenlik Duvarı yalnızca Application Gateway'e giden şifrelenmiş trafiği göreceğinden, bu senaryoda sınırlı avantaj sağlanır. Bu tasarımın tercih edildiği senaryolar olabilir. Bir durum, başka bir WAF'nin ağda daha önce olması (örneğin, Azure Front Door ile), HTTP üst bilgisinde özgün kaynak IP'yi X-Forwarded-For yakalayabileceği durumdur. Veya birçok genel IP adresi gerekiyorsa tasarım tercih edilir.

Genel İnternet'ten gelen HTTP(S) akışları, Azure Güvenlik Duvarı genel IP adresini hedeflemelidir ve Azure Güvenlik Duvarı paketleri Application Gateway'in özel IP adresine DNAT (ve SNAT) gönderir. Diğer Azure sanal ağlarından veya şirket içi ağlardan HTTP(S) trafiği Application Gateway'in özel IP'sine gönderilmeli ve UDR'ler ile Azure Güvenlik Duvarı üzerinden iletilmelidir. Standart sanal ağ yönlendirmesi, Azure VM'lerinden gelen trafiğin Application Gateway'e ve DNAT kuralları kullanıldıysa Application Gateway'den Azure Güvenlik Duvarı geri dönmesini sağlar. Application Gateway alt ağından şirket içi veya Azure UDR'lerinden gelen trafik kullanılmalıdır (daha fazla ayrıntı için paket kılavuzuna bakın). Azure VM'lerinden İnternet'e giden tüm trafik UDR'ler tarafından Azure Güvenlik Duvarı gönderilir.

Aşağıdaki tabloda bu senaryoya yönelik trafik akışları özetlemektedir:

Akış Application Gateway / WAF üzerinden gider Azure Güvenlik Duvarı
İnternet'ten/şirket içinden Azure'a HTTP trafiği Yes Evet (aşağıya bakın)
Azure'dan İnternet'e/şirket içi İnternet'e HTTP trafiği Hayır Evet
İnternet'ten/şirket içinden Azure'a HTTP olmayan trafik Hayır Evet
Azure'dan İnternet'e/şirket içi İnternet'e HTTP olmayan trafik Hayır Evet

Gelen HTTP(S) trafiği için, Azure Güvenlik Duvarı genellikle trafiğin şifresini çözmez. Bunun yerine, IP tabanlı filtreleme veya HTTP üst bilgilerini kullanma gibi TLS incelemesi gerektirmeyen IDPS ilkeleri uygular.

Mimari

Uygulama web trafiğinin özgün kaynak IP adresini göremez; Azure Güvenlik Duvarı, paketleri sanal ağa geldikçe SNATs. Bu sorunu önlemek için güvenlik duvarının önündeki Azure Front Door'ı kullanın. Azure Front Door, azure sanal ağına girmeden önce istemcinin IP adresini bir HTTP üst bilgisi olarak ekler.

Diagram that shows Application Gateway after Azure Firewall.

İş Akışı

Genel İnternet'ten gelen ağ trafiği şu akışı izler:

  1. İstemci, Azure Güvenlik Duvarı genel IP adresine bağlantıyı başlatır:
    • Kaynak IP adresi: ClientPIP
    • Hedef IP adresi: AzFWPIP
  2. Azure Güvenlik Duvarı genel IP'ye yönelik istek, güvenlik duvarının arka uç örneğine (bu örnekte 192.168.100.7) dağıtılır. Azure Güvenlik Duvarı, web bağlantı noktasını (genellikle TCP 443) Application Gateway örneğinin özel IP adresine DNA'lar. DNAT yaparken de AZURE GÜVENLIK DUVARı. Daha fazla bilgi için bkz. bilinen Azure Güvenlik Duvarı sorunlar:
    • Kaynak IP adresi: 192.168.100.7 (Azure Güvenlik Duvarı örneğinin özel IP adresi)
    • Hedef IP adresi: 192.168.200.4
  3. Application Gateway, bağlantıyı işleyen örnek ile arka uç sunucularından biri arasında yeni bir oturum oluşturur. İstemcinin özgün IP adresi pakette değil:
    • Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
    • Hedef IP adresi: 192.168.1.4
    • X-Forwarded-For üst bilgisi: 192.168.100.7
  4. VM, Application Gateway'i yanıtlayarak kaynak ve hedef IP adreslerini ters çevirmeyi sağlar:
    • Kaynak IP adresi: 192.168.1.4
    • Hedef IP adresi: 192.168.200.7
  5. Application Gateway, Azure Güvenlik Duvarı örneğinin SNAT kaynak IP adresini yanıtlar. Bağlantı gibi .7belirli bir Application Gateway örneğinden geliyor olsa bile Azure Güvenlik Duvarı Application Gateway'in .4 iç IP adresini kaynak IP olarak görür:
    • Kaynak IP adresi: 192.168.200.4
    • Hedef IP adresi: 192.168.100.7
  6. Son olarak Azure Güvenlik Duvarı SNAT ve DNAT'yi geri alır ve istemciyi yanıtlar:
    • Kaynak IP adresi: AzFwPIP
    • Hedef IP adresi: ClientPIP

Application Gateway'de uygulamalar için yapılandırılmış dinleyici olmasa bile, Microsoft'un yönetebilmesi için genel bir IP adresine ihtiyaç duyar.

Not

Application Gateway alt ağından Azure Güvenlik Duvarı işaret eden varsayılan yol 0.0.0.0/0 desteklenmez, çünkü Azure Uygulaması lication Gateway'in doğru şekilde çalıştırılması için gereken denetim düzlemi trafiğini bozar.

Şirket içi istemciler

Yukarıdaki tasarımlar, genel İnternet'ten gelen tüm uygulama istemcilerini gösterir. Şirket içi ağlar da uygulamalara erişmektedir. Yukarıdaki bilgilerin ve trafik akışlarının çoğu İnternet istemcileri ile aynıdır, ancak bazı önemli farklılıklar vardır:

  • VPN ağ geçidi veya ExpressRoute ağ geçidi, Azure Güvenlik Duvarı veya Application Gateway'in önünde yer alır.
  • WAF, Application Gateway'in özel IP adresini kullanır.
  • Azure Güvenlik Duvarı özel IP adresleri için DNAT'yi desteklemez. Bu nedenle VPN veya ExpressRoute ağ geçitlerinden gelen trafiği Azure Güvenlik Duvarı göndermek için UDR'leri kullanmanız gerekir.
  • Azure Uygulaması lication Gateway ve Azure Güvenlik Duvarı için zorlamalı tünelle ilgili uyarıları doğruladığından emin olun. İş yükünüz genel İnternet'e giden bağlantıya gerek duymasa bile, şirket içi ağa işaret eden Application Gateway gibi 0.0.0.0/0 bir varsayılan yol ekleyemezsiniz, aksi takdirde denetim trafiğini bozarsınız. Azure Uygulaması lication Gateway için varsayılan yolun genel İnternet'e işaret etmesi gerekir.

Mimari

Aşağıdaki diyagramda Azure Uygulaması lication Gateway ve Azure Güvenlik Duvarı paralel tasarım gösterilmektedir. Uygulama istemcileri VPN veya ExpressRoute üzerinden Azure'a bağlı bir şirket içi ağdan gelir:

Diagram that shows a hybrid design with a VPN or an ExpressRoute gateway.

Tüm istemciler şirket içinde veya Azure'da olsa bile, Azure Uygulaması Lication Gateway ve Azure Güvenlik Duvarı her ikisinin de genel IP adreslerine sahip olması gerekir. Genel IP adresleri Microsoft'un hizmetleri yönetmesine olanak sağlar.

Merkez-uç topolojisi

Bu makaledeki tasarımlar hala merkez-uç topolojisinde geçerlidir. Merkezi merkez sanal ağındaki paylaşılan kaynaklar, sanal ağ eşlemeleri aracılığıyla ayrı uç sanal ağlarındaki uygulamalara bağlanır.

Mimari

Diagram that shows a hybrid design with VPN/ER Gateway and a hub-and-spoke topology.

