Aracılığıyla paylaş

Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ve ilkeyi dağıtma ve yapılandırma

  • Makale

Giden ağ erişimini denetleme, genel ağ güvenlik planının önemli bir parçasıdır. Örneğin, web sitelerine erişimi sınırlamak isteyebilirsiniz. Öte yandan, erişilebilen giden IP adreslerini ve bağlantı noktalarını sınırlamak da isteyebilirsiniz.

Azure alt ağından giden ağ erişimini denetlemenin bir yolu Azure Güvenlik Duvarı ve Güvenlik Duvarı İlkesi'dir. Azure Güvenlik Duvarı ve Güvenlik Duvarı İlkesi ile şunları yapılandırabilirsiniz:

  • Bir alt ağdan erişilebilen tam etki alanı adlarını (FQDN) tanımlayan uygulama kuralları.
  • Kaynak adres, protokol, hedef bağlantı noktası ve hedef adresini tanımlayan ağ kuralları.

Ağ trafiğinizi güvenlik duvarından alt ağın varsayılan ağ geçidi olarak yönlendirdiğinizde ağ trafiği yapılandırılan güvenlik duvarı kurallarına tabi tutulur.

Bu öğreticide, kolay dağıtım için iki alt ağa sahip basitleştirilmiş tek bir sanal ağ oluşturursunuz.

  • AzureFirewallSubnet - güvenlik duvarı bu alt ağdadır.
  • Workload-SN: İş yükü sunucusu bu alt ağda yer alır. Bu alt ağın ağ trafiği güvenlik duvarından geçer.

Güvenlik duvarı ağ altyapısı diyagramı.

Üretim dağıtımları için güvenlik duvarının kendi sanal asında olduğu bir merkez-uç modeli önerilir. İş yükü sunucuları, bir veya daha fazla alt ağa sahip aynı bölgedeki eşlenmiş sanal ağlarda yer alır.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı ve güvenlik duvarı ilkesi dağıtma
  • Varsayılan rota oluşturma
  • Uygulama kuralını www.google.com erişime izin verecek şekilde yapılandırma
  • Dış DNS sunucularına erişime izin vermek için ağ kuralı yapılandırma
  • Test sunucusuna uzak masaüstüne izin vermek için NAT kuralı yapılandırma
  • Güvenlik duvarını test etme

İsterseniz Azure PowerShell kullanarak bu yordamı tamamlayabilirsiniz.

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Ağı ayarlama

İlk olarak güvenlik duvarını dağıtmak için gerekli olan kaynakları içerecek bir kaynak grubu oluşturun. Ardından bir sanal ağ, alt ağlar ve bir test sunucusu oluşturun.

Kaynak grubu oluşturma

Kaynak grubu, bu öğreticideki tüm kaynakları içerir.

  1. Azure Portal’ında oturum açın.

  2. Azure portalı menüsünde Kaynak grupları'nı seçin veya herhangi bir sayfadan Kaynak grupları'nı arayıp seçin, ardından Oluştur'u seçin. Aşağıdaki değerleri yazın veya seçin:

    Ayar Value
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Test-FW-RG girin.
    Bölge Bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.

  3. Gözden geçir ve oluştur’u seçin.

  4. Oluştur'u belirleyin.

Sanal ağ oluşturma

Bu sanal ağın iki alt ağı olacaktır.

Not

AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur’u seçin.

  2. 'ı seçin.

  3. Sanal ağ için arama yapın ve Oluştur'u seçin.

  4. Aşağıdaki değerleri yazın veya seçin:

    Ayar Value
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Veri Akışı Adı Test-FW-VN girin.
    Bölge Daha önce kullandığınız konumu seçin.

  5. İleri'yi seçin.

  6. Güvenlik sekmesinde İleri'yi seçin.

  7. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  8. Alt ağlar'ın altında varsayılan'ı seçin.

  9. Alt ağı düzenle sayfasında Alt ağ amacı için Azure Güvenlik Duvarı'i seçin.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

  10. Başlangıç adresi için 10.0.1.0 yazın.

  11. Kaydet'i seçin.

Ardından iş yükü sunucusu için bir alt ağ oluşturun.

  1. Alt ağ ekle'yi seçin.
  2. Alt ağ adı için Workload-SN yazın.
  3. Başlangıç adresi için 10.0.2.0/24 yazın.
  4. Ekle'yi seçin.
  5. Gözden geçir ve oluştur’u seçin.
  6. Oluştur'u belirleyin.

Sanal makine oluşturun

Şimdi iş yükü sanal makinesini oluşturun ve İş Yükü-SN alt aya yerleştirin.

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur’u seçin.

  2. Windows Server 2019 Datacenter'ı seçin.

  3. Sanal makine için şu değerleri girin veya seçin:

    Ayar Value
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Virtual machine name Srv-Work yazın.
    Bölge Daha önce kullandığınız konumu seçin.
    Username Bir kullanıcı adı girin.
    Parola Bir parola girin.

  4. Gelen bağlantı noktası kuralları,Genel gelen bağlantı noktaları'nın altında Yok'a tıklayın.

  5. Diğer varsayılanları kabul edin ve İleri: Diskler'i seçin.

  6. Disk varsayılanlarını kabul edin ve İleri: Ağ'ı seçin.

  7. Sanal ağ için Test-FW-VN'nin seçildiğinden ve alt ağın İş Yükü-SN olduğundan emin olun.

  8. Genel IP için Yok'a tıklayın.

  9. Diğer varsayılanları kabul edin ve İleri: Yönetim'i seçin.

  10. İleri:İzleme'yi seçin.

  11. Önyükleme tanılamasını devre dışı bırakmak için Devre Dışı Bırak'ı seçin. Diğer varsayılanları kabul edin ve Gözden geçir + oluştur'u seçin.

  12. Özet sayfasındaki ayarları gözden geçirin ve Oluştur'u seçin.

  13. Dağıtım tamamlandıktan sonra Srv-Work kaynağını seçin ve daha sonra kullanmak üzere özel IP adresini not edin.

Güvenlik duvarını ve ilkeyi dağıtma

Güvenlik duvarını sanal ağa dağıtın.

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur’u seçin.

  2. Arama kutusuna güvenlik duvarı yazın ve Enter tuşuna basın.

  3. Güvenlik duvarı'nı ve ardından Oluştur'u seçin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Value
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Veri Akışı Adı Test-FW01 girin.
    Bölge Daha önce kullandığınız konumu seçin.
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullan'ı seçin.
    Güvenlik duvarı ilkesi Yeni ekle'yi seçin ve fw-test-pol girin.
    Daha önce kullandığınız bölgeyi seçin.
    Bir sanal ağ seçin Var olanı kullan'ı ve ardından Test-FW-VN'yi seçin.
    Genel IP adresi Yeni ekle'yi seçin ve Ad alanına fw-pip yazın.

  5. Diğer varsayılan değerleri kabul edin ve ardından İleri: Etiketler'i seçin.

  6. İleri: Gözden geçir ve oluştur'u seçin.

  7. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Dağıtma işlemi birkaç dakika sürebilir.

  8. Dağıtım tamamlandıktan sonra Test-FW-RG kaynak grubuna gidin ve Test-FW01 güvenlik duvarını seçin.

  9. Güvenlik duvarı özel ve genel IP adreslerini not edin. Bu adresleri daha sonra kullanacaksınız.

Varsayılan rota oluşturma

Workload-SN alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandırın.

  1. Azure portalı menüsünde Tüm hizmetler'i seçin veya herhangi bir sayfadan Tüm hizmetler'i arayın ve seçin.

  2. Ağ altında Rota tabloları'yı seçin.

  3. Oluştur'u seçin ve ardından aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Test-FW-RG'yi seçin.
    Bölge Daha önce kullandığınız konumu seçin.
    Veri Akışı Adı Güvenlik duvarı yolu girin.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur'u belirleyin.

Dağıtım tamamlandıktan sonra Kaynağa git'i seçin.

  1. Güvenlik duvarı yolu sayfasındaki Ayarlar'ın altında Alt ağlar'ı ve ardından İlişkilendir'i seçin.

  2. Sanal ağ için Test-FW-VN'yi seçin.

  3. Alt ağ için İş Yükü-SN'yi seçin.

  4. Tamam'ı seçin.

  5. Yollar'ı ve ardından Ekle'yi seçin.

  6. Yol adı olarak fw-dg girin.

  7. Hedef türü için IP Adresleri'ne tıklayın.

  8. Hedef IP adresleri/CIDR aralıkları ön eki için 0.0.0.0/0 girin.

  9. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  10. Sonraki atlama adresi için, daha önce not ettiğiniz güvenlik duvarının özel IP adresini girin.

  11. Ekle'yi seçin.

Uygulama kuralı yapılandırma

Bu, öğesine www.google.comgiden erişime izin veren uygulama kuralıdır.

  1. Test-FW-RG kaynak grubunu açın ve fw-test-pol güvenlik duvarı ilkesini seçin.
  2. Ayarlar'ın altında Uygulama kuralları'nı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad alanına App-Coll01 girin.
  5. Öncelik için 200 girin.
  6. Kural koleksiyonu eylemi için İzin Ver'i seçin.
  7. Kurallar'ın altında, Ad alanına Allow-Google yazın.
  8. Kaynak türü için IP adresi'ne tıklayın.
  9. Kaynak alanına 10.0.2.0/24 girin.
  10. Protokol:bağlantı noktası için http, https girin.
  11. Hedef Türü için FQDN'yi seçin.
  12. Hedef alanına www.google.com
  13. Ekle'yi seçin.

Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgüdür ve başka amaçlarla kullanılamaz. Daha fazla bilgi için bkz. Altyapı FQDN'leri.

Ağ kuralını yapılandırma

Bu, bağlantı noktası 53’deki (DNS) iki IP adresine giden erişime izin veren ağ kuralıdır.

  1. Ağ kuralları'nı seçin.
  2. Kural koleksiyonu ekle'yi seçin.
  3. Ad alanına Net-Coll01 girin.
  4. Öncelik için 200 girin.
  5. Kural koleksiyonu eylemi için İzin Ver'i seçin.
  6. Kural koleksiyonu grubu için DefaultNetworkRuleCollectionGroup'ı seçin.
  7. Kurallar'ın altında, Ad alanına Allow-DNS yazın.
  8. Kaynak türü için IP Adresi'ne tıklayın.
  9. Kaynak alanına 10.0.2.0/24 girin.
  10. Protokol alanında UDP'yi seçin.
  11. Hedef Bağlantı Noktaları için 53 girin.
  12. Hedef türü için IP adresini seçin.
  13. Hedef alanına 209.244.0.3,209.244.0.4 girin.
    Bunlar CenturyLink tarafından işletilen genel DNS sunucularıdır.
  14. Ekle'yi seçin.

DNAT kuralını yapılandırma

Bu kural, uzak masaüstünü güvenlik duvarı üzerinden Srv-Work sanal makinesine bağlamanıza olanak tanır.

  1. DNAT kurallarını seçin.
  2. Kural koleksiyonu ekle'yi seçin.
  3. Ad alanına RDP girin.
  4. Öncelik için 200 girin.
  5. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup'ı seçin.
  6. Kurallar'ın altında, Ad alanına rdp-nat yazın.
  7. Kaynak türü için IP adresi'ne tıklayın.
  8. Kaynak alanına girin*.
  9. Protokol alanında TCP'yi seçin.
  10. Hedef Bağlantı Noktaları için 3389 girin.
  11. Hedef alanına güvenlik duvarı genel IP adresini girin.
  12. Çevrilmiş tür için IP Adresi'ne tıklayın.
  13. Çevrilmiş adres için Srv-work özel IP adresini girin.
  14. Çevrilmiş bağlantı noktası için 3389 girin.
  15. Ekle'yi seçin.

Srv-Work ağ arabiriminin birincil ve ikincil DNS adresini değiştirme

Bu öğreticideki test amacıyla sunucunun birincil ve ikincil DNS adreslerini yapılandırın. Bu genel bir Azure Güvenlik Duvarı gereksinimi değildir.

  1. Azure portalı menüsünde Kaynak grupları'nı seçin veya herhangi bir sayfadan Kaynak grupları'nı arayın ve seçin. Test-FW-RG kaynak grubunu seçin.
  2. Srv-Work sanal makinesi için ağ arabirimini seçin.
  3. Ayarlar'ın altında DNS sunucuları'nı seçin.
  4. DNS sunucuları'nın altında Özel'i seçin.
  5. DNS sunucusu ekle metin kutusuna 209.244.0.3ve sonraki metin kutusuna 209.244.0.4 yazın.
  6. Kaydet'i seçin.
  7. Srv-Work sanal makinesini yeniden başlatın.

Güvenlik duvarını test etme

Şimdi güvenlik duvarını test edin ve beklendiği gibi çalıştığını onaylayın.

  1. Uzak masaüstünü güvenlik duvarı genel IP adresine bağlayın ve Srv-Work sanal makinesinde oturum açın.

  2. Microsoft Edge'i açın ve adresine https://www.google.comgidin.

  3. Internet Explorer güvenlik uyarılarında Tamam Kapat'ı> seçin.

    Google giriş sayfasını görmeniz gerekir.

  4. https://www.microsoft.com adresine göz atın.

    Güvenlik duvarının engellemesi gerekir.

Şimdi güvenlik duvarı kurallarının çalıştığını doğruladınız:

  • İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.
  • Yapılandırılmış dış DNS sunucusunu kullanarak DNS adlarını çözümleyebilirsiniz.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse Test-FW-RG kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Azure Güvenlik Duvarı Premium'Azure Güvenlik Duvarı dağıtma ve yapılandırma