Aracılığıyla paylaş

Azure portalını kullanarak Gelen İnternet trafiğini Azure Güvenlik Duvarı DNAT ile filtreleme

Azure Güvenlik Duvarı Hedef Ağ Adresi Çevirisi'nin (DNAT) gelen İnternet trafiğini alt ağlarınıza çevirmek ve filtrelemek için yapılandırabilirsiniz. DNAT'yi yapılandırdığınızda NAT kuralı toplama eylemi DNAT olarak ayarlanır. Ardından NAT kuralı koleksiyonundaki her kural, güvenlik duvarınızın genel veya özel IP adresini ve bağlantı noktasını bir özel IP adresine ve bağlantı noktasına çevirmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedeniyle ağa DNAT erişimi sağlamak için belirli bir kaynak adresi ekleyin ve joker karakter kullanmaktan kaçının. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Not

Bu makalede, güvenlik duvarını yönetmek için klasik Güvenlik Duvarı kuralları kullanılır. Tercih edilen yöntem Güvenlik Duvarı İlkesi'ni kullanmaktır. Güvenlik Duvarı İlkesi'ni kullanarak bu yordamı tamamlamak için Öğretici: Azure portal kullanarak Gelen İnternet trafiğini Azure Güvenlik Duvarı ilkesi DNAT ile filtreleme kısmına bakın.

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları'nı ve ardından Oluştur'u seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu için RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Ağ ortamını oluşturma

Bu makale için birbirine bağlı iki VNet oluşturursunuz.

  • VN-Hub - güvenlik duvarı bu sanal ağdadır.
  • VN-Spoke - iş yükü sunucusu bu sanal ağdadır.

Önce sanal ağları oluşturun, sonra da bunları eşleyin.

Hub sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Oluştur'u belirleyin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad kısmına VN-Hub yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.
  10. Alt ağlar'ın altında varsayılan'ı seçin.
  11. Alt ağ şablonu için Azure Güvenlik Duvarı'i seçin.

Güvenlik duvarı bu alt ağda ve alt ağın adı AzureFirewallSubnet olmalıdır.

Not

AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için Azure Güvenlik Duvarı SSS'ne bakın.

  1. Kaydet'i seçin.
  2. Gözden geçir ve oluştur’u seçin.
  3. Oluştur'u belirleyin.

Bir şube sanal ağı oluşturun

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Oluştur'u belirleyin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad için VN-Spoke ifadesini yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  10. Alt ağlar'ın altında varsayılan'ı seçin.
  11. Alt ağ Adı için SN-Workload yazın.
  12. Başlangıç adresi için 192.168.1.0 yazın.
  13. Alt ağ boyutu için /24 öğesini seçin.
  14. Kaydet'i seçin.
  15. Gözden geçir ve oluştur’u seçin.
  16. Oluştur'u belirleyin.

Sanal Ağları Eşleştirme

Şimdi iki VNet'i eşleyin.

  1. VN-Hub sanal ağını seçin.
  2. Ayarlar altında, Eşlemeler seçin.
  3. Ekle'yi seçin.
  4. Bu sanal ağ altında, Eşleme bağlantısı adı için Peer-HubSpoke yazın.
  5. Uzak sanal ağ altında, Eşleme bağlantısı adı için Peer-SpokeHub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılan değerleri kabul edin ve ekle'yi seçin.

Sanal makine oluşturun

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden, Kaynak oluştur'u seçin.
  2. Popüler Market ürünleri bölümünde Ubuntu Server 22.04 LTS'yi seçin.

Temel Bilgiler

  1. Abonelik için, aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-Test'i seçin.
  3. Sanal makine adı için Srv-Workload yazın.
  4. Bölge için daha önce kullandığınız konumu seçin.
  5. Görüntü için Ubuntu Server 22.04 LTS - x64 2. Nesil'i seçin.
  6. Boyut için Standard_B2s'ı seçin.
  7. Kimlik doğrulama türü içinSSH ortak anahtarı'yı seçin.
  8. Kullanıcı adı için azureuser yazın.
  9. SSH ortak anahtar kaynağı için Yeni anahtar çifti oluştur'a tıklayın.
  10. Anahtar çifti adı için Srv-Workload_key yazın.
  11. İleri: Diskler'i seçin.

Diskler

  1. İleri: Ağ'ı seçin.

Ağ Oluşturma

  1. Sanal ağ için VN-Spoke'ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için Yok'a tıklayın.
  4. Genel gelen bağlantı noktaları için Yok'u seçin.
  5. Diğer varsayılan ayarları bırakın ve İleri: Yönetim'i seçin.

Yönetim

  1. İleri: İzleme'yi seçin.

İzleme

  1. Önyükleme tanılaması için Devre dışı bırak seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden Geçir + Oluştur

Özeti gözden geçirin ve oluştur'u seçin. Bu işlemin tamamlanması birkaç dakika sürer.

  1. Yeni anahtar çifti oluştur iletişim kutusunda Özel anahtarı indir ve kaynak oluştur'u seçin. Anahtar dosyasını Srv-Workload_key.pem olarak kaydedin.

Dağıtım tamamlandıktan sonra sanal makinenin özel IP adresini not edin. Daha sonra güvenlik duvarını yapılandırırken bu IP adresine ihtiyacınız vardır. Sanal makine adını seçin, Genel Bakış bölümüne gidin ve altında, özel IP adresini not edin.

Not

Azure, genel IP adresi atanmamış veya dahili temel Azure yük dengeleyicinin arka uç havuzunda bulunan VM'ler için varsayılan giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.

Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:

  • VM'ye bir genel IP adresi atanır.
  • VM, dışa kuralları olan veya olmayan standart bir yük dengeleyicinin arka uç havuzuna yerleştirilir.
  • VM'nin alt ağına bir Azure NAT Gateway kaynağı atanır.

Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.

Web sunucusunu yükleme

Sanal makineye bir web sunucusu yüklemek için Azure portal Komut Çalıştır özelliğini kullanın.

  1. Azure portalında Srv-Workload sanal makinesine gidin.

  2. İşlemler'in altında Çalıştır komutu'nu seçin.

  3. RunShellScript'i seçin.

  4. Komut Betiğini Çalıştır penceresinde aşağıdaki betiği yapıştırın:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Çalıştır'ı seçin.

  6. Betiğin tamamlanmasını bekleyin. Çıkışta Nginx'in başarıyla yüklenmesi gösterilmelidir.

Güvenlik duvarını dağıt

  1. Portal giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın ve güvenlik duvarı'nı seçin.

  3. Oluştur'u belirleyin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayarlar Değer
    Abonelik <aboneliğiniz>
    Kaynak grubu RG-DNAT-Test'i seçin
    İsim FW-DNAT testi
    Bölge Daha önce kullanılan konumu seçin
    Güvenlik Duvarı SKU'su Standart
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik duvarı kurallarını (klasik) kullanın
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni ekle, Ad: fw-pip

  5. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  6. Özeti gözden geçirin ve güvenlik duvarını dağıtmak için Oluştur'u seçin.

    Bu işlemin tamamlanması birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini not edin. Bunları daha sonra varsayılan yol ve NAT kuralı oluştururken kullanırsınız.

Varsayılan rota oluşturma

SN-Workload alt ağı için giden varsayılan yolu güvenlik duvarından geçecek şekilde yapılandırın.

Önemli

Hedef alt ağdaki güvenlik duvarına giden açık bir yol yapılandırmanız gerekmez. Azure Güvenlik Duvarı durum bilgisi olan bir hizmettir ve paketleri ve oturumları otomatik olarak işler. Bu rotanın oluşturulması, asimetrik bir yönlendirme ortamı oluşturarak durum bilgisi olan oturum mantığını kesintiye uğratır ve paketlerin ve bağlantıların kaybolmasına neden olur.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Route tablosunu arayın ve seçin.

  3. Oluştur'u belirleyin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test'i seçin.

  6. "Bölge için, daha önce kullanılan bölgeyi seçin."

  7. Ad kısmına RT-FWroute yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur'u belirleyin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı seçin ve ardından İlişkilendir'i seçin.

  12. Sanal ağ için VN-Spoke'ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam'ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Rota adı alanına FW-DG yazın.

  17. Hedef türü için IP Adresleri'ne tıklayın.

  18. Hedef IP adresleri/CIDR aralıkları için 0.0.0.0/0 yazın.

  19. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı yönetilen bir hizmettir, ancak sanal gereci seçmek bu durumda çalışır.

  20. Sonraki atlama adresi için, daha önce belirtilmiş güvenlik duvarının özel IP adresini yazın.

  21. Ekle'yi seçin.

Bir DNAT kuralı yapılandırın

Bu kural, İnternet'ten gelen HTTP trafiğinin güvenlik duvarı üzerinden web sunucusuna ulaşmasını sağlar.

  1. RG-DNAT-Test kaynak grubunu açın ve FW-DNAT-test güvenlik duvarını seçin.
  2. FW-DNAT-test sayfasındaki Ayarlar'ın altında Kurallar (klasik) öğesini seçin.
  3. NAT kuralı koleksiyonu sekmesini seçin.
  4. NAT Kuralı Koleksiyonu Ekle'yi seçin.
  5. Ad alanına web erişimi yazın.
  6. Öncelik alanına 200 yazın.
  7. Kurallar'ın altında, Ad alanına http-dnat yazın.
  8. Protokol alanında TCP'yi seçin.
  9. Kaynak türü için IP adresi'ne tıklayın.
  10. Kaynak için, herhangi bir kaynaktan gelen trafiğe izin vermek amacıyla * yazın.
  11. Hedef Adresler için güvenlik duvarı genel IP adresini yazın.
  12. Hedef bağlantı noktaları için 80 yazın.
  13. Çevrilmiş adres için Srv-Workload özel IP adresini yazın.
  14. Çevrilmiş bağlantı noktası için 80 yazın.
  15. Ekle'yi seçin.

Güvenlik duvarını test etme

  1. Bir web tarayıcısı açın ve güvenlik duvarının genel IP adresine gidin:

    http://<firewall-public-ip>

    "Azure Güvenlik Duvarı DNAT Tanıtımı - Srv-Workload" ifadesinin görüntülendiği web sayfasını görmeniz gerekir.

  2. Bu yordam, DNAT kuralının güvenlik duvarının genel IP adresinde gelen HTTP trafiğini web sunucusunun özel IP adresine başarıyla çevirdiğini onaylar.

Kaynakları temizleme

Daha fazla test için güvenlik duvarı kaynaklarınızı koruyabilir veya artık gerekli değilse, güvenlik duvarıyla ilgili tüm kaynakları silmek için RG-DNAT-Test kaynak grubunu silebilirsiniz.

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Kılavuz: Azure Güvenlik Duvarı günlüklerini izleme

  • Last updated on