Aracılığıyla paylaş


Azure Güvenlik Duvarı kurallarını yapılandırma

Klasik kuralları veya Güvenlik Duvarı İlkesi'ni kullanarak Azure Güvenlik Duvarı üzerinde NAT kurallarını, ağ kurallarını ve uygulama kurallarını yapılandırabilirsiniz. Azure Güvenlik Duvarı, kurallar trafiğe izin verecek şekilde el ile yapılandırılana kadar varsayılan olarak tüm trafiği reddeder. Kurallar sonlandırıcı olduğundan, kural işleme bir eşleşmede durdurulur.

Klasik kuralları kullanarak kural işleme

Kural koleksiyonları, kural türüne göre öncelik sırasına göre işlenir ve daha düşük sayılar 100 ile 65.000 arasındadır. Kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir. Bir harf veya sayı ile başlamalı ve harf, sayı veya alt çizgi ile bitmelidir. Ad uzunluğu üst sınırı 80 karakterdir.

Gerekirse daha fazla kural koleksiyonu eklemek için alanınız olması için başlangıçta kural koleksiyonu öncelik sayılarınızı 100 artımlı (100, 200, 300 vb.) aralıklarla ayırmanız en iyisidir.

Güvenlik Duvarı İlkesi kullanarak kural işleme

Güvenlik Duvarı İlkesi ile kurallar Kural Koleksiyonları ve Kural Koleksiyonu Grupları içinde düzenlenir. Kural Koleksiyonu Grupları sıfır veya daha fazla Kural Koleksiyonu içerir. Kural Koleksiyonları NAT, Ağ veya Uygulamalar türüdür. Tek bir Kural Grubu içinde birden çok Kural Koleksiyonu türü tanımlayabilirsiniz. Kural Koleksiyonunda sıfır veya daha fazla Kural tanımlayabilirsiniz. Kural Koleksiyonundaki kurallar aynı türde olmalıdır (NAT, Ağ veya Uygulama).

Kurallar, Kural Koleksiyonu Grubu Önceliği ve Kural Koleksiyonu önceliğine göre işlenir. Öncelik, 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasındaki herhangi bir sayıdır. En yüksek öncelikli Kural Koleksiyon Grupları önce işlenir. Bir kural koleksiyonu grubu içinde, önce en yüksek önceliğe (en düşük sayı) sahip Kural Koleksiyonları işlenir.

Güvenlik Duvarı İlkesi bir üst ilkeden devralınırsa, üst ilkedeki Kural Koleksiyonu Grupları bir alt ilkenin önceliğine bakılmaksızın her zaman öncelik kazanır.

Not

Uygulama kuralları her zaman Kural koleksiyonu grubuna veya Kural koleksiyonu önceliğine ve ilke devralma işlemine bakılmaksızın DNAT kurallarından sonra işlenen Ağ kurallarından sonra işlenir.

Özetlemek gerekirse:

Üst ilke her zaman önceliklidir.

  1. Kural koleksiyonu grupları öncelik sırasına göre işlenir.
  2. Kural koleksiyonları öncelik sırasına göre işlenir.
  3. DNAT kuralları, ardından Ağ kuralları, ardından Uygulama kuralları işlenir.

Aşağıda örnek bir ilke verilmişti:

BaseRCG1'in kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliği (200) olduğu varsayılır: DNATRC1, DNATRC3,NetworkRC1.
BaseRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (300): AppRC2, NetworkRC2.
ChildRCG1, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (300): ChNetRC1, ChAppRC1.
ChildRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (650): ChNetRC2, ChAppRC2,ChDNATRC3.

Aşağıdaki tabloya göre:

Adı Tip Öncelik Kurallar Devralındığı yer:
BaseRCG1 Kural koleksiyonu grubu 200 8 Üst ilke
DNATRC1 DNAT kuralı koleksiyonu 600 7 Üst ilke
DNATRC3 DNAT kuralı koleksiyonu 610 3 Üst ilke
NetworkRC1 Ağ kuralı koleksiyonu 800 1 Üst ilke
BaseRCG2 Kural koleksiyonu grubu 300 3 Üst ilke
AppRC2 Uygulama kuralı koleksiyonu 1200 2 Üst ilke
NetworkRC2 Ağ kuralı koleksiyonu 1300 1 Üst ilke
ChildRCG1 Kural koleksiyonu grubu 300 5 -
ChNetRC1 Ağ kuralı koleksiyonu 700 3 -
ChAppRC1 Uygulama kuralı koleksiyonu 900 2 -
ChildRCG2 Kural koleksiyonu grubu 650 9 -
ChNetRC2 Ağ kuralı koleksiyonu 1100 2 -
ChAppRC2 Uygulama kuralı koleksiyonu Kategori 2000 7 -
ChDNATRC3 DNAT kuralı koleksiyonu 3000 2 -

DNAT Kuralları için İlk Yineleme:

İşlem, 200 önceliğe sahip BaseRCG1 olan en düşük sayıya sahip kural toplama grubunu (RCG) inceleyerek başlar. Bu grupta DNAT kural koleksiyonlarını arar ve önceliklerine göre değerlendirir. Bu durumda, DNATRC1 (öncelik 600) ve DNATRC3 (öncelik 610) buna göre bulunur ve işlenir.
Ardından, sonraki RCG olan BaseRCG2'ye (öncelik 300) geçer, ancak DNAT kural koleksiyonu bulmaz.
Bundan sonra, DNAT kural koleksiyonu olmadan da ChildRCG1'e (öncelik 300) devam eder.
Son olarak, ChildRCG2'yi (öncelik 650) denetler ve ChDNATRC3 kural koleksiyonunu (öncelik 3000) bulur.

AĞ Kuralları için Yineleme:

BaseRCG1'e geri döndüğünüzde yineleme devam eder ve bu kez AĞ kuralları için geçerlidir. Yalnızca NetworkRC1 (öncelik 800) bulunur.
Ardından, NetworkRC2'nin (öncelik 1300) bulunduğu BaseRCG2'ye geçer.
ChildRCG1'e geçtiğinde, AĞ kuralı olarak ChNetRC1 'i (öncelik 700) bulur.
Son olarak ChildRCG2'de, NETWORK kural koleksiyonu olarak ChNetRC2 (öncelik 1100) bulur.

APPLICATION Kuralları için Son Yineleme:

BaseRCG1'e geri döndüğünüzde işlem APPLICATION kuralları için yinelenir, ancak hiçbiri bulunmaz.
BaseRCG2'de AppRC2'yi (öncelik 1200) APPLICATION kuralı olarak tanımlar.
ChildRCG1'de, UYGULAMA kuralı olarak ChAppRC1 (öncelik 900) bulunur.
Son olarak ChildRCG2'de, UYGULAMA kuralı olarak ChAppRC2'yi (öncelik 2000) bulur.

Özetle, kural işleme sırası aşağıdaki gibidir: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.

Bu işlem, kural toplama gruplarını önceliğe göre ve her grup içinde analiz etmeyi, kuralları her kural türü (DNAT, NETWORK ve APPLICATION) için önceliklerine göre sıralamayı içerir.

Bu nedenle öncelikle tüm DNAT kuralları tüm kural koleksiyonu gruplarından işlenir ve kural toplama gruplarını öncelik sırasına göre analiz eder ve her kural koleksiyonu grubundaki DNAT kurallarını öncelik sırasına göre sıralar. Ardından AĞ kuralları ve son olarak UYGULAMA kuralları için aynı işlem.

Güvenlik Duvarı İlkesi kural kümeleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı İlke kural kümeleri.

Tehdit Bilgisi

Tehdit bilgileri tabanlı filtrelemeyi etkinleştirirseniz, bu kurallar en yüksek önceliklidir ve her zaman önce işlenir (ağ ve uygulama kuralları öncesinde). Tehdit bilgileri filtrelemesi, yapılandırılmış kurallar işlenmeden önce trafiği reddedebilir. Daha fazla bilgi için bkz. tehdit bilgileri tabanlı filtreleme Azure Güvenlik Duvarı.

IDPS

IDPS Uyarı modunda yapılandırıldığında, IDPS altyapısı kural işleme mantığına paralel olarak çalışır ve hem gelen hem de giden akışlar için eşleşen imzalar üzerinde uyarılar oluşturur. IDPS imza eşleşmesi için güvenlik duvarı günlüklerine bir uyarı kaydedilir. Ancak IDPS altyapısı kural işleme altyapısına paralel çalıştığından, uygulama/ağ kuralları tarafından reddedilen veya izin verilen trafik yine başka bir günlük girişi oluşturabilir.

IDPS Uyarı ve Reddetme modunda yapılandırıldığında, IDPS altyapısı satır içidir ve kural işleme altyapısından sonra etkinleştirilir. Bu nedenle her iki altyapı da uyarılar oluşturur ve eşleşen akışları engelleyebilir. 

IDPS tarafından yapılan oturum bırakma işlemleri akışı sessizce engeller. Bu nedenle TCP düzeyinde RST gönderilmez. IDPS, Ağ/Uygulama kuralı eşleştirildikten (İzin Ver/Reddet) ve günlüklerde işaretlendikten sonra trafiği her zaman incelediğinden, IDPS'nin imza eşleşmesi nedeniyle oturumu reddetmeye karar ettiği başka bir Bırakma iletisi günlüğe kaydedilebilir.

TLS denetimi etkinleştirildiğinde hem şifrelenmemiş hem de şifrelenmiş trafik incelenir. 

Giden bağlantı

Ağ kuralları ve uygulama kuralları

Ağ kurallarını ve uygulama kurallarını yapılandırıyorsanız, ağ kuralları uygulama kuralları öncesinde öncelik sırasına göre uygulanır. Kurallar sonlandırıcı. Bu nedenle, bir ağ kuralında eşleşme bulunursa, başka hiçbir kural işlenmez. Yapılandırılırsa, IDPS tüm çapraz geçiş trafiğinde yapılır ve imza eşleşmesi üzerine IDPS şüpheli trafiği uyarır veya/ve engelleyebilir.

Uygulama kuralları, ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise paketi öncelik sırasına göre değerlendirir.

HTTP için Azure Güvenlik Duvarı, Konak üst bilgisine göre bir uygulama kuralı eşleşmesi arar. HTTPS için Azure Güvenlik Duvarı yalnızca SNI'ye göre bir uygulama kuralı eşleşmesi arar.

Hem HTTP hem de TLS tarafından incelenen HTTPS olaylarında, güvenlik duvarı paketin hedef IP adresini yoksayar ve Ana Bilgisayar üst bilgisindeki DNS çözümlenmiş IP adresini kullanır. Güvenlik duvarı Konak üst bilgisinde bağlantı noktası numarasını almayı bekler, aksi takdirde standart bağlantı noktası 80'i kabul eder. Gerçek TCP bağlantı noktası ile konak üst bilgisindeki bağlantı noktası arasında bir bağlantı noktası uyuşmazlığı varsa, trafik bırakılır. DNS çözümlemesi Azure DNS tarafından veya güvenlik duvarında yapılandırılırsa özel bir DNS tarafından yapılır. 

Not

Hem HTTP hem de HTTPS protokolleri (TLS denetimiyle) her zaman özgün kaynak IP adresine eşit XFF (X-Forwarded-For) üst bilgisine sahip Azure Güvenlik Duvarı tarafından doldurulur. 

Bir uygulama kuralı TLS incelemesi içerdiğinde, güvenlik duvarı kuralları altyapısı SNI'yi, Ana Bilgisayar Üst Bilgisini ve ayrıca kuralla eşleşecek URL'yi işler.

Uygulama kurallarında hala eşleşme bulunmazsa paket altyapı kuralı koleksiyonuna göre değerlendirilir. Hala eşleşme yoksa paket varsayılan olarak reddedilir.

Not

Ağ kuralları TCP, UDP, ICMP veya Herhangi bir IP protokolü için yapılandırılabilir. Herhangi bir IP protokolü, İnternet Atanmış Numaralar Yetkilisi (IANA) Protokol Numaraları belgesinde tanımlanan tüm IP protokollerini içerir. Hedef bağlantı noktası açıkça yapılandırılmışsa, kural TCP+UDP kuralına çevrilir. 9 Kasım 2020'den önce TCP , UDP veya ICMP anlamına gelen herhangi biri . Bu nedenle, bu tarihten önce Protokol = Herhangi biri ve hedef bağlantı noktaları = '*' ile bir kural yapılandırmış olabilirsiniz. Şu anda tanımlandığı gibi herhangi bir IP protokolüne izin vermeyi düşünmüyorsanız, kuralı istediğiniz protokolleri (TCP, UDP veya ICMP) açıkça yapılandıracak şekilde değiştirin.

Gelen bağlantı

DNAT kuralları ve Ağ kuralları

Gelen İnternet veya intranet (önizleme) bağlantısı, Azure portalını kullanarak gelen İnternet veya intranet trafiğini Azure Güvenlik Duvarı DNAT ile filtreleme bölümünde açıklandığı gibi Hedef Ağ Adresi Çevirisi (DNAT) yapılandırılarak etkinleştirilebilir. NAT kuralları, ağ kuralları öncesinde öncelikli olarak uygulanır. Eşleşme bulunursa, trafik DNAT kuralına göre çevrilir ve güvenlik duvarı tarafından izin verilir. Bu nedenle trafik, diğer ağ kuralları tarafından daha fazla işlemeye tabi değildir. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir.

Uygulama kuralları gelen bağlantılar için uygulanmaz. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı (WAF) kullanmalısınız. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?

Örnekler

Aşağıdaki örneklerde bu kural bileşimlerinden bazılarının sonuçları gösterilmektedir.

Örnek 1

Eşleşen bir ağ kuralı nedeniyle google.com bağlantısına izin verilir.

Ağ kuralı

  • Eylem: İzin Ver
Adı Protokol Source type Kaynak Hedef türü Hedef adres Hedef bağlantı noktaları
Web'e izin ver TCP IP Adresi * IP Adresi * 80,443

Uygulama kuralı

  • Eylem: Reddet
Adı Source type Kaynak Protokol:Bağlantı Noktası Hedef FQDN'ler
Deny-google IP Adresi * http:80,https:443 google.com

Sonuç

Paket, Allow-web ağ kuralıyla eşleştiğinden google.com bağlantısına izin verilir. Kural işleme bu noktada durdurulur.

Örnek 2

SSH trafiği reddedilir çünkü daha yüksek öncelikli Bir Reddet ağ kuralı koleksiyonu bunu engeller.

Ağ kuralı koleksiyonu 1

  • Ad: allow-collection
  • Öncelik: 200
  • Eylem: İzin Ver
Adı Protokol Source type Kaynak Hedef türü Hedef adres Hedef bağlantı noktaları
SSH'ye İzin Ver TCP IP Adresi * IP Adresi * 22

Ağ kuralı koleksiyonu 2

  • Ad: Deny-collection
  • Öncelik: 100
  • Eylem: Reddet
Adı Protokol Source type Kaynak Hedef türü Hedef adres Hedef bağlantı noktaları
Deny-SSH TCP IP Adresi * IP Adresi * 22

Sonuç

SSH bağlantıları, daha yüksek öncelikli bir ağ kuralı koleksiyonu tarafından engellendiği için reddedilir. Kural işleme bu noktada durdurulur.

Kural değişiklikleri

Bir kuralı önceden izin verilen trafiği reddedecek şekilde değiştirirseniz, ilgili tüm mevcut oturumlar bırakılır.

Üç yönlü el sıkışma davranışı

Durum bilgisi olan bir hizmet olarak, Azure Güvenlik Duvarı bir kaynaktan hedefe izin verilen trafik için TCP üç yönlü el sıkışmasını tamamlar. Örneğin, VNet-A-VNet-B.

A sanal ağından B sanal ağına bir izin kuralı oluşturmak, B sanal ağından A sanal ağına yeni başlatılan bağlantılara izin verileceği anlamına gelmez.

Sonuç olarak, VNet-B'den VNet-A'ya açık bir reddetme kuralı oluşturmanıza gerek yoktur.

Sonraki adımlar