Öğretici: Azure portal kullanarak ağ trafiğini bir ağ güvenlik grubuyla filtreleme

Azure sanal ağındaki Azure kaynaklarına gelen ve giden ağ trafiğini filtrelemek için bir ağ güvenlik grubu kullanabilirsiniz.

Ağ güvenlik grupları, ağ trafiğini IP adresi, bağlantı noktası ve protokole göre filtreleyen güvenlik kuralları içerir. Bir ağ güvenlik grubu bir alt ağ ile ilişkilendirildiğinde, bu alt ağda dağıtılan kaynaklara güvenlik kuralları uygulanır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

• Ağ güvenlik grubu ve güvenlik kuralları oluşturma
• Uygulama güvenlik grupları oluşturma
• Bir sanal ağ oluşturma ve ağ güvenlik grubunu alt ağ ile ilişkilendirme
• Sanal makineleri dağıtma ve ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirme
• Trafik filtrelerini test etme

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

• Bir Azure aboneliği

Azure'da oturum açma

Azure Portal’ında oturum açın.

Sanal ağ oluşturma

1. Azure portal menüsünden + Kaynak> oluşturAğ>Sanal ağı'nı seçin veya portal arama kutusunda Sanal Ağ arayın.

2. Oluştur’u seçin.

3. Sanal ağ oluştur'unTemel Bilgiler sekmesinde şu bilgileri girin veya seçin:

   Ayar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	Yeni oluştur’u seçin. myResourceGroup girin. Tamam'ı seçin.
   Örnek ayrıntıları
   Name	myVNet yazın.
   Region	Doğu ABD’yi seçin.

4. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

5. Oluştur’u seçin.

Uygulama güvenlik grupları oluşturma

Uygulama güvenlik grubu (ASG' ler), web sunucuları gibi benzer işlevlere sahip sunucuları birlikte gruplandırmanızı sağlar.

1. Azure portal menüsünden + Kaynak> oluşturAğ>Uygulaması güvenlik grubu'na tıklayın veya portal arama kutusunda Uygulama güvenlik grubu için arama yapın.

2. Oluştur’u seçin.

3. Uygulama güvenlik grubu oluştur'unTemel sekmesinde şu bilgileri girin veya seçin:

   Ayar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	myResourceGroup öğesini seçin.
   Örnek ayrıntıları
   Name	myAsgWebServers girin.
   Region	(ABD) Doğu ABD'yi seçin.

4. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

5. Oluştur’u seçin.

6. Aşağıdaki değerleri belirterek önceki adımları yineleyin:

   Ayar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	myResourceGroup öğesini seçin.
   Örnek ayrıntıları
   Name	myAsgMgmtServers girin.
   Region	(ABD) Doğu ABD'yi seçin.

7. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

8. Oluştur’u seçin.

Ağ güvenlik grubu oluşturma

Ağ güvenlik grubu (NSG), sanal ağınızdaki ağ trafiğinin güvenliğini sağlar.

1. Azure portal menüsünde + Kaynak> oluşturAğ>güvenlik grubu'na tıklayın veya portal arama kutusunda Ağ güvenlik grubu için arama yapın.

2. Oluştur’u seçin.

3. Ağ güvenlik grubu oluştur'unTemel sekmesinde şu bilgileri girin veya seçin:

   Ayar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	myResourceGroup öğesini seçin.
   Örnek ayrıntıları
   Name	myNSG girin.
   Konum	(ABD) Doğu ABD'yi seçin.

4. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

5. Oluştur’u seçin.

Ağ güvenlik grubunu alt ağ ile ilişkilendirme

Bu bölümde, ağ güvenlik grubunu daha önce oluşturduğunuz sanal ağın alt ağıyla ilişkilendireceksiniz.

1. Portal arama kutusunda myNsg araması yapın.

2. myNSG'nin Ayarlar bölümünde Alt Ağlar'ı seçin.

3. Alt ağlar sayfasında + İlişkili'yi seçin:

   

4. Alt ağı ilişkilendir'in altında Sanal ağ için myVNet'i seçin.

5. Alt ağ için varsayılan'ı ve ardından Tamam'ı seçin.

Güvenlik kuralları oluşturma

1. myNSG'ninAyarlar bölümünden Gelen güvenlik kuralları'nı seçin.

