Özel uç noktaya yönelik trafiği incelemek için Azure Güvenlik Duvarı senaryoları
Dekont
Güvenli sanal hub kullanarak Azure Sanal WAN özel uç noktalarına yönelik trafiğin güvenliğini sağlamak istiyorsanız bkz. Azure Sanal WAN'da özel uç noktaları hedefleyen trafiğin güvenliğini sağlama.
Azure Özel Uç Noktası, Azure Özel Bağlantı için temel yapı taşıdır. Özel uç noktalar, sanal ağda dağıtılan Azure kaynaklarının özel bağlantı kaynaklarıyla özel olarak iletişim kurmasını sağlar.
Özel uç noktalar, kaynakların sanal ağda dağıtılan özel bağlantı hizmetine erişmesine izin verir. Sanal ağ eşlemesi ve şirket içi ağ bağlantıları aracılığıyla özel uç noktaya erişim, bağlantıyı genişletir.
İstemcilerden özel uç noktalar aracılığıyla kullanıma sunulan hizmetlere gelen trafiği incelemeniz veya engellemeniz gerekebilir. Azure Güvenlik Duvarı veya üçüncü taraf ağ sanal gereci kullanarak bu incelemeyi tamamlayın.
Aşağıdaki sınırlamalar geçerlidir:
Ağ ilkeleri varsayılan olarak sanal ağdaki bir alt ağ için devre dışı bırakıldığından ağ güvenlik grupları (NSG) trafiği özel uç noktalardan atlanır. Kullanıcı Tanımlı Yollar ve Ağ Güvenlik Grupları desteği gibi ağ ilkelerini kullanmak için alt ağ için ağ ilkesi desteğinin etkinleştirilmesi gerekir. Bu ayar yalnızca alt ağ içindeki özel uç noktalar için geçerlidir. Bu ayar alt ağ içindeki tüm özel uç noktaları etkiler. Alt ağdaki diğer kaynaklar için erişim, ağ güvenlik grubundaki güvenlik kurallarına göre denetlenilir.
Kullanıcı tanımlı yollar (UDR) trafiği özel uç noktalardan atlanır. Kullanıcı tanımlı yollar, özel uç noktayı hedefleyen trafiği geçersiz kılmak için kullanılabilir.
Bir alt ağa tek bir yol tablosu eklenebilir
Yol tablosu en fazla 400 yolu destekler
Azure Güvenlik Duvarı aşağıdakilerden birini kullanarak trafiği filtreler:
Önemli
Akış simetrisini korumak için özel uç noktaları hedefleyen trafiği incelerken ağ kuralları yerine uygulama kurallarının kullanılması önerilir. Uygulama kuralları, özel uç noktaları hedefleyen trafiği incelemek için ağ kuralları yerine tercih edilir çünkü Azure Güvenlik Duvarı uygulama kurallarıyla trafiği her zaman SNAT'lar. Ağ kuralları kullanılıyorsa veya Azure Güvenlik Duvarı yerine NVA kullanılıyorsa, akış simetrisini korumak için SNAT’nin özel uç noktaları hedefleyen trafik için yapılandırılması gerekir.
Dekont
SQL FQDN filtrelemesi yalnızca proxy modunda desteklenir (bağlantı noktası 1433). Ara sunucu modu, yeniden yönlendirmeye kıyasla daha fazla gecikme süresine neden olabilir. Azure'da bağlanan istemciler için varsayılan olan yeniden yönlendirme modunu kullanmaya devam etmek istiyorsanız, güvenlik duvarı ağ kurallarında FQDN kullanarak erişimi filtreleyebilirsiniz.
Senaryo 1: Merkez-uç mimarisi - Özel uç noktalar için ayrılmış sanal ağ
Bu senaryo, özel uç noktaları kullanarak birden çok Azure hizmetine özel olarak bağlanmak için en genişletilebilir mimaridir. Özel uç noktaların dağıtıldığı ağ adres alanına işaret eden bir yol oluşturulur. Bu yapılandırma yönetim yükünü azaltır ve 400 yol sınırına gelmesini önler.
İstemci sanal ağından merkez sanal ağındaki Azure Güvenlik Duvarı Bağlan, sanal ağlar eşlenirse ücretlendirilir. Merkez sanal ağındaki Azure Güvenlik Duvarı eşlenmiş sanal ağdaki özel uç noktalara Bağlan ücretlendirilmiyor.
Eşlenmiş sanal ağlarla bağlantılarla ilgili ücretler hakkında daha fazla bilgi için fiyatlandırma sayfasının SSS bölümüne bakın.
Senaryo 2: Merkez-uç mimarisi - Özel uç noktalar ve sanal makineler için paylaşılan sanal ağ
Bu senaryo aşağıdaki durumlarda uygulanır:
Özel uç noktalar için ayrılmış bir sanal ağa sahip olmak mümkün değildir
Sanal ağda özel uç noktalar kullanılarak yalnızca birkaç hizmet kullanıma sunulduğunda
Sanal makinelerin her özel uç noktayı işaret eden /32 sistem yolları vardır. Özel uç nokta başına bir yol, trafiği Azure Güvenlik Duvarı üzerinden yönlendirecek şekilde yapılandırılır.
Sanal ağda hizmetler kullanıma sunulduktan sonra yönlendirme tablosunu korumanın yönetim yükü artar. Rota sınırına basma olasılığı da artar.
Genel mimarinize bağlı olarak 400 rota sınırıyla karşılaşabilirsiniz. Mümkün olduğunda senaryo 1'i kullanmanız önerilir.
İstemci sanal ağından merkez sanal ağındaki Azure Güvenlik Duvarı Bağlan, sanal ağlar eşlenirse ücretlendirilir. Merkez sanal ağındaki Azure Güvenlik Duvarı eşlenmiş sanal ağdaki özel uç noktalara Bağlan ücretlendirilmiyor.
Eşlenmiş sanal ağlarla bağlantılarla ilgili ücretler hakkında daha fazla bilgi için fiyatlandırma sayfasının SSS bölümüne bakın.
Senaryo 3: Tek sanal ağ
Merkez-uç mimarisine geçiş mümkün olmadığında bu düzeni kullanın. Senaryo 2 ile aynı noktalar geçerlidir. Bu senaryoda sanal ağ eşleme ücretleri uygulanmaz.
Senaryo 4: Özel uç noktalara şirket içi trafik
Bu mimari, şirket içi ağınızla bağlantıyı aşağıdakilerden birini kullanarak yapılandırdıysanız uygulanabilir:
Güvenlik gereksinimleriniz özel uç noktalar aracılığıyla kullanıma sunulan hizmetlere yönelik istemci trafiğinin bir güvenlik gereci aracılığıyla yönlendirilmesi gerekiyorsa, bu senaryoya dağıtın.
Yukarıdaki 2. senaryoda dikkat edilmesi gerekenler geçerlidir. Bu senaryoda sanal ağ eşleme ücretleri yoktur. DNS sunucularınızı şirket içi iş yüklerinin özel uç noktalara erişmesine izin verecek şekilde yapılandırma hakkında daha fazla bilgi için bkz . DNS ileticisi kullanan şirket içi iş yükleri.
Sonraki adımlar
Bu makalede, Azure Güvenlik Duvarı kullanarak bir sanal makine ile özel uç nokta arasındaki trafiği kısıtlamak için kullanabileceğiniz farklı senaryoları incelediniz.
Özel uç noktaya yönelik trafiği incelemek üzere Azure Güvenlik Duvarı yapılandırma öğreticisi için bkz. Öğretici: Azure Güvenlik Duvarı ile özel uç nokta trafiğini inceleme
Özel uç nokta hakkında daha fazla bilgi edinmek için bkz . Azure Özel Uç Nokta nedir?.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin