Uygun filtreleme çözümünü seçin
Contoso'nun ağ trafiğini yönetmesine yardımcı olmak için bir dizi trafik filtreleme çözümü mevcuttur. BT personelinin hangi ve ne zaman kullanılacağını anlaması önemlidir.
Kullanılabilir filtreleme seçenekleri
Aşağıdaki filtreleme seçeneklerini kullanabilirsiniz:
- NAT kuralları
- Ağ kuralları
- Uygulama kuralları
Uyarı
Microsoft Azure Güvenlik Duvarı, kural koleksiyonlarını öncelik sırasına göre kural türüne göre işler; daha düşük sayılar 100 ile 65.000 arasındadır. Tehdit bilgileri tabanlı filtrelemeyi etkinleştirirseniz, bu kurallar en yüksek önceliklidir ve her zaman önce işlenir.
Aşağıdaki tabloda, Azure Güvenlik Duvarı gelen ve giden trafiği filtrelemek için yapılandırılmış çeşitli kuralları nasıl yönettiği açıklanır.
| Yön | Kural türleri | Açıklama |
|---|---|---|
| Dışa dönük bağlantı | Ağ kuralları ve uygulama kuralları | Hem ağ kurallarını hem de uygulama kurallarını yapılandırdığınızda, ağ kuralları uygulama kuralları öncesinde öncelik sırasına göre uygulanır. Kurallar sonlandırılıyor; Bir ağ kuralında eşleşme bulunursa, başka hiçbir kural işlenmez. Ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise paket, uygulama kuralları tarafından öncelik sırasına göre değerlendirilir. Hala eşleşme bulunmazsa paket, altyapı kuralı koleksiyonuna göre değerlendirilir. Ardından hala eşleşme yoksa paket varsayılan olarak reddedilir. |
| Gelen ağ bağlantısı | Ağ adresi çevirisi (NAT) kuralları | Hedef Ağ Adresi Çevirisi'ni (DNAT) yapılandırarak gelen İnternet bağlantısını etkinleştirebilirsiniz. NAT kuralları, ağ kurallarından önce öncelikli olarak uygulanır. Eşleşme bulunursa, çevrilen trafiğe izin veren örtük bir ağ kuralı eklenir. Bu davranışı, çevrilen trafikle eşleşen reddetme kuralları olan bir ağ kural koleksiyonunu açıkça ekleyerek geçersiz kılabilirsiniz. |
Tavsiye
Uygulama kuralları gelen bağlantılar için uygulanmaz. Bu nedenle, gelen HTTP veya HTTPS trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı kullanmalısınız.
Örnekler
Aşağıdaki örnekleri göz önünde bulundurun.
Örnek 1
Contoso'nun BT departmanı, kullanıcıların web tarayıcılarından erişimi Microsoft.com etkinleştirmek istiyor. Ağ kurallarını ve uygulama kurallarını kullanarak gerekli filtrelemeyi yapılandırabilirsiniz.
Ağ kuralı oluşturma
Aşağıdaki tabloda yer alan özelliklere sahip bir ağ kuralı oluşturursunuz.
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları | Eylem |
|---|---|---|---|---|---|---|---|
| Web'e izin ver | İletim Denetimi Protokolü (TCP) | IP adresi | * | IP adresi | * | 80, 443 | İzin Ver |
Eşleşen bir ağ kuralı olduğundan bağlantısına Microsoft.com izin verilir.
Çakışan uygulama kurallarını ele alma
Ancak, aşağıdaki tabloda gösterildiği gibi erişimi reddeden Microsoft.commevcut bir uygulama kuralının varlığını da keşfedersiniz.
| İsim | Kaynak türü | Kaynak | Protokol:bağlantı noktası | Hedef FQDN'ler | Eylem |
|---|---|---|---|---|---|
| Deny-Microsoft | IP adresi | * | http:80,https:443 | Microsoft.com |
Reddet |
Sonuç
Erişimi reddeden uygulama kuralının varlığına rağmen, Microsoft.com paket Allow-web ağ kuralıyla eşleştiğinden bağlantısına izin verilir. Kural işleme bu noktada durdurulur.
Örnek 2
Contoso BT'nin güvenlik ekibi, VM'lere gelen ve vm'lerden gelen Secure Shell (SSH) trafiğini etkinleştirme konusunda endişe duyuyor. İki kuralı araştırır ve keşfedersiniz. birincisi SSH trafiğine izin verir, ikincisi ise trafiği reddeder.
Ağ kuralı koleksiyonu 1
- Ad: allow-collection
- Öncelik: 200
- Eylem: İzin Ver
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları | Eylem |
|---|---|---|---|---|---|---|---|
| SSH'ye İzin Ver | TCP | IP adresi | * | IP adresi | * | 22 | İzin Ver |
Ağ kuralı koleksiyonu 2
- Ad: Deny-collection
- Öncelik: 100
- Eylem: Reddet
| İsim | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları | Eylem |
|---|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP adresi | * | IP adresi | * | 22 | Reddet |
Sonuç
Sonuç olarak, daha yüksek öncelikli Bir Reddetme ağ kuralı koleksiyonu engellendiğinden SSH trafiği reddedilir.