Azure Güvenlik Duvarı Premium'a geçiş

Yeni Premium özelliklerinden yararlanmak için Azure Güvenlik Duvarı Standard'ı Azure Güvenlik Duvarı Premium'a geçirebilirsiniz. Azure Güvenlik Duvarı Premium özellikleri hakkında daha fazla bilgi için bkz. Premium özellikleri Azure Güvenlik Duvarı.

Bu makale, Standart güvenlik duvarınızı ve ilkenizi Premium'a el ile geçirmek için gerekli adımlarda size yol gösterir.

İpucu

kapalı kalma süresi olmadan Azure Güvenlik Duvarı SKU'nuzu değiştirmenin en kolay yolu, SKU'yu Değiştir özelliğini kullanmaktır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı kolay yükseltme/düşürme.

Geçişe başlamadan önce performansla ilgili dikkat edilmesi gereken noktaları anlayın ve gerekli bakım penceresi için önceden plan yapın. Tipik olarak 20-30 dakikalık bir kapalı kalma süresi beklenir.

Başarılı bir geçiş için aşağıdaki genel adımlar gereklidir:

1. Mevcut Standart ilkenize veya klasik kurallara göre yeni Premium ilkesi oluşturun. Bu adımın sonunda yeni premium ilkeniz tüm mevcut kurallarınızı ve ilke ayarlarınızı içerecektir.
   • Klasik kuralları Standart ilkeye geçirme
   • Azure PowerShell kullanarak var olan bir ilkeyi geçirme
2. Durdurma/başlatma kullanarak Azure Güvenlik Duvarı Standart'tan Premium'a geçirin.
3. Yeni oluşturulan Premium ilkesini Premium Güvenlik Duvarınıza ekleyin.

Önemli

Güneydoğu Asya'da Kullanılabilirlik Alanları ile dağıtılan standart güvenlik duvarının yükseltilmesi şu anda desteklenmiyor.

Azure Güvenlik Duvarı dağıtmak için Terraform kullanıyorsanız, Azure Güvenlik Duvarı Premium'a geçiş yapmak için Terraform'ı kullanabilirsiniz. Daha fazla bilgi için bkz. Terraform kullanarak Azure Güvenlik Duvarı Standard'ı Premium'a geçirme.

Performansla ilgili önemli noktalar

Standart SKU'dan geçiş yaparken performans dikkate alınır. IDPS ve TLS denetimi yoğun işlem gerektiren işlemlerdir. Premium SKU, standart SKU ile karşılaştırılabilir daha yüksek bir aktarım hızına ölçeklendirilen daha güçlü bir VM SKU'su kullanır. Azure Güvenlik Duvarı Performansı hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Performansı

Microsoft, güvenlik duvarı hizmeti performansının beklentilerinizi karşıladığından emin olmak için müşterilerin Azure dağıtımlarında tam ölçekli testler gerçekleştirmelerini önerir.

Downtime

Azure Güvenlik Duvarı Standart'tan Premium'a stop/start kullanarak geçirdiğinizde kapalı kalma süresi yaşanacağı için, planlı bakım süresi boyunca güvenlik duvarınızı geçirin.

Klasik kuralları Standart ilkeye geçirme

Geçiş işleminiz sırasında Klasik güvenlik duvarı kurallarınızı Standart ilkeye geçirmeniz gerekebilir. Bunu Azure portal kullanarak yapabilirsiniz:

1. Azure portal standart güvenlik duvarınızı seçin. Genel Bakış sayfasında Güvenlik duvarı ilkesine geçir'i seçin.

   

2. Güvenlik duvarına geçir ilkesi sayfasında Gözden geçir ve oluştur'u seçin.

3. Oluştur’u seçin.

   Dağıtımın tamamlanması birkaç dakika sürer.

Ayrıca, ilkeleri oluşturmak için Azure PowerShell kullanarak mevcut Klasik kuralları Azure Güvenlik Duvarı geçirebilirsiniz. Daha fazla bilgi için bkz. PowerShell kullanarak Azure Güvenlik Duvarı yapılandırmalarını Azure Güvenlik Duvarı ilkesine geçirme

Azure PowerShell kullanarak var olan bir ilkeyi geçirme

Transform-Policy.ps1var olan bir Standart ilkeden yeni bir Premium ilkesi oluşturan Azure PowerShell betiğidir.

Standart bir güvenlik duvarı ilkesi kimliği verilip betik bunu Premium Azure güvenlik duvarı ilkesine dönüştürür. Betik önce Azure hesabınıza bağlanır, ilkeyi çeker, çeşitli parametreleri dönüştürür/ekler ve ardından yeni bir Premium ilkesi yükler. Yeni premium ilke olarak adlandırılır <previous_policy_name>_premium. Bu bir alt ilke dönüşümüyse, üst ilkenin bağlantısı kalır.

Kullanım örneği:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

Önemli

Betik, Tehdit Analizi ve SNAT özel aralık ayarlarını geçirmez. Devam etmeden önce bu ayarları not almanız ve el ile geçirmeniz gerekir. Aksi takdirde, yeni yükseltilen güvenlik duvarınızla tutarsız trafik filtrelemesiyle karşılaşabilirsiniz.

Bu betik en son Azure PowerShell gerektirir. Hangi sürümlerin yüklü olduğunu görmek için komutunu çalıştırın Get-Module -ListAvailable Az . Yüklemeniz gerekiyorsa bkz. Azure PowerShell modülünü yükleme.

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransfom = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransfom.Properties.Priority
            Name = $ruleToTransfom.Name
        }

        if ($ruleToTransfom.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransfom.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

Durdurma/başlatma kullanarak Azure Güvenlik Duvarı geçirme

Güvenlik duvarı ilkesiyle Azure Güvenlik Duvarı Standart SKU kullanıyorsanız, Güvenlik Duvarı SKU'nuzu Premium'a geçirmek için Ayırma/Serbest Bırakma yöntemini kullanabilirsiniz. Bu geçiş yaklaşımı hem Sanal Ağ Hub'larında hem de Güvenli Hub Güvenlik Duvarlarında desteklenir. Bir Secure Hub dağıtımını geçirdiğinizde güvenlik duvarı genel IP adresi korunur.

En düşük Azure PowerShell sürüm gereksinimi 6.5.0'dır. Daha fazla bilgi için bkz. Az 6.5.0.

VNET Hub Güvenlik Duvarı'nı geçirme

• Standart Güvenlik Duvarı'nı serbest bırakma

  $azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
  $azfw.Deallocate()
  Set-AzFirewall -AzureFirewall $azfw
  

• Güvenlik Duvarı Premium ayırma (tek genel IP adresi)

  $azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
  $azfw.Sku.Tier="Premium"
  $vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
  $publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
  $azfw.Allocate($vnet,$publicip)
  Set-AzFirewall -AzureFirewall $azfw
  

• Güvenlik Duvarı Premium ayırma (birden çok genel IP adresi)

  $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
  $azfw.Sku.Tier="Premium"
  $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
  $publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
  $publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
  $azfw.Allocate($vnet,@($publicip1,$publicip2))
  Set-AzFirewall -AzureFirewall $azfw
  

• Zorlamalı Tünel Modunda Güvenlik Duvarı Premium Ayırma

  $azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
  $azfw.Sku.Tier="Premium"
  $vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
  $publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
  $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
  $azfw.Allocate($vnet,$publicip,$mgmtPip)
  Set-AzFirewall -AzureFirewall $azfw
  

Güvenli Hub Güvenlik Duvarı geçirme

• Standart Güvenlik Duvarı'nı serbest bırakma

  $azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
  $azfw.Deallocate()
  Set-AzFirewall -AzureFirewall $azfw
  

• Güvenlik Duvarı Premium ayırma

  $azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
  $hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
  $azfw.Sku.Tier="Premium"
  $azfw.Allocate($hub.id)
  Set-AzFirewall -AzureFirewall $azfw
  

Premium Güvenlik Duvarına Premium ilkesi ekleme

Azure portal kullanarak yeni Premium Güvenlik Duvarı'na bir Premium ilkesi ekleyebilirsiniz:

Sonraki adımlar

• Azure Güvenlik Duvarı Premium özellikleri hakkında daha fazla bilgi edinin