App Service Ortamı kilitlemeLocking down an App Service Environment

App Service Ortamı (Ao), düzgün bir şekilde çalışması için erişim gerektiren sayıda dış bağımlılıklara sahiptir.The App Service Environment (ASE) has a number of external dependencies that it requires access to in order to function properly. ASE, müşteri Azure sanal ağı 'nda (VNet) bulunur.The ASE lives in the customer Azure Virtual Network (VNet). Müşteriler, VNet 'ten tüm çıkışları kilitlemek isteyen müşteriler için bir sorun olan ASE bağımlılık trafiğine izin vermelidir.Customers must allow the ASE dependency traffic, which is a problem for customers that want to lock down all egress from their VNet.

Bir AI 'yi yönetmek için kullanılan bazı gelen uç noktaları vardır.There are a number of inbound endpoints that are used to manage an ASE. Gelen yönetim trafiği bir güvenlik duvarı cihazından gönderilemez.The inbound management traffic cannot be sent through a firewall device. Bu trafiğin kaynak adresleri bilinmektedir ve App Service ortamı yönetim adresleri belgesinde yayımlanır.The source addresses for this traffic are known and are published in the App Service Environment management addresses document. Ayrıca, gelen trafiğin güvenliğini sağlamak için ağ güvenlik grupları (NSG 'ler) ile birlikte kullanılabilecek AppServiceManagement adlı bir hizmet etiketi de vardır.There is also a Service Tag named AppServiceManagement which can be used with Network Security Groups (NSGs) to secure inbound traffic.

ASE giden bağımlılıkları, bunların arkasında statik adresler bulunmayan FQDN 'Ler ile neredeyse tamamen tanımlıdır.The ASE outbound dependencies are almost entirely defined with FQDNs, which do not have static addresses behind them. Statik adreslerin olmaması, ağ güvenlik gruplarının bir ASE 'den giden trafiği kilitlemek için kullanılamayacağı anlamına gelir.The lack of static addresses means that Network Security Groups cannot be used to lock down the outbound traffic from an ASE. Adresler, geçerli çözünürlüğe göre kuralları ayarlayamayacak ve bunları NSG 'ler oluşturmak için kullanabileceğiniz kadar sık değişir.The addresses change often enough that one cannot set up rules based on the current resolution and use that to create NSGs.

Giden adreslerin güvenliğini sağlamaya yönelik çözüm, etki alanı adlarına göre giden trafiği denetleyesağlayan bir güvenlik duvarı cihazının kullanılmasına yol açabilir.The solution to securing outbound addresses lies in use of a firewall device that can control outbound traffic based on domain names. Azure Güvenlik Duvarı, giden HTTP ve HTTPS trafiğini hedefin FQDN 'sine göre kısıtlayabilir.Azure Firewall can restrict outbound HTTP and HTTPS traffic based on the FQDN of the destination.

Sistem mimarisiSystem architecture

Bir güvenlik duvarı cihazından giden trafik ile bir AKEN dağıtmak, AKEN alt ağında yolların değiştirilmesini gerektirir.Deploying an ASE with outbound traffic going through a firewall device requires changing routes on the ASE subnet. Rotalar bir IP düzeyinde çalışır.Routes operate at an IP level. Rotalarınızı tanımlamaya özen yoksa, TCP yanıt trafiğini başka bir adresten kaynağa zorlayabilirsiniz.If you are not careful in defining your routes, you can force TCP reply traffic to source from another address. Yanıt adresiniz, ' e gönderilen adres trafiğinden farklı olduğunda, soruna asimetrik yönlendirme adı verilir ve TCP 'nin bozulmasına neden olur.When your reply address is different from the address traffic was sent to, the problem is called asymmetric routing and it will break TCP.

ATıCı 'e gelen trafiğin trafikle aynı şekilde yanıt vermesi için tanımlanan yollar olmalıdır.There must be routes defined so that inbound traffic to the ASE can reply back the same way the traffic came in. Yolların gelen yönetim istekleri ve gelen uygulama istekleri için tanımlanması gerekir.Routes must be defined for inbound management requests and for inbound application requests.

Ao 'dan gelen ve giden trafik aşağıdaki kurallara göre uymalıdırThe traffic to and from an ASE must abide by the following conventions

  • Azure SQL, depolama ve Olay Hub 'ına giden trafik, bir güvenlik duvarı cihazının kullanımıyla desteklenmez.The traffic to Azure SQL, Storage, and Event Hub are not supported with use of a firewall device. Bu trafiğin doğrudan bu hizmetlere gönderilmesi gerekir.This traffic must be sent directly to those services. Bunu yapmanın yolu, bu üç hizmet için hizmet uç noktalarını yapılandırmaktır.The way to make that happen is to configure service endpoints for those three services.
  • Gelen yönetim trafiğini geldiği yerden geri gönderen yol tablosu kuralları tanımlanmalıdır.Route table rules must be defined that send inbound management traffic back from where it came.
  • Gelen uygulama trafiğini geldiği yerden geri gönderen yol tablosu kuralları tanımlanmalıdır.Route table rules must be defined that send inbound application traffic back from where it came.
  • Ao 'dan çıkan diğer tüm trafik, bir yol tablosu kuralıyla güvenlik duvarı cihazınıza gönderilebilir.All other traffic leaving the ASE can be sent to your firewall device with a route table rule.

Azure Güvenlik Duvarı bağlantı akışı ile aşırı

Gelen yönetim trafiğini kilitlemeLocking down inbound management traffic

Ao alt ağına atanmış bir NSG zaten yoksa, bir tane oluşturun.If your ASE subnet does not already have an NSG assigned to it, create one. NSG içinde, 454, 455 bağlantı noktalarında AppServiceManagement adlı hizmet etiketinden gelen trafiğe izin vermek için ilk kuralı ayarlayın.Within the NSG, set the first rule to allow traffic from the Service Tag named AppServiceManagement on ports 454, 455. AppServiceManagement etiketinden erişime izin verme kuralı, genel IP 'Lerde ATıCı 'nizi yönetmek için gerekli olan tek şeydir.The rule to allow access from the AppServiceManagement tag is the only thing that is required from public IPs to manage your ASE. Bu hizmet etiketinin arkasındaki adresler yalnızca Azure App Service yönetmek için kullanılır.The addresses that are behind that Service Tag are only used to administer the Azure App Service. Bu bağlantılar üzerinden akan yönetim trafiği, kimlik doğrulama sertifikalarıyla şifrelenir ve güvenlidir.The management traffic that flows through these connections is encrypted and secured with authentication certificates. Bu kanaldaki tipik trafik, müşteri tarafından başlatılan komutlar ve sistem durumu araştırmaları gibi şeyleri içerir.Typical traffic on this channel includes things like customer initiated commands and health probes.

Portal üzerinden yeni bir alt ağ içeren ASE 'ler, AppServiceManagement etiketi için izin verme kuralını içeren bir NSG ile yapılır.ASEs that are made through the portal with a new subnet are made with an NSG that contains the allow rule for the AppServiceManagement tag.

ATıCı 'niz Ayrıca 16001 numaralı bağlantı noktasındaki Load Balancer etiketinden gelen isteklere izin vermelidir.Your ASE must also allow inbound requests from the Load Balancer tag on port 16001. 16001 numaralı bağlantı noktası üzerindeki Load Balancer istekleri, Load Balancer ve Ao ön uçları arasında canlı olarak denetimleri saklar.The requests from the Load Balancer on port 16001 are keep alive checks between the Load Balancer and the ASE front ends. 16001 numaralı bağlantı noktası engellenirse, Ao 'niz sağlıksız duruma geçer.If port 16001 is blocked, your ASE will go unhealthy.

Azure Güvenlik duvarını AŞIRLE yapılandırmaConfiguring Azure Firewall with your ASE

Azure Güvenlik Duvarı ile mevcut Ao 'ınızdan çıkış kilitlemeyi kilitleme adımları şunlardır:The steps to lock down egress from your existing ASE with Azure Firewall are:

  1. Hizmet uç noktalarını, AI alt ağınızda SQL, depolama ve Olay Hub 'ına etkinleştirin.Enable service endpoints to SQL, Storage, and Event Hub on your ASE subnet. Hizmet uç noktalarını etkinleştirmek için, ağ portalı > alt ağlarına gidin ve hizmet uç noktaları açılan menüsünde Microsoft. EventHub, Microsoft. SQL ve Microsoft. Storage ' ı seçin.To enable service endpoints, go into the networking portal > subnets and select Microsoft.EventHub, Microsoft.SQL and Microsoft.Storage from the Service endpoints dropdown. Azure SQL için etkin hizmet uç noktaları varsa, uygulamalarınızın sahip olduğu tüm Azure SQL bağımlılıkları da hizmet uç noktaları ile yapılandırılmalıdır.When you have service endpoints enabled to Azure SQL, any Azure SQL dependencies that your apps have must be configured with service endpoints as well.

    hizmet uç noktalarını seçin

  2. ASE 'nizin bulunduğu VNet 'te AzureFirewallSubnet adlı bir alt ağ oluşturun.Create a subnet named AzureFirewallSubnet in the VNet where your ASE exists. Azure Güvenlik duvarını oluşturmak için Azure Güvenlik Duvarı belgelerindeki yönergeleri izleyin.Follow the directions in the Azure Firewall documentation to create your Azure Firewall.

  3. Azure Güvenlik Duvarı Kullanıcı arabirimi > kuralları > uygulama kuralı koleksiyonu ' ndan uygulama kuralı koleksiyonu Ekle ' yi seçin.From the Azure Firewall UI > Rules > Application rule collection, select Add application rule collection. Ad, öncelik ve Izin ver ayarla ' yı belirtin.Provide a name, priority, and set Allow. FQDN etiketleri bölümünde bir ad belirtin, kaynak adreslerini * olarak ayarlayın ve App Service Ortamı FQDN etiketini ve Windows Update seçin.In the FQDN tags section, provide a name, set the source addresses to * and select the App Service Environment FQDN Tag and the Windows Update.

    Uygulama kuralı ekle

  4. Azure Güvenlik Duvarı Kullanıcı arabirimi > kuralları > ağ kuralı koleksiyonu ' ndan ağ kuralı koleksiyonu Ekle ' yi seçin.From the Azure Firewall UI > Rules > Network rule collection, select Add network rule collection. Ad, öncelik ve Izin ver ayarla ' yı belirtin.Provide a name, priority, and set Allow. IP adresleri altındaki kurallar bölümünde, bir ad girin, herhangi bir protokol seçin, * kaynak ve hedef adresleri ayarlayın ve bağlantı noktalarını 123 olarak ayarlayın.In the Rules section under IP addresses, provide a name, select a protocol of Any, set * to Source and Destination addresses, and set the ports to 123. Bu kural, sistemin NTP kullanarak saat eşitlemesi gerçekleştirmesini sağlar.This rule allows the system to perform clock sync using NTP. Herhangi bir sistem sorununu değerlendirmenize yardımcı olmak için bağlantı noktası 12000 ile aynı şekilde başka bir kural oluşturun.Create another rule the same way to port 12000 to help triage any system issues.

    NTP ağ kuralı ekle

  5. Azure Güvenlik Duvarı Kullanıcı arabirimi > kuralları > ağ kuralı koleksiyonu ' ndan ağ kuralı koleksiyonu Ekle ' yi seçin.From the Azure Firewall UI > Rules > Network rule collection, select Add network rule collection. Ad, öncelik ve Izin ver ayarla ' yı belirtin.Provide a name, priority, and set Allow. Hizmet etiketleri altındaki kurallar bölümünde, bir ad girin, herhangi bir protokol seçin, * kaynak adreslerini ayarlayın, AzureMonitor bir hizmet etiketi seçin ve bağlantı noktalarını 80, 443 olarak ayarlayın.In the Rules section under Service Tags, provide a name, select a protocol of Any, set * to Source addresses, select a service tag of AzureMonitor, and set the ports to 80, 443. Bu kural, sistemin sistem durumu ve ölçüm bilgileriyle Azure Izleyici sağlamasına izin verir.This rule allows the system to supply Azure Monitor with health and metrics information.

    NTP hizmeti etiketi ağ kuralı ekle

  6. Bir sonraki Internet duraklı App Service ortamı yönetim adreslerinden yönetim adresleriyle bir yol tablosu oluşturun.Create a route table with the management addresses from App Service Environment management addresses with a next hop of Internet. Asimetrik yönlendirme sorunlarından kaçınmak için yol tablosu girdileri gereklidir.The route table entries are required to avoid asymmetric routing problems. IP adresi bağımlılıklarında aşağıda belirtilen IP adresi bağımlılıkları için bir sonraki Internet duraklı yollar ekleyin.Add routes for the IP address dependencies noted below in the IP address dependencies with a next hop of Internet. 0.0.0.0/0 için yol tablonuza bir sonraki atlamada Azure Güvenlik Duvarı özel IP adresiniz olacak şekilde bir Sanal Gereç yolu ekleyin.Add a Virtual Appliance route to your route table for 0.0.0.0/0 with the next hop being your Azure Firewall private IP address.

    Rota tablosu oluşturma

  7. Oluşturduğunuz yol tablosunu as alt ağına atayın.Assign the route table you created to your ASE subnet.

ATıCı 'nizi bir güvenlik duvarının arkasında dağıtmaDeploying your ASE behind a firewall

ATıCı 'nizi bir güvenlik duvarının arkasında dağıtma adımları, bir Azure güvenlik duvarıyla, AI alt ağını oluşturmanız ve ardından önceki adımları uygulamanız gerekir.The steps to deploy your ASE behind a firewall are the same as configuring your existing ASE with an Azure Firewall except you will need to create your ASE subnet and then follow the previous steps. Önceden var olan bir alt ağda ATıCı 'nizi oluşturmak için, bir kaynak yöneticisi şablonuyla atıcı 'Nizi oluşturmakonusunda açıklandığı gibi bir kaynak yöneticisi şablonu kullanmanız gerekir.To create your ASE in a pre-existing subnet, you need to use a Resource Manager template as described in the document on Creating your ASE with a Resource Manager template.

Uygulama trafiğiApplication traffic

Yukarıdaki adımlar, ASE 'nizin sorunsuz bir şekilde çalışmasına olanak sağlayacak.The above steps will allow your ASE to operate without problems. Yine de uygulama gereksinimlerinizi karşılayacak şeyler yapılandırmanız gerekir.You still need to configure things to accommodate your application needs. Bir Ao 'da Azure Güvenlik Duvarı ile yapılandırılan uygulamalar için iki sorun vardır.There are two problems for applications in an ASE that is configured with Azure Firewall.

  • Uygulama bağımlılıklarının Azure Güvenlik Duvarı 'na veya yol tablosuna eklenmesi gerekir.Application dependencies must be added to the Azure Firewall or the route table.
  • Asimetrik yönlendirme sorunlarından kaçınmak için uygulama trafiği için yolların oluşturulması gerekirRoutes must be created for the application traffic to avoid asymmetric routing issues

Uygulamalarınızın bağımlılıkları varsa, bunların Azure güvenlik duvarınızdan eklenmesi gerekir.If your applications have dependencies, they need to be added to your Azure Firewall. Diğer her şey için HTTP/HTTPS trafiğine ve ağ kurallarına izin vermek üzere uygulama kuralları oluşturun.Create Application rules to allow HTTP/HTTPS traffic and Network rules for everything else.

Uygulamanız için gelen trafiğin geldiği adres aralığını biliyorsanız, bunu Ao alt ağına atanan yol tablosuna ekleyebilirsiniz.If you know the address range that your application request traffic will come from, you can add that to the route table that is assigned to your ASE subnet. Adres aralığı büyükse veya belirtilmemişse, yol tablonuza eklemek için bir adres sağlamak üzere Application Gateway gibi bir ağ gerecini kullanabilirsiniz.If the address range is large or unspecified, then you can use a network appliance like the Application Gateway to give you one address to add to your route table. ILB Ade Application Gateway yapılandırma hakkında ayrıntılı bilgi için, ILB atıcı 'nizi bir Application Gateway tümleştirerek edininFor details on configuring an Application Gateway with your ILB ASE, read Integrating your ILB ASE with an Application Gateway

Bu Application Gateway kullanımı, sisteminizi yapılandırmaya yönelik yalnızca bir örnektir.This use of the Application Gateway is just one example of how to configure your system. Bu yolu izledikten sonra, Application Gateway gönderilen yanıt trafiğinin doğrudan gidebilmesi için ATıCı alt ağ yolu tablosuna bir yol eklemeniz gerekir.If you did follow this path, then you would need to add a route to the ASE subnet route table so the reply traffic sent to the Application Gateway would go there directly.

Günlüğe KaydetmeLogging

Azure Güvenlik Duvarı, Azure depolama, Olay Hub 'ı veya Azure Izleyici günlüklerine Günlükler gönderebilir.Azure Firewall can send logs to Azure Storage, Event Hub, or Azure Monitor logs. Uygulamanızı desteklenen herhangi bir hedefle tümleştirmek için Azure Güvenlik Duvarı portalı > tanılama günlükleri ' ne gidin ve istediğiniz hedefe yönelik günlükleri etkinleştirin.To integrate your app with any supported destination, go to the Azure Firewall portal > Diagnostic Logs and enable the logs for your desired destination. Azure Izleyici günlükleri ile tümleştirirseniz, Azure Güvenlik Duvarı 'na gönderilen tüm trafik için günlüğe kaydetmeyi görebilirsiniz.If you integrate with Azure Monitor logs, then you can see logging for any traffic sent to Azure Firewall. Reddedilen trafiği görmek için Log Analytics çalışma alanı portalınızı > günlüklerine açın ve şu şekilde bir sorgu girin:To see the traffic that is being denied, open your Log Analytics workspace portal > Logs and enter a query like

AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)

Azure Güvenlik duvarını Azure Izleyici günlükleriyle tümleştirmek, uygulama bağımlılıklarının tümünün farkında olmadığında ilk olarak bir uygulama çalışırken yararlıdır.Integrating your Azure Firewall with Azure Monitor logs is useful when first getting an application working when you are not aware of all of the application dependencies. Azure izleyici günlükleri hakkında daha fazla bilgi edinmek için Azure izleyici 'de günlük verilerini analizedebilirsiniz.You can learn more about Azure Monitor logs from Analyze log data in Azure Monitor.

BağımlılıklarDependencies

Aşağıdaki bilgiler yalnızca Azure Güvenlik Duvarı dışında bir güvenlik duvarı gereci yapılandırmak istiyorsanız gereklidir.The following information is only required if you wish to configure a firewall appliance other than Azure Firewall.

  • Hizmet uç noktası özellikli Hizmetleri, hizmet uç noktaları ile yapılandırılmalıdır.Service Endpoint capable services should be configured with service endpoints.
  • IP adresi bağımlılıkları HTTP/sn olmayan trafiğe yöneliktir (TCP ve UDP trafiği)IP Address dependencies are for non-HTTP/S traffic (both TCP and UDP traffic)
  • FQDN HTTP/HTTPS uç noktaları, güvenlik duvarı cihazınıza yerleştirilebilir.FQDN HTTP/HTTPS endpoints can be placed in your firewall device.
  • Joker karakter HTTP/HTTPS uç noktaları, bir dizi niteleyicilere göre ASE 'niz ile değişebilen bağımlılıklardır.Wildcard HTTP/HTTPS endpoints are dependencies that can vary with your ASE based on a number of qualifiers.
  • Linux bağımlılıkları yalnızca ASE 'nize Linux uygulamaları dağıtıyorsanız bir sorun teşkil etmez.Linux dependencies are only a concern if you are deploying Linux apps into your ASE. Linux uygulamalarını Ao uygulamanıza dağıtmayın, bu adreslerin güvenlik duvarınızdan eklenmesine gerek yoktur.If you are not deploying Linux apps into your ASE, then these addresses do not need to be added to your firewall.

Hizmet uç noktası özellikli bağımlılıklarService Endpoint capable dependencies

Uç NoktaEndpoint
Azure SQLAzure SQL
Azure StorageAzure Storage
Azure Event HubAzure Event Hub

IP adresi bağımlılıklarıIP Address dependencies

Uç NoktaEndpoint AyrıntılarDetails
*: 123*:123 NTP saat denetimi.NTP clock check. Trafik, 123 numaralı bağlantı noktasında birden çok uç noktaya denetlenirTraffic is checked at multiple endpoints on port 123
*: 12000*:12000 Bu bağlantı noktası, bazı sistem izleme için kullanılır.This port is used for some system monitoring. Engellenirse, bazı sorunlar önceliklendirme daha zor olacaktır, ancak ASE 'niz çalışmaya devam edecektirIf blocked, then some issues will be harder to triage but your ASE will continue to operate
40.77.24.27:8040.77.24.27:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
40.77.24.27:44340.77.24.27:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.90.249.229:8013.90.249.229:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.90.249.229:44313.90.249.229:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
104.45.230.69:80104.45.230.69:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
104.45.230.69:443104.45.230.69:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.82.184.151:8013.82.184.151:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.82.184.151:44313.82.184.151:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems

Azure Güvenlik Duvarı ile, aşağıdaki her şeyi, FQDN etiketleriyle yapılandırılmış şekilde otomatik olarak alırsınız.With an Azure Firewall, you automatically get everything below configured with the FQDN tags.

FQDN HTTP/HTTPS bağımlılıklarıFQDN HTTP/HTTPS dependencies

Uç NoktaEndpoint
graph.microsoft.com:443graph.microsoft.com:443
login.live.com:443login.live.com:443
login.windows.com:443login.windows.com:443
login.windows.net:443login.windows.net:443
login.microsoftonline.com:443login.microsoftonline.com:443
client.wns.windows.com:443client.wns.windows.com:443
definitionupdates.microsoft.com:443definitionupdates.microsoft.com:443
go.microsoft.com:80go.microsoft.com:80
go.microsoft.com:443go.microsoft.com:443
www.microsoft.com:80www.microsoft.com:80
www.microsoft.com:443www.microsoft.com:443
wdcpalt.microsoft.com:443wdcpalt.microsoft.com:443
wdcp.microsoft.com:443wdcp.microsoft.com:443
ocsp.msocsp.com:443ocsp.msocsp.com:443
ocsp.msocsp.com:80ocsp.msocsp.com:80
oneocsp.microsoft.com:80oneocsp.microsoft.com:80
oneocsp.microsoft.com:443oneocsp.microsoft.com:443
mscrl.microsoft.com:443mscrl.microsoft.com:443
mscrl.microsoft.com:80mscrl.microsoft.com:80
crl.microsoft.com:443crl.microsoft.com:443
crl.microsoft.com:80crl.microsoft.com:80
www.thawte.com:443www.thawte.com:443
crl3.digicert.com:80crl3.digicert.com:80
ocsp.digicert.com:80ocsp.digicert.com:80
ocsp.digicert.com:443ocsp.digicert.com:443
csc3-2009-2.crl.verisign.com:80csc3-2009-2.crl.verisign.com:80
crl.verisign.com:80crl.verisign.com:80
ocsp.verisign.com:80ocsp.verisign.com:80
cacerts.digicert.com:80cacerts.digicert.com:80
azperfcounters1.blob.core.windows.net:443azperfcounters1.blob.core.windows.net:443
azurewatsonanalysis-prod.core.windows.net:443azurewatsonanalysis-prod.core.windows.net:443
global.metrics.nsatc.net:80global.metrics.nsatc.net:80
global.metrics.nsatc.net:443global.metrics.nsatc.net:443
az-prod.metrics.nsatc.net:443az-prod.metrics.nsatc.net:443
antares.metrics.nsatc.net:443antares.metrics.nsatc.net:443
azglobal-black.azglobal.metrics.nsatc.net:443azglobal-black.azglobal.metrics.nsatc.net:443
azglobal-red.azglobal.metrics.nsatc.net:443azglobal-red.azglobal.metrics.nsatc.net:443
antares-black.antares.metrics.nsatc.net:443antares-black.antares.metrics.nsatc.net:443
antares-red.antares.metrics.nsatc.net:443antares-red.antares.metrics.nsatc.net:443
prod.microsoftmetrics.com:443prod.microsoftmetrics.com:443
maupdateaccount.blob.core.windows.net:443maupdateaccount.blob.core.windows.net:443
clientconfig.passport.net:443clientconfig.passport.net:443
packages.microsoft.com:443packages.microsoft.com:443
schemas.microsoft.com:80schemas.microsoft.com:80
schemas.microsoft.com:443schemas.microsoft.com:443
management.core.windows.net:443management.core.windows.net:443
management.core.windows.net:80management.core.windows.net:80
management.azure.com:443management.azure.com:443
www.msftconnecttest.com:80www.msftconnecttest.com:80
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
validation-v2.sls.microsoft.com:443validation-v2.sls.microsoft.com:443
flighting.cp.wd.microsoft.com:443flighting.cp.wd.microsoft.com:443
dmd.metaservices.microsoft.com:80dmd.metaservices.microsoft.com:80
admin.core.windows.net:443admin.core.windows.net:443
prod.warmpath.msftcloudes.com:443prod.warmpath.msftcloudes.com:443
prod.warmpath.msftcloudes.com:80prod.warmpath.msftcloudes.com:80
gcs.prod.monitoring.core.windows.net:80gcs.prod.monitoring.core.windows.net:80
gcs.prod.monitoring.core.windows.net:443gcs.prod.monitoring.core.windows.net:443
azureprofileruploads.blob.core.windows.net:443azureprofileruploads.blob.core.windows.net:443
azureprofileruploads2.blob.core.windows.net:443azureprofileruploads2.blob.core.windows.net:443
azureprofileruploads3.blob.core.windows.net:443azureprofileruploads3.blob.core.windows.net:443
azureprofileruploads4.blob.core.windows.net:443azureprofileruploads4.blob.core.windows.net:443
azureprofileruploads5.blob.core.windows.net:443azureprofileruploads5.blob.core.windows.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azprofileruploads1.blob.core.windows.net:443azprofileruploads1.blob.core.windows.net:443
azprofileruploads10.blob.core.windows.net:443azprofileruploads10.blob.core.windows.net:443
azprofileruploads2.blob.core.windows.net:443azprofileruploads2.blob.core.windows.net:443
azprofileruploads3.blob.core.windows.net:443azprofileruploads3.blob.core.windows.net:443
azprofileruploads4.blob.core.windows.net:443azprofileruploads4.blob.core.windows.net:443
azprofileruploads6.blob.core.windows.net:443azprofileruploads6.blob.core.windows.net:443
azprofileruploads7.blob.core.windows.net:443azprofileruploads7.blob.core.windows.net:443
azprofileruploads8.blob.core.windows.net:443azprofileruploads8.blob.core.windows.net:443
azprofileruploads9.blob.core.windows.net:443azprofileruploads9.blob.core.windows.net:443
azureprofilerfrontdoor.cloudapp.net:443azureprofilerfrontdoor.cloudapp.net:443
settings-win.data.microsoft.com:443settings-win.data.microsoft.com:443
maupdateaccount2.blob.core.windows.net:443maupdateaccount2.blob.core.windows.net:443
maupdateaccount3.blob.core.windows.net:443maupdateaccount3.blob.core.windows.net:443
dc.services.visualstudio.com:443dc.services.visualstudio.com:443
gmstorageprodsn1.blob.core.windows.net:443gmstorageprodsn1.blob.core.windows.net:443
gmstorageprodsn1.file.core.windows.net:443gmstorageprodsn1.file.core.windows.net:443
gmstorageprodsn1.queue.core.windows.net:443gmstorageprodsn1.queue.core.windows.net:443
gmstorageprodsn1.table.core.windows.net:443gmstorageprodsn1.table.core.windows.net:443
rteventservice.trafficmanager.net:443rteventservice.trafficmanager.net:443
ctldl.windowsupdate.com:80ctldl.windowsupdate.com:80
ctldl.windowsupdate.com:443ctldl.windowsupdate.com:443
global-dsms.dsms.core.windows.net:443global-dsms.dsms.core.windows.net:443

Joker karakter HTTP/HTTPS bağımlılıklarıWildcard HTTP/HTTPS dependencies

Uç NoktaEndpoint
gr-prod- * . cloudapp.net:443gr-Prod-*.cloudapp.net:443
*. management.azure.com:443*.management.azure.com:443
*. update.microsoft.com:443*.update.microsoft.com:443
*. windowsupdate.microsoft.com:443*.windowsupdate.microsoft.com:443
*. identity.azure.net:443*.identity.azure.net:443
*. ctldl.windowsupdate.com:80*.ctldl.windowsupdate.com:80
*. ctldl.windowsupdate.com:443*.ctldl.windowsupdate.com:443

Linux bağımlılıklarıLinux dependencies

Uç NoktaEndpoint
wawsinfraprodbay063.blob.core.windows.net:443wawsinfraprodbay063.blob.core.windows.net:443
registry-1.docker.io:443registry-1.docker.io:443
auth.docker.io:443auth.docker.io:443
production.cloudflare.docker.com:443production.cloudflare.docker.com:443
download.docker.com:443download.docker.com:443
us.archive.ubuntu.com:80us.archive.ubuntu.com:80
download.mono-project.com:80download.mono-project.com:80
packages.treasuredata.com:80packages.treasuredata.com:80
security.ubuntu.com:80security.ubuntu.com:80
oryx-cdn.microsoft.io:443oryx-cdn.microsoft.io:443
*. cdn.mscr.io:443*.cdn.mscr.io:443
*. data.mcr.microsoft.com:443*.data.mcr.microsoft.com:443
mcr.microsoft.com:443mcr.microsoft.com:443
*. data.mcr.microsoft.com:443*.data.mcr.microsoft.com:443
packages.fluentbit.io:80packages.fluentbit.io:80
packages.fluentbit.io:443packages.fluentbit.io:443
apt-mo.trafficmanager.net:80apt-mo.trafficmanager.net:80
apt-mo.trafficmanager.net:443apt-mo.trafficmanager.net:443
azure.archive.ubuntu.com:80azure.archive.ubuntu.com:80
azure.archive.ubuntu.com:443azure.archive.ubuntu.com:443
changelogs.ubuntu.com:80changelogs.ubuntu.com:80
13.74.252.37:1137113.74.252.37:11371
13.75.127.55:1137113.75.127.55:11371
13.76.190.189:1137113.76.190.189:11371
13.80.10.205:1137113.80.10.205:11371
13.91.48.226:1137113.91.48.226:11371
40.76.35.62:1137140.76.35.62:11371
104.215.95.108:11371104.215.95.108:11371

US Gov bağımlılıklarUS Gov dependencies

US Gov bölgelerindeki ASE 'ler için, ASE 'niz ile bir Azure Güvenlik duvarı yapılandırmak için bu belgenin ASE Ile Azure Güvenlik Duvarı 'Nı yapılandırma bölümündeki yönergeleri izleyin.For ASEs in US Gov regions, follow the instructions in the Configuring Azure Firewall with your ASE section of this document to configure an Azure Firewall with your ASE.

US Gov içinde Azure Güvenlik Duvarı dışında bir cihaz kullanmak istiyorsanızIf you want to use a device other than Azure Firewall in US Gov

  • Hizmet uç noktası özellikli Hizmetleri, hizmet uç noktaları ile yapılandırılmalıdır.Service Endpoint capable services should be configured with service endpoints.
  • FQDN HTTP/HTTPS uç noktaları, güvenlik duvarı cihazınıza yerleştirilebilir.FQDN HTTP/HTTPS endpoints can be placed in your firewall device.
  • Joker karakter HTTP/HTTPS uç noktaları, bir dizi niteleyicilere göre ASE 'niz ile değişebilen bağımlılıklardır.Wildcard HTTP/HTTPS endpoints are dependencies that can vary with your ASE based on a number of qualifiers.

Linux, US Gov bölgelerinde kullanılamaz ve bu nedenle isteğe bağlı bir yapılandırma olarak listelenmez.Linux is not available in US Gov regions and is thus not listed as an optional configuration.

Hizmet uç noktası özellikli bağımlılıklarService Endpoint capable dependencies

Uç NoktaEndpoint
Azure SQLAzure SQL
Azure StorageAzure Storage
Azure Event HubAzure Event Hub

IP adresi bağımlılıklarıIP Address dependencies

Uç NoktaEndpoint AyrıntılarDetails
*: 123*:123 NTP saat denetimi.NTP clock check. Trafik, 123 numaralı bağlantı noktasında birden çok uç noktaya denetlenirTraffic is checked at multiple endpoints on port 123
*: 12000*:12000 Bu bağlantı noktası, bazı sistem izleme için kullanılır.This port is used for some system monitoring. Engellenirse, bazı sorunlar önceliklendirme daha zor olacaktır, ancak ASE 'niz çalışmaya devam edecektirIf blocked, then some issues will be harder to triage but your ASE will continue to operate
40.77.24.27:8040.77.24.27:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
40.77.24.27:44340.77.24.27:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.90.249.229:8013.90.249.229:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.90.249.229:44313.90.249.229:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
104.45.230.69:80104.45.230.69:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
104.45.230.69:443104.45.230.69:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.82.184.151:8013.82.184.151:80 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems
13.82.184.151:44313.82.184.151:443 AI sorunlarını izlemek ve uyarmak için gereklidirNeeded to monitor and alert on ASE problems

BağımlılıklarDependencies

Uç NoktaEndpoint
*. ctldl.windowsupdate.com:80*.ctldl.windowsupdate.com:80
*. management.usgovcloudapi.net:80*.management.usgovcloudapi.net:80
*. update.microsoft.com:80*.update.microsoft.com:80
admin.core.usgovcloudapi.net:80admin.core.usgovcloudapi.net:80
azperfmerges.blob.core.windows.net:80azperfmerges.blob.core.windows.net:80
azperfmerges.blob.core.windows.net:80azperfmerges.blob.core.windows.net:80
azprofileruploads1.blob.core.windows.net:80azprofileruploads1.blob.core.windows.net:80
azprofileruploads10.blob.core.windows.net:80azprofileruploads10.blob.core.windows.net:80
azprofileruploads2.blob.core.windows.net:80azprofileruploads2.blob.core.windows.net:80
azprofileruploads3.blob.core.windows.net:80azprofileruploads3.blob.core.windows.net:80
azprofileruploads4.blob.core.windows.net:80azprofileruploads4.blob.core.windows.net:80
azprofileruploads5.blob.core.windows.net:80azprofileruploads5.blob.core.windows.net:80
azprofileruploads6.blob.core.windows.net:80azprofileruploads6.blob.core.windows.net:80
azprofileruploads7.blob.core.windows.net:80azprofileruploads7.blob.core.windows.net:80
azprofileruploads8.blob.core.windows.net:80azprofileruploads8.blob.core.windows.net:80
azprofileruploads9.blob.core.windows.net:80azprofileruploads9.blob.core.windows.net:80
azureprofilerfrontdoor.cloudapp.net:80azureprofilerfrontdoor.cloudapp.net:80
azurewatsonanalysis.usgovcloudapp.net:80azurewatsonanalysis.usgovcloudapp.net:80
cacerts.digicert.com:80cacerts.digicert.com:80
client.wns.windows.com:80client.wns.windows.com:80
crl.microsoft.com:80crl.microsoft.com:80
crl.verisign.com:80crl.verisign.com:80
crl3.digicert.com:80crl3.digicert.com:80
csc3-2009-2.crl.verisign.com:80csc3-2009-2.crl.verisign.com:80
ctldl.windowsupdate.com:80ctldl.windowsupdate.com:80
definitionupdates.microsoft.com:80definitionupdates.microsoft.com:80
download.windowsupdate.com:80download.windowsupdate.com:80
fairfax.warmpath.usgovcloudapi.net:80fairfax.warmpath.usgovcloudapi.net:80
flighting.cp.wd.microsoft.com:80flighting.cp.wd.microsoft.com:80
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80
global.metrics.nsatc.net:80global.metrics.nsatc.net:80
go.microsoft.com:80go.microsoft.com:80
gr-gcws-prod-bd3.usgovcloudapp.net:80gr-gcws-prod-bd3.usgovcloudapp.net:80
gr-gcws-prod-bn1.usgovcloudapp.net:80gr-gcws-prod-bn1.usgovcloudapp.net:80
gr-gcws-prod-dd3.usgovcloudapp.net:80gr-gcws-prod-dd3.usgovcloudapp.net:80
gr-gcws-prod-dm2.usgovcloudapp.net:80gr-gcws-prod-dm2.usgovcloudapp.net:80
gr-gcws-prod-phx20.usgovcloudapp.net:80gr-gcws-prod-phx20.usgovcloudapp.net:80
gr-gcws-prod-sn5.usgovcloudapp.net:80gr-gcws-prod-sn5.usgovcloudapp.net:80
login.live.com:80login.live.com:80
login.microsoftonline.us:80login.microsoftonline.us:80
management.core.usgovcloudapi.net:80management.core.usgovcloudapi.net:80
management.usgovcloudapi.net:80management.usgovcloudapi.net:80
maupdateaccountff.blob.core.usgovcloudapi.net:80maupdateaccountff.blob.core.usgovcloudapi.net:80
mscrl.microsoft.com:80mscrl.microsoft.com:80
ocsp.digicert.com:80ocsp.digicert.com:80
ocsp.verisign.com:80ocsp.verisign.com:80
rteventse.trafficmanager.net:80rteventse.trafficmanager.net:80
settings-n.data.microsoft.com:80settings-n.data.microsoft.com:80
shavamafestcdnprod1.azureedge.net:80shavamafestcdnprod1.azureedge.net:80
shavanifestcdnprod1.azureedge.net:80shavanifestcdnprod1.azureedge.net:80
v10ortex-win.data.microsoft.com:80v10ortex-win.data.microsoft.com:80
wp.microsoft.com:80wp.microsoft.com:80
dcpalt.microsoft.com:80dcpalt.microsoft.com:80
www.microsoft.com:80www.microsoft.com:80
www.msftconnecttest.com:80www.msftconnecttest.com:80
www.thawte.com:80www.thawte.com:80
*ctldl.windowsupdate.com:443*ctldl.windowsupdate.com:443
*. management.usgovcloudapi.net:443*.management.usgovcloudapi.net:443
*. update.microsoft.com:443*.update.microsoft.com:443
admin.core.usgovcloudapi.net:443admin.core.usgovcloudapi.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azprofileruploads1.blob.core.windows.net:443azprofileruploads1.blob.core.windows.net:443
azprofileruploads10.blob.core.windows.net:443azprofileruploads10.blob.core.windows.net:443
azprofileruploads2.blob.core.windows.net:443azprofileruploads2.blob.core.windows.net:443
azprofileruploads3.blob.core.windows.net:443azprofileruploads3.blob.core.windows.net:443
azprofileruploads4.blob.core.windows.net:443azprofileruploads4.blob.core.windows.net:443
azprofileruploads5.blob.core.windows.net:443azprofileruploads5.blob.core.windows.net:443
azprofileruploads6.blob.core.windows.net:443azprofileruploads6.blob.core.windows.net:443
azprofileruploads7.blob.core.windows.net:443azprofileruploads7.blob.core.windows.net:443
azprofileruploads8.blob.core.windows.net:443azprofileruploads8.blob.core.windows.net:443
azprofileruploads9.blob.core.windows.net:443azprofileruploads9.blob.core.windows.net:443
azureprofilerfrontdoor.cloudapp.net:443azureprofilerfrontdoor.cloudapp.net:443
azurewatsonanalysis.usgovcloudapp.net:443azurewatsonanalysis.usgovcloudapp.net:443
cacerts.digicert.com:443cacerts.digicert.com:443
client.wns.windows.com:443client.wns.windows.com:443
crl.microsoft.com:443crl.microsoft.com:443
crl.verisign.com:443crl.verisign.com:443
crl3.digicert.com:443crl3.digicert.com:443
csc3-2009-2.crl.verisign.com:443csc3-2009-2.crl.verisign.com:443
ctldl.windowsupdate.com:443ctldl.windowsupdate.com:443
definitionupdates.microsoft.com:443definitionupdates.microsoft.com:443
download.windowsupdate.com:443download.windowsupdate.com:443
fairfax.warmpath.usgovcloudapi.net:443fairfax.warmpath.usgovcloudapi.net:443
gcs.monitoring.core.usgovcloudapi.net:443gcs.monitoring.core.usgovcloudapi.net:443
flighting.cp.wd.microsoft.com:443flighting.cp.wd.microsoft.com:443
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443
global.metrics.nsatc.net:443global.metrics.nsatc.net:443
go.microsoft.com:443go.microsoft.com:443
gr-gcws-prod-bd3.usgovcloudapp.net:443gr-gcws-prod-bd3.usgovcloudapp.net:443
gr-gcws-prod-bn1.usgovcloudapp.net:443gr-gcws-prod-bn1.usgovcloudapp.net:443
gr-gcws-prod-dd3.usgovcloudapp.net:443gr-gcws-prod-dd3.usgovcloudapp.net:443
gr-gcws-prod-dm2.usgovcloudapp.net:443gr-gcws-prod-dm2.usgovcloudapp.net:443
gr-gcws-prod-phx20.usgovcloudapp.net:443gr-gcws-prod-phx20.usgovcloudapp.net:443
gr-gcws-prod-sn5.usgovcloudapp.net:443gr-gcws-prod-sn5.usgovcloudapp.net:443
login.live.com:443login.live.com:443
login.microsoftonline.us:443login.microsoftonline.us:443
management.core.usgovcloudapi.net:443management.core.usgovcloudapi.net:443
management.usgovcloudapi.net:443management.usgovcloudapi.net:443
maupdateaccountff.blob.core.usgovcloudapi.net:443maupdateaccountff.blob.core.usgovcloudapi.net:443
mscrl.microsoft.com:443mscrl.microsoft.com:443
ocsp.digicert.com:443ocsp.digicert.com:443
ocsp.msocsp.com:443ocsp.msocsp.com:443
ocsp.msocsp.com:80ocsp.msocsp.com:80
oneocsp.microsoft.com:80oneocsp.microsoft.com:80
oneocsp.microsoft.com:443oneocsp.microsoft.com:443
ocsp.verisign.com:443ocsp.verisign.com:443
rteventservice.trafficmanager.net:443rteventservice.trafficmanager.net:443
settings-win.data.microsoft.com:443settings-win.data.microsoft.com:443
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
v10.vortex-win.data.microsoft.com:443v10.vortex-win.data.microsoft.com:443
wdcp.microsoft.com:443wdcp.microsoft.com:443
wdcpalt.microsoft.com:443wdcpalt.microsoft.com:443
www.microsoft.com:443www.microsoft.com:443
www.msftconnecttest.com:443www.msftconnecttest.com:443
www.thawte.com:443www.thawte.com:443
global-dsms.dsms.core.usgovcloudapi.net:443global-dsms.dsms.core.usgovcloudapi.net:443