Azure Güvenlik Duvarı ve Windows IaaS VM'lerini uygulama
- 10 dakika
Contoso'da Sistem Yöneticisi olarak, şirketin ağ trafiğinin güvenliğini sağlamak için tüm olası risk azaltmalarını değerlendirmek sizin sorumluluğundadır. NSG'lere ve Uyarlamalı Ağ Sağlamlaştırma'ya ek olarak Microsoft Azure Güvenlik Duvarı uygulamayı da düşünebilirsiniz.
Azure Güvenlik Duvarı nedir?
Azure Güvenlik Duvarı bulut tabanlı bir ağ güvenlik hizmetidir. Azure Sanal Ağ kaynaklarınızı korumaya yardımcı olması için Azure Güvenlik Duvarı kullanabilirsiniz. Azure Güvenlik Duvarı kullanarak, kuruluşunuz genelinde ağ bağlantısı profillerini merkezi olarak oluşturabilir ve yönetebilirsiniz.
Azure Güvenlik Duvarı, sanal ağ kaynaklarınız için statik bir genel IP adresi kullanır. Sonuç olarak, dış güvenlik duvarları kuruluşunuzun sanal ağından kaynaklanan trafiği tanımlayabilir. Azure Güvenlik Duvarı, hem günlüğe kaydetme hem de analiz desteği sağlamak için Azure İzleyici ile tamamen entegre edilmiştir.
Azure Güvenlik Duvarı temel özellikleri
Azure Güvenlik Duvarı, hizmet olarak sunulan bir durum bilgisi olan güvenlik duvarıdır ve aşağıdaki tabloda açıklanan özellikleri sunar.
| Özellik | Açıklama |
|---|---|
| Entegre yüksek erişilebilirlik | Azure Güvenlik Duvarı varsayılan olarak yüksek oranda kullanılabilir olduğundan yük dengeleyicileri yapılandırmanıza gerek yoktur. |
| Erişilebilirlik bölgeleri | Daha fazla kullanılabilirlik sağlamak için Azure Güvenlik Duvarı Azure'da Kullanılabilirlik Alanları destekleyen birden çok Bölgeye yayılacak şekilde yapılandırabilirsiniz. Bu, çalışma süresinin yüzde 99,99'a artırılmasını sağlar. Not: Kullanılabilirlik alanlarını yalnızca Azure Güvenlik Duvarı ilk dağıttığınızda yapılandırabilirsiniz. |
| Kısıtlamasız bulut ölçeklenebilirliği | Azure Güvenlik Duvarı, kuruluşunuzun değişen ağ trafiği hacimlerine uyum sağlamak için ölçeği gerektiği gibi büyütür. |
| Uygulama FQDN (Tam Nitelikli Alan Adı) filtreleme kuralları | Tam etki alanı adlarına (FQDN) göre filtreleme kuralları kullanarak giden HTTP, HTTPS ve Azure SQL trafiğini belirlenen FQDN'lerle sınırlayabilirsiniz. Not: Joker karakter adları desteklenir. |
| Ağ trafiği filtreleme kuralları | Hem kaynak hem de hedef IP adresi, protokol ve bağlantı noktasını kullanarak ağ filtreleme kurallarını merkezi olarak reddedebilir/izin vererek oluşturabilirsiniz. Azure Güvenlik Duvarı tamamen durum korumalı olduğundan, farklı bağlantı türleri için geçerli paketleri ayırt edebilir. Kurallar birden çok sanal ağda ve uygun durumlarda birden çok abonelikte uygulanır ve günlüğe kaydedilir. |
| FQDN etiketleri | FQDN etiketleri, güvenlik duvarınız üzerinden iyi bilinen Azure hizmet ağı trafiğine izin veren kuralların oluşturulmasını basitleştirmeye yardımcı olur. Örneğin, Windows Update etiketini kurala ekleyerek Windows Update'ten gelen ağ trafiğine izin vermek için bir uygulama kuralı oluşturabilirsiniz. FQDN etiketlerine genel bakış sayfasında bu konu hakkında daha fazla bilgi bulabilirsiniz. |
| Hizmet etiketleri | Azure Güvenlik Duvarı hizmet etiketlerini kullanarak bir ip adresi ön ekleri grubunu temsil edebilirsiniz. Bu, güvenlik kuralları oluştururken karmaşıklığı azaltmaya yardımcı olabilir. Not: Kendi hizmet etiketlerinizi oluşturamaz veya bir etikete hangi IP adresi ön eklerinin dahil olduğunu tanımlayamazsınız. Microsoft hem adres ön eklerini hem de hizmet etiketlerini yönetir. |
| Tehdit bilgileri | Bilinen kötü amaçlı IP adresleri ve etki alanlarında sizi uyarmaya (ve trafiği reddetmeye) yardımcı olmak için güvenlik duvarınız için tehdit bilgileri tabanlı filtrelemeyi etkinleştirebilirsiniz. Daha fazla bilgi için tehdit bilgileri tabanlı Azure Güvenlik Duvarı filtreleme bölümüne bakın. Not: Microsoft, kötü amaçlı olabilecek IP adresleri ve etki alanlarıyla ilgili ayrıntıları Microsoft Threat Intelligence akışı aracılığıyla sağlar. |
| Giden SNAT desteği | Azure Güvenlik Duvarı tüm giden sanal ağ trafiği IP adreslerini Azure Güvenlik Duvarı genel IP'ye çevirir. Bu çeviri , Kaynak Ağ Adresi Çevirisi (SNAT) olarak bilinir. Kuruluşunuzun sanal ağından uzak İnternet hedeflerine giden trafiği tanımlayabilir ve bu trafiğe izin vekleyebilirsiniz. Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Güvenlik Duvarı AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine giden trafikte SNAT gerçekleştirir. Azure Güvenlik Duvarı genel IP adresi aralığınızda SNAT gerçekleştirmeyecek şekilde de yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT özel IP adresi aralıkları. Not: hedef IP, IANA İsteği 1918 açıklamasında tanımlanan özel bir IP aralığı olduğunda Azure Güvenlik Duvarı SNAT gerçekleştirmez. |
| Gelen DNAT desteği | Azure Güvenlik Duvarı, güvenlik duvarı genel IP adresinize gelen tüm gelen İnternet ağ trafiğini çevirmek için Hedef Ağ Adresi Çevirisi'ni (DNAT) kullanır. Azure Güvenlik Duvarı ağ trafiğini kuruluşunuzun sanal ağlarında özel IP adreslerine filtreler. |
| Birden çok genel IP adresi | en fazla 250 genel IP adresini Azure Güvenlik Duvarı ile ilişkilendirebilirsiniz. |
| Azure İzleyici günlükleri | Tüm Azure Güvenlik Duvarı olayları Azure İzleyici ile tümleştirildiğinden günlükleri bir depolama hesabına arşivlemenize, olayları olay hub'ınıza aktarmanıza veya Azure İzleyici günlüklerine göndermenize olanak tanır. Daha fazla bilgi için Öğretici: Azure Güvenlik Duvarı günlüklerini ve ölçümlerini izleme bölümüne bakın. |
| Zorlamalı tünel oluşturma | Azure Güvenlik Duvarı, tüm giden İnternet trafiğini, şirket içi uç güvenlik duvarı veya diğer ağ sanal gereci (NVA) gibi belirlenmiş bir sonraki atlamaya yönlendirecek şekilde yapılandırabilirsiniz. Daha fazla bilgi için Azure Güvenlik Duvarı zorunlu tünelleme bakın. |
| Sertifikalar | Azure Güvenlik Duvarı Ödeme Kartı Sektörü (PCI), Hizmet Kuruluşu Denetimleri (SOC), Uluslararası Standartlaştırma Kuruluşu (ISO) ve ICSA Labs ile uyumludur. |
Uyarı
Azure Güvenlik Duvarı hakkında daha fazla bilgi edinmek için Azure Güvenlik Duvarı SSS'yi ziyaret edin.
Tipik dağıtım modeli
Azure Güvenlik Duvarı herhangi bir sanal ağa dağıtabilirsiniz. Azure abonelerinin çoğu Azure Güvenlik Duvarı merkez-uç modelinde dağıtır. Merkezi sanal ağ (merkez) güvenlik duvarını barındırıyor. Ek sanal ağlar (uçlar) merkez güvenlik duvarı sanal ağıyla eşlenecek şekilde ayarlanabilir.
Tavsiye
Merkez-uç modeli, yöneticilerin birden çok abonelikte bile birden çok uç sanal ağında merkezi denetim gerçekleştirmesini sağlar.
Uyarı
En iyi performans için her bölgeye bir güvenlik duvarı dağıtmanız gerekir.
Giden ağ erişimini denetleme
Giden ağ erişimini yönetmek ve denetlemek, kuruluşun ağ güvenlik planının kritik bir parçasıdır. Giden trafiği yönetmek istemenin nedenleri şunlar olabilir:
- Web sitelerine erişimi sınırlayın.
- Kullanıcılarınızın erişebileceği giden IP adreslerini ve bağlantı noktalarını sınırlayın.
Azure alt ağından giden ağ erişimini denetlemek için Azure Güvenlik Duvarı kullanabilirsiniz. Azure Güvenlik Duvarı ile şunları yapılandırabilirsiniz:
- Kullanıcılarınızın bir alt ağdan erişebileceği FQDN'leri tanımlayan uygulama kuralları.
- Kaynak IP adresini, protokolü, hedef bağlantı noktasını ve hedef IP adresini tanımlayan ağ kuralları.
Uyarı
Yapılandırdığınız kurallar, ağ trafiğinizi alt ağ varsayılan ağ geçidi olarak güvenlik duvarına yönlendirdiğinizde ağ trafiğine uygulanır.
Gelen ağ erişimini denetleme
Azure Güvenlik Duvarı ile gelen ağ erişimini yönetmek için ağ adresi çevirisi (NAT) kurallarını kullanabilirsiniz. Özellikle, alt ağlarınıza gelen İnternet trafiğini çevirmek ve filtrelemek için Azure Güvenlik Duvarı DNAT'yi yapılandırabilirsiniz.
DNAT'yi yapılandırdığınızda NAT kuralı toplama eylemi DNAT olarak ayarlanır. Daha sonra NAT kural koleksiyonundaki her kural, güvenlik duvarı ortak IP'nizi ve bağlantı noktanızı özel bir IP'ye ve bağlantı noktasına çevirmek için kullanılabilir.
DNAT kuralları, çevrilen trafiğe izin vermek için ilgili ağ kuralını örtük olarak ekler. Bu davranışı, çevrilen trafikle eşleşen reddetme kuralları olan bir ağ kural koleksiyonunu açıkça ekleyerek geçersiz kılabilirsiniz.
Uyarı
Deneme Azure kiracınız varsa ve Azure Güvenlik Duvarı test etmek istiyorsanız şu laboratuvar alıştırmasını gözden geçirin: Azure Güvenlik Duvarı test ortamı oluşturma.
Dikkat
Azure Güvenlik Duvarı ile ilgili bir dizi bilinen sorun vardır. Bunlar hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı nedir, Bilinen sorunlar.
Azure Web Uygulaması Güvenlik Duvarı nedir?
Web uygulamaları, yaygın ağ güvenlik açıklarından yararlanmaya çalışan kötü amaçlı saldırılar tarafından sürekli hedeflenir. Örneğin, SQL enjeksiyonu ve siteler arası komut dosyası çalıştırma en yaygın saldırılar arasında yer alır.
Web uygulamalarınızın yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunmasını sağlamak için Azure Web Uygulaması Güvenlik Duvarı kullanabilirsiniz.
Merkezi bir web uygulaması güvenlik duvarı, güvenlik yönetimini basitleştirmeye yardımcı olur. Ayrıca tehditlere ve yetkisiz erişimlere karşı daha iyi koruma güvencesi sağlar.
Web uygulaması güvenlik duvarı çözümü, her bir web uygulamasının güvenliğini sağlamak yerine bilinen bir güvenlik açığına merkezi olarak düzeltme eki uygulama yoluyla bir güvenlik tehdidine daha hızlı tepki verebilir.
Azure Web Uygulaması Güvenlik Duvarı şu şekilde dağıtabilirsiniz: