Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Klasik kuralları veya Güvenlik Duvarı İlkesi'ni kullanarak Azure Güvenlik Duvarı üzerinde NAT kurallarını, ağ kurallarını ve uygulama kurallarını yapılandırabilirsiniz. Azure Güvenlik Duvarı, kurallar trafiğe izin verecek şekilde el ile yapılandırılana kadar varsayılan olarak tüm trafiği reddeder. Kurallar son bulduğunda, bir eşleşme gerçekleştiğinde kural işleme durur.
Klasik kuralları kullanarak kural işleme
Kural koleksiyonları, kural türüne göre öncelik sırasına göre, 100 ile 65.000 arasındaki daha düşük sayılardan daha yüksek sayılara doğru işlenir. Kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir. Bir harf veya sayı ile başlamalı ve harf, sayı veya alt çizgi ile bitmelidir. Ad uzunluğu üst sınırı 80 karakterdir.
Gerekirse daha fazla kural koleksiyonu eklemek için alanınız olması için başlangıçta kural koleksiyonu öncelik sayılarınızı 100 artımlı (100, 200, 300 vb.) aralıklarla ayırmanız en iyisidir.
Güvenlik Duvarı İlkesi kullanarak kural işleme
Güvenlik Duvarı İlkesi ile kurallar Kural Koleksiyonları ve Kural Koleksiyonu Grupları içinde düzenlenir. Kural Koleksiyonu Grupları sıfır veya daha fazla Kural Koleksiyonu içerir. Kural Koleksiyonları NAT, Ağ veya Uygulamalar türüdür. Tek bir Kural Grubu içinde birden çok Kural Koleksiyonu türü tanımlayabilirsiniz. Kural Koleksiyonunda sıfır veya daha fazla Kural tanımlayabilirsiniz. Kural Koleksiyonundaki kurallar aynı türde olmalıdır (NAT, Ağ veya Uygulama).
Kurallar, Kural Koleksiyonu Grubu Önceliği ve Kural Koleksiyonu önceliğine göre işlenir. Öncelik, 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasındaki herhangi bir sayıdır. En yüksek öncelikli Kural Koleksiyon Grupları önce işlenir. Bir kural koleksiyonu grubu içinde, önce en yüksek önceliğe (en düşük sayı) sahip Kural Koleksiyonları işlenir.
Güvenlik Duvarı İlkesi bir üst ilkeden devralınırsa, üst ilkedeki Kural Koleksiyonu Grupları bir alt ilkenin önceliğine bakılmaksızın her zaman öncelik kazanır.
Uyarı
Uygulama kuralları her zaman Kural koleksiyonu grubuna veya Kural koleksiyonu önceliğine ve ilke devralma işlemine bakılmaksızın DNAT kurallarından sonra işlenen Ağ kurallarından sonra işlenir.
Özetlemek gerekirse:
Ana politika her zaman önceliğe sahiptir.
- Kural koleksiyonu grupları öncelik sırasına göre işlenir.
- Kural koleksiyonları öncelik sırasına göre işlenir.
- DNAT kuralları, ardından Ağ kuralları, ardından Uygulama kuralları işlenir.
Aşağıda örnek bir ilke verilmişti:
BaseRCG1'in kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliği (200) olduğu varsayılır: DNATRC1, DNATRC3,NetworkRC1.
BaseRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (300): AppRC2, NetworkRC2.
ChildRCG1, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (300): ChNetRC1, ChAppRC1.
ChildRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (650): ChNetRC2, ChAppRC2,ChDNATRC3.
Aşağıdaki tabloya göre:
| İsim | Türü | Öncelik | Kurallar | Devralındığı yer: |
|---|---|---|---|---|
| BaseRCG1 | Kural koleksiyonu grubu | 200 | 8 | Üst ilke |
| DNATRC1 | DNAT kuralı koleksiyonu | 600 | 7 | Üst ilke |
| DNATRC3 | DNAT kuralı koleksiyonu | 610 | 3 | Üst ilke |
| NetworkRC1 | Ağ kuralı koleksiyonu | Sekiz yüz | 1 | Üst ilke |
| BaseRCG2 | Kural koleksiyonu grubu | 300 | 3 | Üst ilke |
| AppRC2 | Uygulama kuralı koleksiyonu | 1200 | 2 | Üst ilke |
| NetworkRC2 | Ağ kuralı koleksiyonu | 1300 | 1 | Üst ilke |
| ChildRCG1 | Kural koleksiyonu grubu | 300 | 5 | - |
| ChNetRC1 | Ağ kuralı koleksiyonu | 700 | 3 | - |
| ChAppRC1 | Uygulama kuralı koleksiyonu | 900 | 2 | - |
| ChildRCG2 | Kural koleksiyonu grubu | 650 | 9 | - |
| ChNetRC2 | Ağ kuralı koleksiyonu | 1100 | 2 | - |
| ChAppRC2 | Uygulama kuralı koleksiyonu | 2000 | 7 | - |
| ChDNATRC3 | DNAT kuralı koleksiyonu | 3000 | 2 | - |
DNAT Kuralları için İlk Yineleme:
İşlem, 200 önceliğe sahip BaseRCG1 olan en düşük sayıya sahip kural toplama grubunu (RCG) inceleyerek başlar. Bu grupta DNAT kural koleksiyonlarını arar ve önceliklerine göre değerlendirir. Bu durumda, DNATRC1 (öncelik 600) ve DNATRC3 (öncelik 610) buna göre bulunur ve işlenir.
Ardından, sonraki RCG olan BaseRCG2'ye (öncelik 300) geçer, ancak DNAT kural koleksiyonu bulmaz.
Bundan sonra, DNAT kural koleksiyonu olmadan da ChildRCG1'e (öncelik 300) devam eder.
Son olarak, ChildRCG2'yi (öncelik 650) denetler ve ChDNATRC3 kural koleksiyonunu (öncelik 3000) bulur.
NETWORK Kuralları için Tekrarlama:
BaseRCG1'e geri döndüğünde yineleme devam etmektedir, bu kez ağ kuralları için. Yalnızca NetworkRC1 (öncelik 800) bulunur.
Ardından, NetworkRC2'nin (öncelik 1300) bulunduğu BaseRCG2'ye geçer.
ChildRCG1'e geçtiğimizde, ChNetRC1'i (öncelik 700) bir AĞ kuralı olarak keşfeder.
Son olarak ChildRCG2'de, NETWORK kural koleksiyonu olarak ChNetRC2 (öncelik 1100) bulur.
Başvuru Kuralları İçin Son İterasyon:
İşlem, BaseRCG1'e dönüldüğünde APPLICATION kuralları için yinelenir, ancak hiçbir kural bulunmaz.
BaseRCG2'de AppRC2'yi (öncelik 1200) APPLICATION kuralı olarak tanımlar.
ChildRCG1'de, UYGULAMA kuralı olarak ChAppRC1 (öncelik 900) bulunur.
Son olarak ChildRCG2'de, UYGULAMA kuralı olarak ChAppRC2'yi (öncelik 2000) bulur.
Özetle, kural işleme sırası aşağıdaki gibidir: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.
Bu işlem, kural toplama gruplarını önceliğe göre ve her grup içinde analiz etmeyi, kuralları her kural türü (DNAT, NETWORK ve APPLICATION) için önceliklerine göre sıralamayı içerir.
Bu nedenle öncelikle tüm DNAT kuralları tüm kural koleksiyonu gruplarından işlenir ve kural toplama gruplarını öncelik sırasına göre analiz eder ve her kural koleksiyonu grubundaki DNAT kurallarını öncelik sırasına göre sıralar. Ardından AĞ kuralları için aynı işlem ve son olarak da UYGULAMA kuralları için yapılır.
Güvenlik Duvarı İlkesi kural kümeleri hakkında daha fazla bilgi için bkz . Azure Güvenlik Duvarı İlkesi kural kümeleri.
Tehdit Bilgileri
Tehdit bilgileri tabanlı filtrelemeyi etkinleştirirseniz, bu kurallar en yüksek önceliklidir ve her zaman önce işlenir (ağ ve uygulama kuralları öncesinde). Tehdit istihbarat filtresi, yapılandırılmış kurallar işlenmeden önce trafiği reddedebilir. Daha fazla bilgi için bkz . Azure Güvenlik Duvarı tehdit bilgileri tabanlı filtreleme.
Saldırı Tespit ve Önleme Sistemleri (IDPS)
IDPS Uyarı modunda yapılandırıldığında, IDPS altyapısı kural işleme mantığına paralel olarak çalışır ve hem gelen hem de giden akışlar için eşleşen imzalar üzerinde uyarılar oluşturur. IDPS imza eşleşmesi için güvenlik duvarı günlüklerine bir uyarı kaydedilir. Ancak IDPS altyapısı kural işleme altyapısına paralel çalıştığından, uygulama/ağ kuralları tarafından reddedilen veya izin verilen trafik yine başka bir günlük girişi oluşturabilir.
IDPS Uyarı ve Reddetme modunda yapılandırıldığında, IDPS altyapısı satır içidir ve kural işleme altyapısından sonra etkinleştirilir. Bu nedenle her iki altyapı da uyarılar oluşturur ve eşleşen akışları engelleyebilir.
IDPS tarafından yapılan oturum bırakma işlemleri akışı sessizce engeller. Bu nedenle TCP düzeyinde RST gönderilmez. IDPS, Ağ/Uygulama kuralı eşleştirildikten (İzin Ver/Reddet) ve günlüklerde işaretlendikten sonra trafiği her zaman incelediğinden, IDPS'nin imza eşleşmesi nedeniyle oturumu reddetmeye karar ettiği başka bir Bırakma iletisi günlüğe kaydedilebilir.
TLS denetimi etkinleştirildiğinde hem şifrelenmemiş hem de şifrelenmiş trafik incelenir.
Dışa dönük bağlantı
Ağ kuralları ve uygulama kuralları
Ağ kurallarını ve uygulama kurallarını yapılandırıyorsanız, ağ kuralları uygulama kuralları öncesinde öncelik sırasına göre uygulanır. Kurallar sonlandırıcı. Bu nedenle, bir ağ kuralında eşleşme bulunursa, başka hiçbir kural işlenmez. Yapılandırılırsa, IDPS tüm çapraz geçiş trafiğinde yapılır ve imza eşleşmesi üzerine IDPS şüpheli trafiği uyarır veya/ve engelleyebilir.
Uygulama kuralları, ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise paketi öncelik sırasına göre değerlendirir.
HTTP için Azure Güvenlik Duvarı, Host üst bilgisine dayanarak bir uygulama kuralı eşleşmesi arar. HTTPS için Azure Güvenlik Duvarı yalnızca SNI'ye göre bir uygulama kuralı eşleşmesi arar.
Hem HTTP hem de TLS incelenmiş HTTPS durumlarında, güvenlik duvarı paketin hedef IP adresini yoksayar ve Host başlığındaki DNS çözümlenmiş IP adresini kullanır. Güvenlik duvarı, Host başlığında bağlantı noktası numarasını almayı bekler; aksi takdirde standart bağlantı noktası 80'i varsayar. Gerçek TCP bağlantı noktası ile ana bilgisayar başlığındaki port arasında bir uyuşmazlık varsa, trafik kesilir. DNS çözümlemesi Azure DNS tarafından veya güvenlik duvarında yapılandırılırsa özel bir DNS tarafından yapılır.
Uyarı
Hem HTTP hem de HTTPS protokolleri (TLS incelemeli) her zaman özgün kaynak IP adresine eşit XFF (X-Forwarded-For) üst bilgisi ile Azure Güvenlik Duvarı ile doldurulur.
Bir uygulama kuralı TLS incelemesi içerdiğinde, güvenlik duvarı kuralları altyapısı SNI'yi, Ana Bilgisayar Üst Bilgisini ve ayrıca kuralla eşleşecek URL'yi işler.
Uygulama kurallarında hala eşleşme bulunmazsa paket altyapı kuralı koleksiyonuna göre değerlendirilir. Hala eşleşme yoksa paket varsayılan olarak reddedilir.
Altyapı kuralı koleksiyonu
Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgüdür ve başka amaçlarla kullanılamaz. Altyapı kuralı koleksiyonu, uygulama kurallarından sonra ve son tümünü reddet kuralından önce işlenir.
Aşağıdaki hizmetler yerleşik altyapı kuralı koleksiyonuna dahildir:
- Depolama Platformu Görüntü Deposuna (PIR) işlem erişimi
- Yönetilen disklerin durumuna ilişkin depolama erişimi
- Azure Teşhis ve Günlük (MDS)
Altyapı kuralı koleksiyonunu geçersiz kılma
Tümünü reddeden bir uygulama kuralı koleksiyonu oluşturarak ve son işlenen olarak ayarlayarak bu yerleşik altyapı kuralı koleksiyonunu geçersiz kılabilirsiniz. Her zaman altyapı kural koleksiyonu öncesinde işlenir. Altyapı kuralı koleksiyonunda olmayan her şey varsayılan olarak reddedilir.
Uyarı
Ağ kuralları TCP, UDP, ICMP veya Herhangi bir IP protokolü için yapılandırılabilir. Herhangi bir IP protokolü, İnternet Atanmış Numaralar Yetkilisi (IANA) Protokol Numaraları belgesinde tanımlanan tüm IP protokollerini içerir. Hedef bağlantı noktası açıkça yapılandırılmışsa, kural TCP+UDP kuralına çevrilir. 9 Kasım 2020'den önce herhangi biri, TCP, UDP veya ICMP'yi ifade ediyordu. Bu nedenle, bu tarihten önce Protokol = Herhangi biri ve hedef bağlantı noktaları = '*' ile bir kural yapılandırmış olabilirsiniz. Şu anda tanımlandığı gibi herhangi bir IP protokolüne izin vermeyi düşünmüyorsanız, kuralı istediğiniz protokolleri (TCP, UDP veya ICMP) açıkça yapılandıracak şekilde değiştirin.
Gelen ağ bağlantısı
DNAT kuralları ve Ağ kuralları
Gelen İnternet veya intranet bağlantısı, Azure portalını kullanarak Gelen İnternet veya intranet trafiğini Azure Güvenlik Duvarı DNAT ile filtreleme bölümünde açıklandığı gibi Hedef Ağ Adresi Çevirisi (DNAT) yapılandırılarak etkinleştirilebilir. NAT kuralları, ağ kuralları öncesinde öncelikli olarak uygulanır. Eşleşme bulunduğunda, trafik DNAT kuralına göre çevrilir ve güvenlik duvarı tarafından onaylanır. Bu nedenle trafik, diğer ağ kuralları tarafından daha fazla işlemeye tabi değildir. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir.
Uygulama kuralları gelen bağlantılar için uygulanmaz. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı (WAF) kullanmalısınız. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?
Örnekler
Aşağıdaki örneklerde bu kural bileşimlerinden bazılarının sonuçları gösterilmektedir.
Örnek 1
Eşleşen bir ağ kuralı nedeniyle google.com bağlantısına izin verilir.
Ağ kuralı
- Eylem: İzin Ver
| isim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Web'e izin ver | TCP | IP adresi | * | IP adresi | * | 80,443 |
Uygulama kuralı
- Eylem: Reddet
| isim | Kaynak türü | Kaynak | Protokol:Port | Hedef FQDN'ler |
|---|---|---|---|---|
| Deny-google | IP adresi | * | http:80,https:443 | google.com |
Sonuç
Paket , Allow-web ağ kuralıyla eşleştiğinden google.com bağlantısına izin verilir. Kural işleme bu noktada durdurulur.
Örnek 2
SSH trafiği reddedilir çünkü daha yüksek öncelikli Bir Reddet ağ kuralı koleksiyonu bunu engeller.
Ağ kural koleksiyonu 1
- Ad: İzin Verme-Koleksiyonu
- Öncelik: 200
- Eylem: İzin Ver
| isim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| SSH'ye İzin Ver | TCP | IP adresi | * | IP adresi | * | 22 |
Ağ kural koleksiyonu 2
- Ad: Deny-collection
- Öncelik: 100
- Eylem: Reddet
| isim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP adresi | * | IP adresi | * | 22 |
Sonuç
SSH bağlantıları, daha yüksek öncelikli bir ağ kuralı koleksiyonu tarafından engellendiği için reddedilir. Kural işleme bu noktada durdurulur.
Kural değişiklikleri
Bir kuralı önceden izin verilen trafiği reddedecek şekilde değiştirirseniz, ilgili tüm mevcut oturumlar bırakılır.
Üç yönlü el sıkışma davranışı
Durum tabanlı bir hizmet olarak Azure Güvenlik Duvarı, izin verilen trafik için bir kaynaktan hedefe TCP üçlü el sıkışmasını tamamlar. Örneğin, VNet-B'ye VNet-A.
VNet-A ile VNet-B arasındaki bir izin verme kuralı oluşturmak, VNet-B ile VNet-A arasındaki yeni başlatılan bağlantılara izin verilmeyen anlamına gelmez.
Sonuç olarak, VNet-B'dan VNet-A'ya açık bir reddetme kuralı oluşturmanıza gerek yoktur.