Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Güvenlik Duvarı'nı NAT kuralları, ağ kuralları ve uygulama kurallarıyla yapılandırmak için klasik kuralları veya Güvenlik Duvarı İlkesi'ni kullanabilirsiniz. Varsayılan olarak, siz trafiğe izin verecek kuralları el ile yapılandırana kadar Azure Güvenlik Duvarı tüm trafiği reddeder. Kurallar son bulduğunda, bir eşleşme gerçekleştiğinde kural işleme durur.
Klasik kuralları kullanarak kural işleme
Güvenlik duvarı, kural koleksiyonlarını kural türüne göre, daha düşük sayılardan daha yüksek sayılara (100 ila 65.000) göre öncelik sırasına göre işler. Kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir. Bir harf veya sayı ile başlamalı ve harf, sayı veya alt çizgi ile bitmelidir. Ad uzunluğu üst sınırı 80 karakterdir.
Başlangıçta, gerekirse daha fazla kural koleksiyonu ekleyebilmek için kural koleksiyonu öncelik sayılarınızı 100 artışla (100, 200, 300 vb.) boşluklu bırakın.
Güvenlik Duvarı İlkesi kullanarak kural işleme
Güvenlik Duvarı İlkesi'ni kullanarak kuralları kural koleksiyonları ve kural koleksiyonu grupları içinde düzenlersiniz. Kural koleksiyonu grupları sıfır veya daha fazla kural koleksiyonu içerir. Kural koleksiyonları NAT, Ağ veya Uygulamalar türüdür. Tek bir kural grubu içinde birden çok kural koleksiyonu türü tanımlayabilirsiniz. Bir kural koleksiyonunda sıfır veya daha fazla kural tanımlayabilirsiniz. Kural koleksiyonundaki kurallar aynı türde olmalıdır (NAT, Ağ veya Uygulama).
Sistem, kuralları kural koleksiyonu grubu önceliğine ve kural koleksiyonu önceliğine göre işler. Öncelik, 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasındaki herhangi bir sayıdır. Sistem önce en yüksek öncelikli kural toplama gruplarını işler. Bir kural koleksiyonu grubu içinde, sistem önce en yüksek önceliğe (en düşük sayı) sahip kural koleksiyonlarını işler.
Güvenlik Duvarı İlkesini bir üst ilkeden devralırsanız, üst ilkedeki kural koleksiyonu grupları, alt ilkenin önceliğine bakılmaksızın her zaman öncelik kazanır.
Uyarı
Sistem her zaman ağ kurallarından sonra uygulama kurallarını işler ve kural koleksiyonu grubuna veya kural koleksiyonu önceliğine ve ilke devralma işlemine bakılmaksızın DNAT kurallarından sonra ağ kurallarını işler.
Özetlemek gerekirse:
- Ebeveyn politika her zaman çocuk politikadan öncelik taşır.
- Sistem, kural toplama gruplarını öncelik sırasına göre işler.
- Sistem, kural koleksiyonlarını öncelik sırasına göre işler.
- Sistem, DNAT kurallarını, ağ kurallarını ve ardından uygulama kurallarını işler.
Aşağıda dört kural koleksiyonu grubu içeren örnek bir ilke verilmiştır. BaseRCG1 ve BaseRCG2 bir üst ilkeden devralınır; ChildRCG1 ve ChildRCG2 , alt ilkeye aittir.
Tavsiye
Bu tablolarda kullanılan kısaltmalar: RCG = kural koleksiyonu grubu, RC = kural koleksiyonu. Öncelik numaraları 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasında değişir.
Politika yapısı:
| Seviye | İsim | Türü | Öncelik | Kurallar | Policy |
|---|---|---|---|---|---|
| Grup | BaseRCG1 | Kural koleksiyonu grubu | 200 | 8 | Ebeveyn |
| Koleksiyon | DNATRC1 | DNAT | 600 | 7 | Ebeveyn |
| Koleksiyon | DNATRC3 | DNAT | 610 | 3 | Ebeveyn |
| Koleksiyon | NetworkRC1 | Ağ | Sekiz yüz | 1 | Ebeveyn |
| Grup | BaseRCG2 | Kural koleksiyonu grubu | 300 | 3 | Ebeveyn |
| Koleksiyon | AppRC2 | Başvuru | 1200 | 2 | Ebeveyn |
| Koleksiyon | NetworkRC2 | Ağ | 1300 | 1 | Ebeveyn |
| Grup | ChildRCG1 | Kural koleksiyonu grubu | 300 | 5 | Çocuk |
| Koleksiyon | ChNetRC1 | Ağ | 700 | 3 | Çocuk |
| Koleksiyon | ChAppRC1 | Başvuru | 900 | 2 | Çocuk |
| Grup | ChildRCG2 | Kural koleksiyonu grubu | 650 | 9 | Çocuk |
| Koleksiyon | ChNetRC2 | Ağ | 1100 | 2 | Çocuk |
| Koleksiyon | ChAppRC2 | Başvuru | 2000 | 7 | Çocuk |
| Koleksiyon | ChDNATRC3 | DNAT | 3000 | 2 | Çocuk |
Güvenlik duvarı, kural koleksiyon gruplarının her birini, kural türüne göre sırayla üç kez yineler: önce DNAT, sonra Ağ, ardından Uygulama. Her geçişte grupları öncelik sırasına göre işler ve ardından her grup içindeki kural koleksiyonlarını öncelik sırasına göre işler. Aşağıdaki tabloda, bu örnek için tam işlem dizisi gösterilmektedir:
İşleme sırası:
| Aşama | Kural koleksiyonu | Türü | Ana RCG |
|---|---|---|---|
| 1 | DNATRC1 | DNAT | BaseRCG1 (200) |
| 2 | DNATRC3 | DNAT | BaseRCG1 (200) |
| 3 | ChDNATRC3 | DNAT | ChildRCG2 (650) |
| 4 | NetworkRC1 | Ağ | BaseRCG1 (200) |
| 5 | NetworkRC2 | Ağ | BaseRCG2 (300) |
| 6 | ChNetRC1 | Ağ | ChildRCG1 (300) |
| 7 | ChNetRC2 | Ağ | ChildRCG2 (650) |
| 8 | AppRC2 | Başvuru | BaseRCG2 (300) |
| 9 | ChAppRC1 | Başvuru | ChildRCG1 (300) |
| 10 | ChAppRC2 | Başvuru | ChildRCG2 (650) |
Güvenlik Duvarı İlkesi kural kümeleri hakkında daha fazla bilgi için bkz . Azure Güvenlik Duvarı İlkesi kural kümeleri.
Tehdit bilgileri
Tehdit bilgileri tabanlı filtrelemeyi etkinleştirirseniz, bu kurallar en yüksek önceliğe sahiptir. Azure Güvenlik Duvarı bunları her zaman önce, ağ ve uygulama kuralları öncesinde işler. Tehdit bilgileri tabanlı filtreleme, Azure Güvenlik Duvarı yapılandırılmış kuralları işlemeden önce trafiği engelleyebilir. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı tehdit bilgileri tabanlı filtreleme.
Saldırı Tespit ve Önleme Sistemleri (IDPS)
IDPS'yi Uyarı modunda yapılandırdığınızda, IDPS altyapısı kural işleme mantığıyla paralel olarak çalışır. Hem gelen hem de giden akışlar için eşleşen imzalar üzerinde uyarılar oluşturur. IDPS imza eşleşmesi için Azure Güvenlik Duvarı, güvenlik duvarı günlüklerine bir uyarı kaydeder. Ancak, IDPS motoru kural işleme motoruyla paralel çalıştığından, uygulama veya ağ kurallarına doğrultusunda reddedilen veya izin verilen trafik yine başka bir kayıt girişi oluşturabilir.
IDPS'yi Uyarı ve Reddetme modunda yapılandırdığınızda, IDPS altyapısı satır içinde çalışır ve kural işleme altyapısından sonra etkinleştirilir. Bu nedenle her iki altyapı da uyarılar oluşturur ve eşleşen akışları engelleyebilir.
IDPS tarafından gerçekleştirilen oturum bırakma işlemleri akışı sessizce engeller. Bu nedenle TCP düzeyinde RST gönderilmez. IDPS, ağ veya uygulama kuralı eşleştirildikten (İzin Ver veya Reddet) ve günlüklerde işaretlendikten sonra trafiği her zaman incelediği için, imza eşleşmesi nedeniyle oturumu reddetmeye karar verdiğinde başka bir Drop iletisi kaydedilebilir.
TLS incelemesini etkinleştirdiğinizde Azure Güvenlik Duvarı hem şifrelenmemiş hem de şifrelenmiş trafiği inceler.
Gizli dönüş trafiği desteği (durum bilgisine sahip TCP/UDP)
Güvenlik duvarı kurallarını trafiğe yalnızca bir yönde izin verecek şekilde yapılandırabilirsiniz. Örneğin, Azure Güvenlik Duvarı bir şirket içi ağdanAzure sanal ağına başlattığınız bağlantılara izin verirken, Azure sanal ağındanşirket içi ağa başlattığınız yeni bağlantıların engellenmesini gerektirebilir. Bu ilkeyi zorunlu kılmak için Azure sanal ağındanşirket içi ağa gelen trafik için açık bir Reddetme kuralı ekleyin.
Azure Güvenlik Duvarı bu yapılandırmayı destekler. Azure Güvenlik Duvarı durum bilgisi olduğundan, açık bir Reddetme kuralı ters yönde mevcut olsa bile yerleşik bir TCP veya UDP bağlantısı (örneğin, şirket içinden başlattığınız bir bağlantı için SYN-ACK/ACK paketleri) için dönüş trafiğine izin verir. Açık Reddetme kuralı, Azure sanal ağından şirket içi ağa başlattığınız yeni bağlantıları engellemeye devam eder.
Dışa dönük bağlantı
Ağ kuralları ve uygulama kuralları
Ağ kurallarını ve uygulama kurallarını yapılandırıyorsanız Azure Güvenlik Duvarı, ağ kurallarını uygulama kuralları öncesinde öncelik sırasına göre uygular. Kurallar sonlandırıcı. Bu nedenle, Azure Güvenlik Duvarı bir ağ kuralında eşleşme bulursa, başka hiçbir kuralı işlemez. IDPS'yi yapılandırdığınızda, Azure Güvenlik Duvarı bunu tüm geçirilen trafikte çalıştırır. IDPS bir imza eşleşmesi bulduğunda, IDPS moduna bağlı olarak uyarılar oluşturabilir veya şüpheli trafiği engelleyebilir.
Ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise uygulama kuralları paketi öncelik sırasına göre değerlendirir.
HTTP için Azure Güvenlik Duvarı, Host üst bilgisine dayanarak bir uygulama kuralı eşleşmesi arar. HTTPS için Azure Güvenlik Duvarı yalnızca SNI'ye göre bir uygulama kuralı eşleşmesi arar.
Hem HTTP hem de TLS incelenmiş HTTPS durumlarında, güvenlik duvarı paketin hedef IP adresini yoksayar ve Host başlığındaki DNS çözümlenmiş IP adresini kullanır. Gerçek TCP bağlantı noktası ile ana bilgisayar üst bilgisindeki bağlantı noktası arasında bağlantı noktası uyuşmazlığı varsa, güvenlik duvarı trafiği bırakır. Azure DNS veya güvenlik duvarında yapılandırdığınız özel bir DNS, DNS çözümlemesi gerçekleştirir.
Uyarı
Azure Güvenlik Duvarı her zaman hem HTTP hem de HTTPS protokollerini (TLS denetimiyle) özgün kaynak IP adresine ayarlanmış XFF (X-Forwarded-For) üst bilgisi ile doldurur.
Bir uygulama kuralı TLS incelemesi içerdiğinde, güvenlik duvarı kuralları motoru SNI'yi, Host üst bilgisini ve kuralla eşleşen URL'yi işler.
Azure Güvenlik Duvarı uygulama kuralları içinde bir eşleşme bulamazsa, paketi altyapı kuralı koleksiyonuna göre değerlendirir. Azure Güvenlik Duvarı yine de eşleşme bulamazsa paketi varsayılan olarak reddeder.
Altyapı kuralı koleksiyonu
Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgüdür ve başka amaçlarla kullanılamaz. Altyapı kuralı koleksiyonu, uygulama kurallarından sonra ve son tümünü reddet kuralından önce işlenir.
Yerleşik altyapı kuralı koleksiyonu aşağıdaki hizmetleri içerir:
- Depolama Platformu Görüntü Deposuna (PIR) işlem erişimi
- Yönetilen disklerin durumuna ilişkin depolama erişimi
- Azure Teşhis ve Günlük (MDS)
Altyapı kuralı koleksiyonunu geçersiz kılma
Yerleşik altyapı kuralı koleksiyonunu en son işlenen ve tüm uygulamaları reddeden bir kural koleksiyonu oluşturarak aşabilirsiniz. Her zaman altyapı kuralı koleksiyonundan önce işlenir. Altyapı kuralı koleksiyonunda olmayan her şey varsayılan olarak reddedilir.
Uyarı
TCP, UDP, ICMP veya Herhangi bir IP protokolü için ağ kuralları yapılandırabilirsiniz. Herhangi bir IP protokolü, İnternet Atanan Numaralar Yetkilisi (IANA) Protokol Numaraları belgesinde tanımlanan tüm IP protokollerini içerir. Bir hedef bağlantı noktasını açıkça yapılandırıyorsanız, kural bir TCP+UDP kuralına çevrilir. 9 Kasım 2020'den önce herhangi biri, TCP, UDP veya ICMP'yi ifade ediyordu. Bu nedenle, bu tarihten önce Protokol = Herhangi biri ve hedef bağlantı noktaları = '*' ile bir kural yapılandırmış olabilirsiniz. Şu anda tanımlandığı gibi herhangi bir IP protokolüne izin vermeyi düşünmüyorsanız, kuralı istediğiniz protokolleri (TCP, UDP veya ICMP) açıkça yapılandıracak şekilde değiştirin.
Gelen ağ bağlantısı
DNAT kuralları ve ağ kuralları
Azure portalını kullanarak Gelen İnternet veya intranet trafiğini Azure Güvenlik Duvarı DNAT ile filtreleme bölümünde açıklandığı gibi Hedef Ağ Adresi Çevirisi'ni (DNAT) yapılandırarak gelen İnternet veya intranet bağlantısını etkinleştirebilirsiniz. NAT kuralları, ağ kuralları öncesinde öncelikli olarak uygulanır. Azure Güvenlik Duvarı bir eşleşme bulursa trafiği DNAT kuralına göre çevirir ve buna izin verir. Bu nedenle, trafik diğer ağ kuralları tarafından daha fazla işlemeye tabi değildir. Güvenlik nedeniyle, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı ekleyin.
Azure Güvenlik Duvarı gelen bağlantılar için uygulama kuralları uygulamaz. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı 'nı (WAF) kullanın. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?
Örnekler
Aşağıdaki örneklerde bu kural bileşimlerinden bazılarının sonuçları gösterilmektedir.
Örnek 1
Ağ kuralı eşleştiğinden google.com bağlantısına izin verilir.
Ağ kuralı — İşlem: İzin Verme
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Web'e izin ver | TCP | IP adresi | * | IP adresi | * | 80,443 |
Uygulama kuralı — Eylem: Reddet
| İsim | Kaynak türü | Kaynak | Protokol:Port | Hedef FQDN'ler |
|---|---|---|---|---|
| Google'ı Reddet | IP adresi | * | http:80,https:443 | google.com |
Sonuç
Paket , Allow-web ağ kuralıyla eşleştiğinden google.com bağlantısına izin verilir. Kural işleme burada durdurulur.
Örnek 2
SSH trafiği reddedilir çünkü daha yüksek öncelikli Bir Reddet ağ kuralı koleksiyonu bunu engeller.
Ağ Kuralı Koleksiyonu 1 — Ad: İzin Koleksiyonu, Öncelik: 200, İşlem: İzin Ver
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| SSH'ye İzin Ver | TCP | IP adresi | * | IP adresi | * | 22 |
Ağ kuralı koleksiyonu 2 — Ad: Deny-collection, Öncelik: 100, Eylem: İzin verme
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP adresi | * | IP adresi | * | 22 |
Sonuç
Daha yüksek öncelikli bir ağ kuralı koleksiyonu bunları engellediğinden SSH bağlantıları reddedilir. Kural işleme bu noktada durdurulur.
Kural değişiklikleri
Bir kuralı önceden izin verilen trafiği reddedecek şekilde değiştirirseniz, Azure Güvenlik Duvarı ilgili tüm mevcut oturumları bırakır.
Üç yönlü el sıkışma davranışı
Durum tabanlı bir hizmet olarak Azure Güvenlik Duvarı, izin verilen trafik için bir kaynaktan hedefe TCP üçlü el sıkışmasını tamamlar. Örneğin, VNet-B'ye VNet-A.
VNet-A'dan VNet-B'a izin verme kuralı oluşturmak, yeni başlatılan VNet-B ile VNet-A arasındaki bağlantılara izin verilmeyen anlamına gelmez.
Sonuç olarak, VNet-B'den VNet-A'ya açık bir reddetme kuralı oluşturmanız gerekmez.