Dikkat edilmesi gereken noktalar

Bu topolojiyle ilgili dikkat edilmesi gereken bazı noktalar şunlardır:

  • Azure Güvenlik Duvarı merkezi merkez sanal ağına dağıtılır. Yukarıdaki diyagramda Hub'da Application Gateway'i dağıtma uygulaması gösterilmektedir. Ancak uygulama ekipleri genellikle Azure Uygulaması lication Ağ Geçitleri veya Azure API Management ağ geçitleri gibi bileşenleri yönetir. Bu durumda, bu bileşenler uç sanal ağlarına dağıtılır.
  • Uç ağlarındaki UDR'lere özellikle dikkat edin: Uçtaki bir uygulama sunucusu, önceki örneklerdeki adres gibi 192.168.100.7 belirli bir Azure Güvenlik Duvarı örneğinden trafik aldığında, dönüş trafiğini aynı örneğe geri göndermelidir. Uçtaki bir UDR, hub'a adreslenen trafiğin sonraki atlamasını Azure Güvenlik Duvarı IP adresine ayarlarsa (192.168.100.4yukarıdaki diyagramlarda), dönüş paketleri farklı bir Azure Güvenlik Duvarı örneğinde sonuçlanabilir ve bu da asimetrik yönlendirmeye neden olabilir. Azure Güvenlik Duvarı aracılığıyla merkezdeki paylaşılan hizmetlere trafik göndermek için uç sanal ağlarında UDR'leriniz varsa, bu UDF'lerin Azure Güvenlik Duvarı alt ağın ön ekini içermediğinden emin olun.
  • Önceki öneri, Application Gateway alt ağına ve merkez sanal ağına dağıtılabilen diğer Ağ Sanal Gereçleri veya ters proxy'lere eşit olarak uygulanır.
  • Application Gateway için sonraki atlamayı ayarlayamazsınız veya sonraki atlama türüne Virtual Networksahip statik yollar aracılığıyla alt ağları Azure Güvenlik Duvarı. Bu sonraki atlama türü yalnızca yerel sanal ağda geçerlidir ve sanal ağ eşlemelerinde geçerli değildir. Kullanıcı tanımlı yollar ve sonraki atlama türleri hakkında daha fazla bilgi için bkz . Sanal ağ trafiği yönlendirme.

Asimetrik yönlendirme

Aşağıdaki diyagramda, uçların SNATted trafiğini bir Azure Güvenlik Duvarı ALB'sine nasıl geri gönderdiği gösterilmektedir. Bu kurulum asimetrik yönlendirmeye neden olur:

Diagram that shows an asymmetric routing in a hub-and-spoke topology.

Bu sorunu çözmek için uçtaki UDR'leri Azure Güvenlik Duvarı alt ağı olmadan ancak yalnızca paylaşılan hizmetlerin bulunduğu alt ağlarla tanımlayın. Örnekte, uçtaki doğru UDR yalnızca 192.168.1.0/24 içermelidir. Kırmızıyla işaretlenmiş 192.168.0.0/16'nın tamamını içermemelidir.

Diğer Azure ürünleriyle tümleştirme

Azure Güvenlik Duvarı ve Azure Uygulaması Lication Gateway'i diğer Azure ürün ve hizmetleriyle tümleştirebilirsiniz.

API Management Ağ Geçidi

API azaltma veya kimlik doğrulama ara sunucusu gibi işlevler sağlamak için API Management ağ geçidi gibi ters ara sunucu hizmetlerini önceki tasarımlara tümleştirin. API Management ağ geçidini tümleştirmek, tasarımları büyük ölçüde değiştirmez. Temel fark, tek Application Gateway ters ara sunucusu yerine birbirinin arkasında zincirlenmiş iki ters proxy olmasıdır.

Daha fazla bilgi için bkz . API Management ve Application Gateway'i bir sanal ağ ile tümleştirmeye yönelik Tasarım Kılavuzu ve Mikro hizmetler için uygulama deseni API Ağ Geçitleri.

Azure Kubernetes Service

AKS kümesinde çalışan iş yükleri için Azure Uygulaması Lication Gateway'i kümeden bağımsız olarak dağıtabilirsiniz. İsterseniz Azure Uygulaması lication Gateway Giriş Denetleyicisi'ni kullanarak aks kümesiyle tümleştirebilirsiniz. Belirli nesneleri Kubernetes düzeylerinde (hizmetler ve girişler gibi) yapılandırırken Application Gateway, el ile ek adımlara gerek kalmadan otomatik olarak uyarlanabilir.

Azure Güvenlik Duvarı AKS kümesi güvenliğinde önemli bir rol oynar. Aks kümesinden gelen çıkış trafiğini yalnızca IP adresine değil FQDN'ye göre filtrelemek için gerekli işlevselliği sunar. Daha fazla bilgi için bkz . AKS kümesi düğümleri için çıkış trafiğini denetleme.

Application Gateway ve Azure Güvenlik Duvarı birleştirerek AKS kümesini koruduğunuzda, paralel tasarım seçeneğini kullanmak en iyisidir. WAF ile Application Gateway, kümedeki web uygulamalarına gelen bağlantı isteklerini işler. Azure Güvenlik Duvarı yalnızca açıkça izin verilen giden bağlantılara izin verir. Paralel tasarım seçeneği örneği için bkz . Azure Kubernetes Service (AKS) kümesi için temel mimari.

Azure Front Door

Azure Front Door işlevselliği kısmen Azure Uygulaması lication Gateway ile çakışıyor. Örneğin, her iki hizmet de web uygulaması güvenlik duvarı, SSL boşaltma ve URL tabanlı yönlendirme sunar. Ana farklardan biri, Azure Uygulaması lication Gateway sanal ağ içinde olsa da Azure Front Door'un küresel, merkezi olmayan bir hizmet olmasıdır.

Bazen Application Gateway'i merkezi olmayan bir Azure Front Door ile değiştirerek sanal ağ tasarımını basitleştirebilirsiniz. Azure Front Door'un önüne Azure Güvenlik Duvarı yerleştirme seçeneği dışında, burada açıklanan çoğu tasarım geçerliliğini korur.

İlginç bir kullanım örneği, sanal ağınızdaki Application Gateway'in önünde Azure Güvenlik Duvarı kullanmaktır. Daha önce açıklandığı gibi Application Gateway tarafından eklenen üst bilgi, X-Forwarded-For istemcinin IP adresini değil güvenlik duvarı örneğinin IP adresini içerir. Geçici bir çözüm, güvenlik duvarının önünde Azure Front Door kullanarak trafiğin sanal ağa girip Azure Güvenlik Duvarı çarpmadan önce istemcinin IP adresini üst X-Forwarded-For bilgi olarak eklemektir. İkinci seçenek, Azure Front Door Premium'da Özel Bağlantı kaynağınızın güvenliğini sağlamaktır.

İki hizmet arasındaki farklar veya her birinin ne zaman kullanılacağı hakkında daha fazla bilgi için bkz . Azure Front Door için Sık Sorulan Sorular.

Diğer ağ sanal gereçleri

Microsoft ürünleri, Azure'da web uygulaması güvenlik duvarı veya yeni nesil güvenlik duvarı işlevselliği uygulamak için tek seçenek değildir. Çok çeşitli Microsoft iş ortakları ağ sanal gereçleri (NVA) sağlar. Kavramlar ve tasarımlar temelde bu makaledekiyle aynıdır, ancak bazı önemli noktalar vardır:

  • Yeni nesil güvenlik duvarı için iş ortağı NVA'ları, Azure Güvenlik Duvarı tarafından desteklenmeyen NAT yapılandırmaları için daha fazla denetim ve esneklik sunabilir. Örnek olarak şirket içinden DNAT veya SNAT olmadan İnternet'ten DNAT verilebilir.
  • Azure tarafından yönetilen NVA'lar (Application Gateway ve Azure Güvenlik Duvarı gibi), kullanıcıların birçok gereçte ölçeklenebilirlik ve dayanıklılıkla ilgilenmesi gereken NVA'lara kıyasla karmaşıklığı azaltır.
  • Azure'da NVA'ları kullanırken etkin-etkin ve otomatik ölçeklendirme kurulumlarını kullanın, bu nedenle bu gereçler sanal ağda çalışan uygulamalar için bir performans sorunu değildir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Sonraki adımlar

Bileşen teknolojileri hakkında daha fazla bilgi edinin:

İlgili mimarileri keşfedin: