Azure Güvenlik Duvarı Temel özellikleri
Azure Güvenlik Duvarı Basic, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir.
Azure Güvenlik Duvarı Basic aşağıdaki özellikleri içerir:
- Yerleşik yüksek kullanılabilirlik
- Kullanılabilirlik Alanları
- Uygulama FQDN filtreleme kuralları
- Ağ trafiği filtreleme kuralları
- FQDN etiketleri
- Hizmet etiketleri
- Uyarı modunda tehdit bilgileri
- Giden SNAT desteği
- Gelen DNAT desteği
- Birden çok genel IP adresi
- Azure İzleyici günlükleri
- Sertifikalar
Tüm Güvenlik Duvarı SKU'larının Azure Güvenlik Duvarı özelliklerini karşılaştırmak için bkz. gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'yu seçme.
Yerleşik yüksek kullanılabilirlik
Yüksek kullanılabilirlik yerleşiktir, bu nedenle ek yük dengeleyici gerekmez ve yapılandırmanız gereken bir şey yoktur.
Kullanılabilirlik Alanları
Azure Güvenlik Duvarı, daha fazla kullanılabilirlik için birden çok Kullanılabilirlik Alanları yaymak üzere dağıtım sırasında yapılandırılabilir. Yakınlık nedeniyle Azure Güvenlik Duvarı belirli bir bölgeyle de ilişkilendirebilirsiniz. Kullanılabilirlik hakkında daha fazla bilgi için Azure Güvenlik Duvarı Hizmet Düzeyi Sözleşmesi'ne (SLA) bakın.
Birden fazla Kullanılabilirlik Alanı'nda dağıtılan bir güvenlik duvarı için ek maliyet yoktur. Ancak, Kullanılabilirlik Alanları ile ilişkili gelen ve giden veri aktarımları için ek maliyetler vardır. Daha fazla bilgi için bkz . Bant genişliği fiyatlandırma ayrıntıları.
Azure Güvenlik Duvarı Kullanılabilirlik Alanları, Kullanılabilirlik Alanları destekleyen bölgelerde kullanılabilir. Daha fazla bilgi için bkz. Azure'da Kullanılabilirlik Alanları destekleyen bölgeler.
Uygulama FQDN filtreleme kuralları
Giden HTTP/S trafiğini veya Azure SQL trafiğini joker karakterler de dahil olmak üzere belirtilen tam etki alanı adları (FQDN) listesiyle sınırlayabilirsiniz. Bu özellik TLS sonlandırması gerektirmez.
Aşağıdaki videoda uygulama kuralı oluşturma gösterilmektedir:
Ağ trafiği filtreleme kuralları
Ağ filtreleme kurallarını kaynak ve hedef IP adresine, bağlantı noktasına ve protokole göre merkezi olarak oluşturabilir, izin verebilir veya reddedebilirsiniz. Azure Güvenlik Duvarı tamamen durum bilgisine sahiptir; bu nedenle, farklı türden bağlantıların geçerli paketlerini tanıyabilir. Kurallar, birden çok abonelik ve sanal ağda zorlanır ve günlüğe kaydedilir.
Azure Güvenlik Duvarı Katman 3 ve Katman 4 ağ protokollerinin durum bilgisi olan filtrelemesini destekler. Katman 3 IP protokolleri, Ağ kuralında Herhangi bir protokol seçilerek ve bağlantı noktası için joker karakter * seçilerek filtrelenebilir.
FQDN etiketleri
FQDN etiketleri , güvenlik duvarınız üzerinden iyi bilinen Azure hizmet ağı trafiğine izin vermenizi kolaylaştırır. Örneğin Windows Update ağ trafiğine güvenlik duvarınızda izin vermek istediğiniz varsayalım. Bir uygulama kuralı oluşturup Windows Update etiketini eklersiniz. Artık Windows Update’in ağ trafiği, güvenlik duvarınızdan geçebilir.
Hizmet etiketleri
Hizmet etiketi, güvenlik kuralı oluşturma karmaşıklığını en aza indirmeye yardımcı olan bir IP adresi ön ekleri grubunu temsil eder. Kendi hizmet etiketinizi oluşturamaz veya bir etikete hangi IP adreslerinin dahil olduğunu belirtemezsiniz. Microsoft, hizmet etiketi tarafından elde edilen adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir.
Tehdit bilgileri
Güvenlik duvarınız için bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/giden trafiği uyarmak için tehdit bilgileri tabanlı filtreleme etkinleştirilebilir. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır.
Giden SNAT desteği
Tüm giden sanal ağ trafiği IP adresleri Azure Güvenlik Duvarı genel IP’sine çevrilir (Kaynak Ağ Adresi Çevirisi). Sanal ağınızdan kaynaklanan uzak İnternet hedeflerine yönelik trafiği tanımlayabilir ve buna izin verebilirsiniz. hedef IP her bir özel IP aralığı olduğunda Azure Güvenlik Duvarı SNAT yapmazIANA RFC 1918.
Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Güvenlik Duvarı AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine giden trafiği SNAT eder. Azure Güvenlik Duvarı genel IP adresi aralığınızı SNAT olmayacak şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT özel IP adres aralıkları.
SNAT bağlantı noktası kullanımını Azure Güvenlik Duvarı ölçümlerde izleyebilirsiniz. Daha fazla bilgi edinin ve güvenlik duvarı günlükleri ve ölçüm belgelerimizdeki SNAT bağlantı noktası kullanımıyla ilgili önerimize bakın.
Azure Güvenlik Duvarı NAT davranışları hakkında daha ayrıntılı bilgi için bkz. Azure Güvenlik Duvarı NAT Davranışları.
Gelen DNAT desteği
Güvenlik duvarı genel IP adresinize gelen İnternet ağ trafiği çevrilir (Hedef Ağ Adresi Çevirisi) ve sanal ağlarınızda özel IP adreslerine filtre uygulanır.
Birden çok genel IP adresi
Birden çok genel IP adresini güvenlik duvarınızla ilişkilendirebilirsiniz.
Bu, aşağıdaki senaryoları etkinleştirir:
- DNAT - Birden çok standart bağlantı noktası örneğini arka uç sunucularınıza çevirebilirsiniz. Örneğin iki genel IP adresini varsa 3389 (RDP) numaralı TCP bağlantı noktasını iki IP adresi için çevirebilirsiniz.
- SNAT - Giden SNAT bağlantıları için daha fazla bağlantı noktası kullanılabilir ve bu da SNAT bağlantı noktası tükenmesi olasılığını azaltır. Şu anda Azure Güvenlik Duvarı bağlantı için kullanılacak kaynak genel IP adresini rastgele seçer. Ağınızda aşağı akış filtresi varsa güvenlik duvarınızla ilişkilendirilmiş olan tüm genel IP adreslerine izin vermeniz gerekir. Bu yapılandırmayı basitleştirmek için genel IP adresi ön eki kullanmayı göz önünde bulundurun.
Azure İzleyici günlükleri
Tüm olaylar Azure İzleyici ile tümleştirildiğinden günlükleri bir depolama hesabına arşivlemenize, olayları olay hub'ınıza aktarmanıza veya Azure İzleyici günlüklerine göndermenize olanak sağlar. Azure İzleyici günlük örnekleri için bkz. Azure Güvenlik Duvarı için Azure İzleyici günlükleri.
Daha fazla bilgi için bkz. Öğretici: Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme.
Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure portalında zengin görsel raporlar oluşturmak için bunu kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Çalışma Kitabını kullanarak günlükleri izleme.
Sertifikalar
Azure Güvenlik Duvarı Ödeme Kartı Sektörü (PCI), Hizmet Kuruluşu Denetimleri (SOC) ve Uluslararası Standartlaştırma Kuruluşu (ISO) ile uyumludur. Daha fazla bilgi için bkz. uyumluluk sertifikaları Azure Güvenlik Duvarı.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin