Azure uygulama iş yüklerinin güvenliğini sağlamak için, uygulamaların kendisinde kimlik doğrulama ve şifreleme gibi koruyucu ölçüleri kullanırsınız. Ayrıca, uygulamaları barındıran sanal makine (VM) ağlarına güvenlik katmanları da ekleyebilirsiniz. Katmanlar, kullanıcıların gelen akışlarını korur. Ayrıca, giden akışları uygulamanızın gerektirebileceği Internet 'e de koruırlar. Bu makalede Azure Güvenlik Duvarı ve Azure Application Gateway gibi Azure sanal ağ güvenlik hizmetleri, her bir hizmetin ne zaman kullanılacağı ve her ikisini de birleştiren ağ tasarımı seçenekleri açıklanmaktadır.
- Azure Güvenlik Duvarı , ağ adresı çevirisi (NAT)sunan, yönetilen bir yeni nesil güvenlik duvarıdır. Azure güvenlik duvarı, Internet protokolü (ıp) adresleri ve iletim denetimi protokolü ve kullanıcı Datagram protokolü (TCP/UDP) bağlantı noktalarında veya uygulama tabanlı HTTP (ler) veya SQL özniteliklerde paket filtrelemeyi temel alır. Azure Güvenlik Duvarı ayrıca kötü amaçlı IP adreslerini belirlemek için Microsoft Threat Intelligence 'ı uygular. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı belgeleri.
- azure güvenlik duvarı Premium , azure güvenlik duvarı standardının tüm işlevlerini ve TLS inceleme ve yetkisiz giriş algılama ve koruma sistemi (ıdps) gibi diğer özellikleri içerir.
- Azure Application Gateway , güvenli yuva KATMANı (SSL) şifrelemesi ve şifre çözme işlemleri gerçekleştiren, yönetilen bir Web trafiği yük DENGELEYICI ve http (S) tam ters proxy 'dir. Application Gateway Web trafiğini incelemek ve HTTP katmanındaki saldırıları algılamak için Web uygulaması güvenlik duvarını da kullanır. Daha fazla bilgi için Application Gateway belgelerinebakın.
- Azure Web uygulaması güvenlik duvarı (WAF) , Azure Application Gateway isteğe bağlı bir ektir. HTTP isteklerinin incelemesini sağlar ve web katmanında SQL ekleme veya siteler arası betik oluşturma gibi kötü amaçlı saldırıları engeller. Daha fazla bilgi için bkz. Web uygulaması güvenlik duvarı belgeleri.
Bu Azure hizmetleri tamamlayıcı. Birisi veya diğeri iş yükleriniz için en uygun olabilir veya ağ ve uygulama katmanlarında en iyi koruma için bunları birlikte kullanabilirsiniz. Uygulamanızın sanal ağı için en iyi güvenlik seçeneğini öğrenmek için aşağıdaki karar ağacını ve bu makaledeki örnekleri kullanın.
Azure Güvenlik Duvarı ve Azure Application Gateway farklı teknolojiler kullanır ve farklı akışların güvenli bir şekilde kullanılmasını destekler:
| Uygulama Flow | Azure Güvenlik Duvarı tarafından filtrelenebilir | Application Gateway WAF tarafından filtrelenebilir |
|---|---|---|
| Şirket içi/Internet 'ten Azure 'a HTTP (S) trafiği (gelen) | Yes | Yes |
| Azure 'dan şirket içi/internet 'e HTTP (S) trafiği (giden) | Yes | Hayır |
| HTTP olmayan trafik, gelen/giden | Yes | Hayır |
Uygulamanın gerektirdiği ağ akışlarına bağlı olarak, Tasarım uygulama başına temelinde farklı olabilir. Aşağıdaki diyagramda bir uygulama için önerilen yaklaşımı seçmeye yardımcı olan basitleştirilmiş bir karar ağacı sunulmaktadır. Karar, uygulamanın HTTP (S) veya başka bir protokol aracılığıyla yayımlanmasının ne olduğuna bağlıdır:
Bu makalede, akış grafiğindeki yaygın olarak önerilen tasarımlar ve daha az yaygın senaryolar için geçerli olan diğerleri ele alınacaktır:
- Azure Güvenlik Duvarı, sanal ağda hiçbir Web uygulaması olmadığında tek başına. Hem uygulamalara hem de giden trafiğe gelen trafiği denetler.
- Yalnızca Web uygulamaları sanal ağda olduğunda ve ağ güvenlik grupları (NSG 'ler) yeterli çıkış filtresi sunabileceğinden tek başına Application Gateway. NSG 'ler üzerinden Azure Güvenlik duvarının zengin işlevselliği nedeniyle bu senaryo genellikle önerilmez. Bu işlevsellik birçok saldırı senaryosunda (örneğin, veri akışı) engel olabilir, bu nedenle yukarıdaki akış grafiğinde bu senaryo açıklanmamıştır.
- En yaygın tasarımlardan biri olan Azure Güvenlik Duvarı ve paralel Application Gateway. Azure Application Gateway Web saldırılarına karşı HTTP (S) uygulamalarını ve diğer tüm iş yüklerini korumak ve giden trafiği filtrelemek için Azure Güvenlik Duvarı 'nı korumak istediğinizde bu bileşimi kullanın.
- Azure Güvenlik duvarının önüne Application Gateway, Azure Güvenlik duvarının tüm trafiği incelemesi, Web trafiğini korumak için WAF ve ISTEMCININ kaynak IP adresini bilmesi için uygulama. Azure güvenlik duvarı Premium ve TLS incelemesi sayesinde, bu tasarım uçtan uca SSL senaryosunu da destekler.
- Application Gateway önde gelen Azure Güvenlik Duvarı, Azure Güvenlik duvarının, trafiği Application Gateway ulaşmadan önce inceleme ve filtreleme yapmak istediğinizde. Azure Güvenlik Duvarı HTTPS trafiğinin şifresini çözemediğinden, Application Gateway eklemekte olduğu işlevsellik sınırlıdır. Bu senaryo yukarıdaki akış grafiğinde açıklanmamıştır.
Bu makalenin son bölümünde, önceki temel tasarımların çeşitlemeleri açıklanmaktadır. Bu çeşitlemeler şunları içerir:
- Şirket içi uygulama istemcileri.
- Hub ve bağlı bileşen ağları.
- Azure Kubernetes hizmeti (AKS) uygulamaları.
API Management ağ geçidi veya Azure ön kapısıgibi diğer ters ara sunucu hizmetleri ekleyebilirsiniz. Ya da Azure kaynaklarını üçüncü taraf ağ sanal gereçlerinegöre değiştirebilirsiniz.
Yalnızca Azure Güvenlik Duvarı
Sanal ağda WAF 'nin avantajlarından faydalanabilecek Web tabanlı iş yükleri yoksa yalnızca Azure Güvenlik Duvarı 'nı kullanabilirsiniz. Bu durumda tasarım basittir, ancak paket akışını gözden geçirmek daha karmaşık tasarımların anlaşılmasına yardımcı olur. Bu tasarımda, tüm gelen trafik UDRs aracılığıyla Azure Güvenlik Duvarı 'na gönderilir (Şirket içi veya diğer Azure sanal ağlardan gelen bağlantılar için) veya Azure Güvenlik duvarının genel IP adresine (Aşağıdaki diyagramda, genel İnternet bağlantıları için) yöneliktir. Aşağıdaki iletişim kutusunda gösterildiği gibi, Azure sanal ağları 'Nın giden trafiği UDRs aracılığıyla güvenlik duvarına gönderilir.
Aşağıdaki tabloda bu senaryo için trafik akışları özetlenmektedir:
| Akış | Application Gateway/WAF üzerinden gider | Azure Güvenlik Duvarı 'ndan geçer |
|---|---|---|
| Internet/onpree 'den Azure 'a HTTP (S) trafiği | Yok | Evet (aşağıya bakın) |
| Azure 'dan Internet 'e/onpreg 'ye HTTP (S) trafiği | YOK | Evet |
| Internet 'ten ve Azure 'a HTTP olmayan (S) trafik | YOK | Evet |
| Azure 'dan internet 'e/ona 'ya HTTP olmayan trafik | YOK | Evet |
Azure Güvenlik Duvarı gelen HTTP (ler) trafiğini göremez. Ancak, L3/L4 kuralları ve FQDN tabanlı uygulama kuralları uygulayabilecektir. Azure Güvenlik Duvarı, giden HTTP (S) trafiğini Azure Güvenlik Duvarı katmanına ve TLS incelemesini yapılandırıp yapılandırmadığınıza göre inceler:
- Azure Güvenlik Duvarı standardı, ağ kurallarında paketlerin Katman 3-4 özniteliklerini ve uygulama kurallarında ana bilgisayar HTTP üstbilgisini inceleyerek.
- Azure güvenlik duvarı Premium, diğer HTTP üstbilgilerini (kullanıcı aracısı gibi) inceleme ve daha derin paket analizi için TLS incelemesini etkinleştirme gibi özellikleri ekleyecek. Azure Güvenlik Duvarı, bir Web uygulaması güvenlik duvarıyla eşdeğer değildir. Sanal ağınızda Web iş yükleriniz varsa WAF kullanılması önemle önerilir.
Aşağıdaki pakette izlenecek örnek, bir istemcinin, genel İnternet 'ten VM tarafından barındırılan bir uygulamaya nasıl eriştiği gösterilmektedir. Diyagram basitlik için yalnızca bir VM içerir. Daha yüksek kullanılabilirlik ve ölçeklenebilirlik için, bir yük dengeleyicinin arkasında birden çok uygulama örneğine sahip olursunuz.
- İstemci, Azure Güvenlik duvarının genel IP adresiyle bağlantıyı başlatır:
- Kaynak IP adresi: Clientpıp
- Hedef IP adresi: Azfwpıp
- Azure Güvenlik Duvarı hedefı NAT (DNAT) kuralı , hedef IP adresini, sanal ağ IÇINDEKI uygulama IP adresine çevirir. Azure Güvenlik Duvarı ayrıca, DNAT varsa paketi de kaynak NAT 'lar (SNATs) . Daha fazla bilgi için bkz. Azure Güvenlik Duvarı bilinen sorunları. VM, gelen pakette aşağıdaki IP adreslerini görür:
- Kaynak IP adresi: 192.168.100.7
- Hedef IP adresi: 192.168.1.4
- VM, uygulama isteğini, kaynak ve hedef IP adreslerini geri çevirerek yanıtlar. Kaynak IP, kullanıcının IP adresine sahip olduğundan gelen akış için kullanıcı tanımlı bir yol (UDR)Azure Güvenlik Duvarı gerekir. 0.0.0.0/0 için diyagramda UDR giden bağlantılara, genel İnternet'e giden paketlerin ağ üzerinden Azure Güvenlik Duvarı.
- Kaynak IP adresi: 192.168.1.4
- Hedef IP adresi: 192.168.100.7
- Son Azure Güvenlik Duvarı SNAT ve DNAT işlemlerini geri almak ve yanıtı istemciye teslim etmektir:
- Kaynak IP adresi: AzFwPIP
- Hedef IP adresi: ClientPIP
Bu tasarımda, Azure Güvenlik Duvarı genel internetten gelen bağlantıları ve UDR kullanarak uygulama alt ağı VM'lerinden giden bağlantıları inceler.
IP adresi, Azure Güvenlik Duvarı hizmetinin arka uç IP adresiyle
192.168.100.7birlikte arka uçta dağıtan örneklerden biri.192.168.100.4Bu örnekler normalde Azure yöneticisi tarafından görünmez. Ancak aradaki fark, ağ sorunlarını giderme gibi bazı durumlarda faydalıdır.Trafik İnternet yerine şirket içi sanal özel ağdan (VPN) veya Azure ExpressRoute ağ geçidinden geliyorsa, istemci VM'nin IP adresine bağlantıyı başlatır. Güvenlik duvarının IP adresine bağlantıyı başlatmaz ve güvenlik duvarı varsayılan olarak Kaynak NAT'ı başlatmaz.
Application Gateway yalnızca
Bu tasarım, sanal ağ üzerinde yalnızca web uygulamalarının bulunduğu durumu kapsar ve giden trafiğiNSG'lerle incelemek, İnternet'e giden akışları korumak için yeterlidir.
Not
Giden akışları kontrol etmek için Azure Güvenlik Duvarı kullanılması (yalnızca NSG'ler yerine) veri sızma gibi bazı saldırı senaryolarını önleyene kadar iş yüklerinin yalnızca onaylanan URL listesine veri gönderdiğini doğrularsanız bu tasarım önerilmez.
Önceki tasarımdan yalnızca ana Azure Güvenlik Duvarı farkı, Application Gateway NAT ile yönlendirme cihazı olarak hareket Application Gateway olmasıdır. Tam ters uygulama ara sunucusu olarak davranır. Başka bir Application Gateway web oturumunu istemciden durdurur ve arka uç sunucularından biri ile ayrı bir oturum kurulur. İnternet'den gelen HTTP(S) bağlantıları, Azure'dan veya şirket içi Application Gateway özel IP adresine giden bağlantıların, İnternet'in genel IP adresine gönder gerekir. Azure VM'lerinden gelen dönüş trafiği standart sanal ağ yönlendirmesini tekrar Application Gateway (daha fazla ayrıntı için paket adımlarına bakın). Azure VM'lerinden giden internet akışları doğrudan İnternet'e gider.
Aşağıdaki tabloda trafik akışları özetlenmiştir:
| Akış | Application Gateway / WAF'ye gider | Azure Güvenlik Duvarı |
|---|---|---|
| İnternet'den/onprem'den Azure'a HTTP (S) trafiği | Yes | Yok |
| Azure'dan İnternet'e/onprem'e HTTP (S) trafiği | No | Yok |
| İnternet'den/onprem'den Azure'a HTTP olmayan trafik | No | Yok |
| Azure'dan İnternet'e/onprem'e HTTP olmayan trafik | No | Yok |
Aşağıdaki paket adım adım örneği, bir istemcinin vm tarafından barındırılan uygulamaya genel internetten nasıl erişeceklerini gösterir.
- İstemci, bağlantının genel IP adresine bağlantıyı Azure Application Gateway:
- Kaynak IP adresi: ClientPIP
- Hedef IP adresi: AppGwPIP
- İsteği Application Gateway örnek istemciden gelen bağlantıyı durdurur ve arka uçlardan biri ile yeni bir bağlantı kurulur. Arka uç, Application Gateway IP adresi olarak bu örneği görür. Bu Application Gateway, özgün istemci IP adresine sahip bir X-Forwarded-For HTTP üst bilgisi ekler.
- Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
- Hedef IP adresi: 192.168.1.4
- X-Forwarded-For üst bilgisi: ClientPIP
- VM, kaynak ve hedef IP adreslerini tersine çevirme yoluyla uygulama isteğini yanıtlar. VM, sanal makineye nasıl Application Gateway bilir, bu nedenle UDR'ye ihtiyacı yok.
- Kaynak IP adresi: 192.168.1.4
- Hedef IP adresi: 192.168.200.7
- Son olarak Application Gateway örneği istemciyi yanıtlar:
- Kaynak IP adresi: AppGwPIP
- Hedef IP adresi: ClientPIP
Azure Application Gateway, özgün istemcinin IP adresini içeren X-Forwarded-For üst bilgisi gibi paket HTTP üst bilgilerine meta veriler ekler. Bazı uygulama sunucularının coğrafi konuma özgü içerik veya günlüğe kaydetme için kaynak istemci IP adresine ihtiyacı vardır. Daha fazla bilgi için bkz. Uygulama ağ geçidi nasıl çalışır?
IP adresi, Azure Application Gateway hizmetinin arka uç IP adresiyle birlikte
192.168.200.7arka uçta dağıtan örneklerden biri.192.168.200.4Bu örnekler normalde Azure yöneticisi tarafından görünmez. Ancak aradaki fark, ağ sorunlarını giderme gibi bazı durumlarda faydalıdır.İstemci vpn veya ExpressRoute ağ geçidi üzerinden şirket içi bir ağdan geliyorsa akış benzerdir. Aradaki fark, istemcinin genel adres yerine Application Gateway IP adresine erişmesidir.
Güvenlik duvarı Application Gateway paralel olarak
Basitliği ve esnekliği nedeniyle, Application Gateway ve Azure Güvenlik Duvarı paralel olarak çalıştırarak en iyi senaryodur.
Sanal ağ üzerinde web ve web dışı iş yüklerinin bir karışımı varsa bu tasarımı gerçekleştirin. Azure WAF, web iş yüklerinin gelen trafiğini korur ve Azure Güvenlik Duvarı diğer uygulamalar için gelen trafiği inceler. Bu Azure Güvenlik Duvarı iş yükü türlerinden giden akışları kapsayacaktır.
İnternet'den gelen HTTP(S) bağlantıları, Azure'dan veya şirket içi Application Gateway http(S) bağlantılarının özel IP adresine genel IP adresine gönder Application Gateway. Standart sanal ağ yönlendirmesi paketleri Application Gateway hedef VM'lere ve hedef VM'lerden Application Gateway'ye gönderir (daha fazla ayrıntı için paket adım adım aşağıya bakın). GELEN HTTP olmayan bağlantılar için trafiğin Azure Güvenlik Duvarı'nin genel IP adresini hedeflemesi gerekir (genel İnternet'den geliyorsa) veya UDR'ler tarafından Azure Güvenlik Duvarı üzerinden (diğer Azure sanal ağlarından veya şirket içi ağlardan geliyorsa) gönderilir. Azure VM'lerinden giden tüm akışlar UDR'Azure Güvenlik Duvarı giden akışlara iletecek.