2. Gelen güvenlik kuralları sayfasında + Ekle'yi seçin:

   

3. 80 ve 443 numaralı bağlantı noktalarına myAsgWebServers uygulama güvenlik grubu için izin veren bir güvenlik kuralı oluşturun. Gelen güvenlik kuralı ekle sayfasında şu bilgileri girin veya seçin:

   Ayar	Değer
   Kaynak	Varsayılan değer olan Any'i değiştirmeyin.
   Kaynak bağlantı noktası aralıkları	Varsayılan (*) olarak bırakın.
   Hedef	Uygulama güvenlik grubu'nun seçin.
   Hedef uygulama güvenlik grupları	myAsgWebServers öğesini seçin.
   Hizmet	Varsayılan Özel seçeneğini değiştirmeyin.
   Hedef bağlantı noktası aralıkları	80.443 girin.
   Protokol	TCP’yi seçin.
   Eylem	Varsayılan İzin Ver'i değiştirmeyin.
   Öncelik	Varsayılan değeri 100 olarak bırakın.
   Name	Tümüne Web'e İzin Ver girin.

   

4. Add (Ekle) seçeneğini belirleyin.

5. Bu bilgileri kullanarak 3-4 arası adımları yeniden tamamlayın:

   Ayar	Değer
   Kaynak	Varsayılan değer olan Any'i değiştirmeyin.
   Kaynak bağlantı noktası aralıkları	Varsayılan (*) olarak bırakın.
   Hedef	Uygulama güvenlik grubu'nun seçin.
   Hedef uygulama güvenlik grubu	myAsgMgmtServers öğesini seçin.
   Hizmet	Varsayılan Özel seçeneğini değiştirmeyin.
   Hedef bağlantı noktası aralıkları	3389 girin.
   Protokol	Herhangi birini seçin.
   Eylem	Varsayılan İzin Ver'i değiştirmeyin.
   Öncelik	Varsayılan değeri 110 olarak bırakın.
   Name	Tümüne RDP'ye İzin Ver girin.

6. Add (Ekle) seçeneğini belirleyin.

   Dikkat

   Bu makalede, rdp (bağlantı noktası 3389) myAsgMgmtServers uygulama güvenlik grubuna atanan VM için İnternet'te kullanıma sunulur.

   Üretim ortamlarında 3389 numaralı bağlantı noktasını İnternet'e açmak yerine VPN, özel ağ bağlantısı veya Azure Bastion kullanarak yönetmek istediğiniz Azure kaynaklarına bağlanmanız önerilir.

   Azure Bastion hakkında daha fazla bilgi için bkz. Azure Bastion nedir?.

1 ile 3 arası adımları tamamladıktan sonra, oluşturduğunuz kuralları gözden geçirin. Listenin aşağıdaki örnekteki gibi görünmesi gerekir:

Sanal makineler oluşturma

Sanal ağda iki sanal makine (VM) oluşturun.

İlk sanal makineyi oluşturma

1. Azure portal menüsünde + Kaynak> oluşturİşlem>Sanal makinesi'ni seçin veya portal arama kutusunda Sanal makine'yi arayın.

2. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:

   Ayar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	myResourceGroup öğesini seçin.
   Örnek ayrıntıları
   Sanal makine adı	myVMWeb girin.
   Region	(ABD) Doğu ABD'yi seçin.
   Kullanılabilirlik seçenekleri	Varsayılan Olarak Altyapı yedekliliği gerekli değil seçeneğini değiştirmeyin.
   Güvenlik türü	Varsayılan Olarak Standart olarak bırakın.
   Görüntü	Windows Server 2019 Datacenter - 2. Nesil'i seçin.
   Azure Spot örneği	Varsayılan olarak işaretlenmemiş olarak bırakın.
   Boyut	Standard_D2s_V3'ı seçin.
   Yönetici hesabı
   Kullanıcı adı	Bir kullanıcı adı girin.
   Parola	Parola girin.
   Parolayı onayla	Parolayı yeniden girin.
   Gelen bağlantı noktası kuralları
   Gelen bağlantı noktalarını seçin	Hiçbiri seçeneğini belirtin.

3. Ağ sekmesini seçin.

4. Ağ sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayar	Değer
   Ağ arabirimi
   Sanal ağ	myVNet'i seçin.
   Alt ağ	Varsayılan (10.0.0.0/24) öğesini seçin.
   Genel IP	Yeni bir genel IP'nin varsayılanını değiştirmeyin.
   NIC ağ güvenlik grubu	Hiçbiri seçeneğini belirtin.

5. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

6. Oluştur’u seçin. VM'nin dağıtılması birkaç dakika sürebilir.

İkinci sanal makineyi oluşturma

1-6 arası adımları yeniden tamamlayın, ancak 2. adımda Sanal makine adı için myVMMgmt girin.

Sonraki bölüme geçmeden önce VM'lerin dağıtımı tamamlamasını bekleyin.

Ağ arabirimlerini ASG ile ilişkilendirme

VM'leri oluşturduğunuzda, Azure her VM için bir ağ arabirimi oluşturmuş ve vm'ye eklemiş.

Her vm'nin ağ arabirimini daha önce oluşturduğunuz uygulama güvenlik gruplarından birine ekleyin:

1. Portal arama kutusunda myVMWeb araması yapın.

2. myVMWeb VM'nin Ayarlar bölümünden Ağ'ı seçin.

3. Uygulama güvenlik grupları sekmesini ve ardından Uygulama güvenlik gruplarını yapılandır'ı seçin.

   

4. Uygulama güvenlik gruplarını yapılandırma bölümündemyAsgWebServers öğesini seçin. Kaydet’i seçin.

   

5. 1. ve 2. adımları tekrar tamamlayın, myVMMgmt sanal makinesini arayın ve myAsgMgmtServers ASG'yi seçin.

Trafik filtrelerini test etme

1. Portal arama kutusunda myVMMgmt araması yapın.

2. Genel Bakış sayfasında Bağlan düğmesini ve ardından RDP'yi seçin.

3. RDP dosyasını indir’i seçin.

4. İndirilen rdp dosyasını açın ve Bağlan'ı seçin. VM'yi oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

5. Tamam’ı seçin.

6. Bağlantı işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarı alırsanız, bağlantıya devam etmek için Evet veya Devam'ı seçin.

   İnternet'ten myAsgMgmtServers uygulama güvenlik grubuna gelen trafiğe 3389 numaralı bağlantı noktası üzerinden izin verildiğinden bağlantı başarılı olur.

   myVMMgmt için ağ arabirimi myAsgMgmtServers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

7. myVMMgmt üzerinde bir PowerShell oturumu açın. Aşağıdakileri kullanarak myVMWeb'e bağlanın:

   mstsc /v:myVmWeb
   

   Aynı ağdaki sanal makineler varsayılan olarak herhangi bir bağlantı noktası üzerinden birbirleriyle iletişim kurabildiğinden myVMMgmt'denmyVMWeb'e RDP bağlantısı başarılı olur.

   İnternet'ten myVMWeb sanal makinesine RDP bağlantısı oluşturamazsınız. myAsgWebServers güvenlik kuralı, İnternet'ten gelen 3389 numaralı bağlantı noktasına bağlantıları engeller. İnternet'ten gelen trafik varsayılan olarak tüm kaynaklara reddedilir.

8. Microsoft IIS'yi myVMWeb sanal makinesine yüklemek için, myVMWeb sanal makinesindeki bir PowerShell oturumundan aşağıdaki komutu girin:

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

9. IIS yüklemesi tamamlandıktan sonra , myVMWeb sanal makinesiyle bağlantınızı kesin; bu da sizi myVMMgmt sanal makinesi uzak masaüstü bağlantısında bırakır.

10. myVMMgmt VM bağlantısını kesin.

11. Portal arama kutusunda myVMWeb araması yapın.

12. myVMWeb'inGenel Bakış sayfasında VM'nizin Genel IP adresini not edin. Aşağıdaki örnekte gösterilen adres 23.96.39.113'dür, ancak adresiniz farklıdır:

    

13. myVMWeb web sunucusuna internetten erişebildiğinizden emin olmak için bilgisayarınızda bir internet tarayıcısı açın ve adresine http://<public-ip-address-from-previous-step>gidin.

İnternet'ten myAsgWebServers uygulama güvenlik grubuna gelen trafiğe 80 numaralı bağlantı noktası üzerinden izin verildiğinden IIS varsayılan sayfasını görürsünüz.

myVMWeb için eklenen ağ arabirimi, myAsgWebServers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:

1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.
2. Kaynak grubunu sil'i seçin.
3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

• Bir ağ güvenlik grubu oluşturup bunu bir sanal ağ alt ağıyla ilişkilendirdi.
• Web ve yönetim için uygulama güvenlik grupları oluşturuldu.
• İki sanal makine oluşturup ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirdi.
• Uygulama güvenlik grubu ağ filtreleme test edildi.

Ağ güvenlik grupları hakkında daha fazla bilgi edinmek bkz. Ağ güvenlik grubuna genel bakış ve Ağ güvenlik grubunu yönetme.

Azure, varsayılan olarak trafiği alt ağlar arasında yönlendirir. Bunun yerine, alt ağlar arasındaki trafiği, örneğin, güvenlik duvarı olarak görev yapan bir VM aracılığıyla yönlendirmeyi seçebilirsiniz.

Yönlendirme tablosu oluşturma hakkında bilgi edinmek için sonraki öğreticiye geçin.

Yönlendirme tablosu oluşturma