Aracılığıyla paylaş

Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ilkesi DNAT ile gelen İnternet veya intranet trafiğini filtreleme

Azure Güvenlik Duvarı ilkesi Hedef Ağ Adresi Çevirisi'ni (DNAT), gelen internet veya intranet trafiğini alt ağlarınıza çevirmek ve filtrelemek için yapılandırabilirsiniz. DNAT'yi yapılandırdığınızda kural toplama eylemi DNAT olarak ayarlanır. Ardından NAT kuralı koleksiyonunda bulunan her kural, güvenlik duvarınızın genel veya özel IP adresi ve bağlantı noktasını özel bir IP adresine ve bağlantı noktasına çevirmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedeniyle önerilen yaklaşım, belirli bir kaynağı ekleyerek ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmaktır. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı ve ilke kurma
  • Varsayılan rota oluşturma
  • DNAT kuralını yapılandırma
  • Güvenlik duvarını test etme

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları'nı ve ardından Ekle'yi seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu adı alanına RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Ağ ortamını oluşturma

Bu öğretici için eşlenen iki sanal ağ oluşturuyorsunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleştirin.

Hub sanal ağını oluştur

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Sanal ağlar'ı seçin.

  3. Ekle'yi seçin.

  4. Kaynak grubu için RG-DNAT-Test'i seçin.

  5. İsim için VN-Hub yazın.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Seç Sonraki: IP Adresleri.

  8. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  9. Alt ağ adı'nın altında varsayılan'ı seçin.

  10. Alt ağ adını düzenleyin ve AzureFirewallSubnet yazın.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı SSS.

  11. Alt ağ adres aralığı için 10.0.1.0/26 yazın.

  12. Kaydet'i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur'u belirleyin.

Spoke VNet oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Ekle'yi seçin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad kısmına VN-Spoke yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. Seç Sonraki: IP Adresleri.
  8. IPv4 Adres alanı için varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  9. Alt ağı ekle seçeneğini seçin.
  10. Alt ağ adı için SN-Workload yazın.
  11. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  12. Ekle'yi seçin.
  13. Gözden geçir ve oluştur’u seçin.
  14. Oluştur'u belirleyin.

Sanal ağları eşleştir

Şimdi iki sanal ağı eşleştirin.

  1. VN-Hub sanal ağını seçin.
  2. Ayarlar altında Eşlemeler'i seçin.
  3. Ekle'yi seçin.
  4. Bu sanal ağın altında, Eşleme bağlantısı adı için Peer-HubSpoke yazın.
  5. Uzak sanal ağ'ın altında, Eşleme bağlantısı adı için Peer-SpokeHub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılan değerleri kabul edin ve ekle'yi seçin.

Sanal makine oluşturun

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden, Kaynak oluştur'u seçin.
  2. Popüler'in altında Windows Server 2016 Datacenter'ı seçin.

Temel Bilgiler

  1. Abonelik için, aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-Test'i seçin.
  3. Sanal makine adı için Srv-Workload yazın.
  4. Bölge için daha önce kullandığınız konumu seçin.
  5. Bir kullanıcı adı ve parola girin.
  6. İleri: Diskler'i seçin.

Diskler

  1. İleri: Ağ'ı seçin.

Ağ oluşturma

  1. Sanal ağ için VN-Spoke'ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için Yok'a tıklayın.
  4. Genel gelen bağlantı noktaları için Yok'u seçin.
  5. Diğer varsayılan ayarları bırakın ve İleri: Yönetim'i seçin.

Yönetim

  1. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden Geçir + Oluştur

Özeti gözden geçirin ve oluştur'u seçin. İşlemin tamamlanması birkaç dakika sürebilir.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırdığınızda bu adres kullanılacaktır. Sanal makine adını seçin ve Ayarlar altında, 'ı seçerek özel IP adresini bulun.

Güvenlik duvarını ve ilkeyi dağıtın

  1. Portal giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın ve güvenlik duvarı'nı seçin.

  3. Oluştur'u belirleyin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <aboneliğiniz>
    Kaynak grubu RG-DNAT-Test'i seçin
    Veri Akışı Adı FW-DNAT test
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanın
    Güvenlik duvarı ilkesi Yeni ekleyin:
    fw-dnat-pol
    seçtiğiniz bölge
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni ekle, Ad: fw-pip.

  5. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  6. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Dağıtım birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini not edin. Bunları daha sonra varsayılan yolu ve NAT kuralını oluşturduğunuzda kullanacaksınız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

Önemli

Hedef alt ağda firewalla geri dönüş için açık bir rota yapılandırmanız gerekmez. Azure Güvenlik Duvarı durum bilgisi olan bir hizmettir ve paketleri ve oturumları otomatik olarak işler. Bu rotayı oluşturursanız, durumsal oturum mantığını kesintiye uğratan ve kaybolan paketler ile bağlantılara yol açan asimetrik bir yönlendirme ortamı oluşturursunuz.

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Rota tabloları'yı seçin.

  3. Ekle'yi seçin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test'i seçin.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Ad alanına RT-FW-route yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur'u belirleyin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı seçin ve ardından İlişkilendir'i seçin.

  12. Sanal ağ için VN-Spoke'ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam'ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Yol adı için fw-dg yazın.

  17. Adres ön eki alanına 0.0.0.0/0 yazın.

  18. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  19. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  20. Tamam'ı seçin.

NAT kuralı yapılandırma

Bu kural, bir uzak masaüstünü güvenlik duvarı üzerinden Srv-Workload sanal makinesine bağlamanıza olanak tanır.

  1. RG-DNAT-Test kaynak grubunu açın ve fw-dnat-pol güvenlik duvarı ilkesini seçin.
  2. Ayarlar'ın altında DNAT kuralları'nı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad alanına rdp yazın.
  5. Öncelik alanına 200 yazın.
  6. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup'ı seçin.
  7. Kurallar'ın altında, Ad için rdp-nat yazın.
  8. Kaynak türü için IP adresi'ne tıklayın.
  9. Kaynak için, izin vermek istediğiniz IP adresini veya aralığı belirtin. Örneğin, 192.168.1.0/24.
  10. Protokol alanında TCP'yi seçin.
  11. Hedef Bağlantı Noktaları için 3389 yazın.
  12. Hedef Türü için IP Adresi'ne tıklayın.
  13. Hedef alanına güvenlik duvarı genel veya özel IP adresini yazın.
  14. Çevrilmiş adres için Srv-Workload özel IP adresini yazın.
  15. Çevrilmiş bağlantı noktası için 3389 yazın.
  16. Ekle'yi seçin.

Güvenlik duvarını test etme

  1. Güvenlik duvarı genel IP adresine bir uzak masaüstü bağlayın. Srv-Workload sanal makinesine bağlı olmalısınız.
  2. Uzak masaüstünü kapatın.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse RG-DNAT-Test kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Azure Güvenlik Duvarı Premium'u dağıt ve yapılandır