Aşağıdaki tabloda bu senaryo için trafik akışları özetlenmiştir:
| Akış | Application Gateway / WAF'ye gider | Azure Güvenlik Duvarı |
|---|---|---|
| İnternet'den/onprem'den Azure'a HTTP (S) trafiği | Yes | Hayır |
| Azure'dan İnternet'e/onprem'e HTTP (S) trafiği | Hayır | Yes |
| İnternet'den/onprem'den Azure'a HTTP olmayan trafik | Hayır | Yes |
| Azure'dan İnternet'e/onprem'e HTTP olmayan trafik | Hayır | Yes |
Bu tasarım NSG'lere göre çok daha ayrıntılı çıkış filtrelemesi sağlar. Uygulamaların belirli bir Azure Depolama hesabıyla bağlantıya ihtiyacı varsa, tam etki alanı adı (FQDN) tabanlıfiltreler kullanabilirsiniz. FQDN tabanlı filtrelerde uygulamalar, sahte depolama hesaplarına veri göndermez. Bu senaryo yalnızca NSG'ler kullanılarak engellenebilirdi. Bu tasarım genellikle giden trafiğin FQDN tabanlı filtreleme gerektirdiği durumlarda kullanılır. Örnek bir durum, Azure Kubernetes Services kümesinden çıkış trafiğini sınırlandırma durumudur.
Aşağıdaki diyagramda, dış istemciden gelen bağlantılar için trafik akışı göstermektedir:
Aşağıdaki diyagramda ağ VM'lerinden İnternet'e giden bağlantılar için trafik akışı göstermektedir. Bunun bir örneği arka uç sistemlerine bağlanmak veya işletim sistemi güncelleştirmelerini almaktır:
Her hizmet için paket akışı adımları, önceki tek başına tasarım seçeneklerindeki ile aynıdır.
Güvenlik duvarından önce Application Gateway
Bu seçenekte, gelen Web trafiği hem Azure Güvenlik Duvarı hem de WAF aracılığıyla gider. WAF, Web uygulaması katmanında koruma sağlar. Azure Güvenlik duvarı merkezi bir günlüğe kaydetme ve denetim noktası gibi davranır ve Application Gateway ile arka uç sunucuları arasındaki trafiği inceler. Application Gateway ve Azure Güvenlik Duvarı paralel olarak kalmaz, diğeri bundan sonra.
azure güvenlik duvarı Premium, bu tasarım, azure güvenlik duvarının, Application Gateway ve web arka ucu arasındaki şifrelenmiş trafik üzerinde ıdps 'leri yapmak üzere TLS incelemesi uyguladığı uçtan uca senaryoları destekleyebilir.
Bu tasarım, gelen istemci kaynak IP adreslerini bilmeleri gereken uygulamalar için uygundur. Örneğin, coğrafi konuma özgü içerikleri veya günlük kaydını sunar. Azure Güvenlik Duvarı, özgün kaynak IP adresini değiştirerek gelen trafiği Snalar. Azure Güvenlik Duvarı 'nın önündeki Application Gateway, gelen paketin kaynak IP adresini X-iletilmiş-for üst bilgisinde yakalar, böylece Web sunucusu bu BAŞLıKTAKI özgün IP adresini görebilir. Daha fazla bilgi için bkz. Application Gateway 'In nasıl çalıştığı.
Internet 'ten gelen HTTP bağlantılarının Azure 'dan veya Şirket içinden özel IP adresine Application Gateway, HTTP (S) bağlantılarının genel IP adresine gönderilmesi gerekir. Application Gateway UDRs 'den, paketlerin Azure Güvenlik Duvarı üzerinden yönlendirildiğinden emin olur (daha fazla ayrıntı için bkz. paketin daha fazla bilgi alın). Gelen HTTP olmayan bağlantılarda, trafiğin Azure Güvenlik duvarının genel IP adresini (genel Internet 'ten geliyorsa) hedeflemesi veya Azure Güvenlik Duvarı üzerinden UDRs tarafından (diğer Azure sanal ağları veya şirket içi ağlardan geliyorsa) gönderilmesi gerekir. Azure VM 'lerinin tüm giden akışları UDRs tarafından Azure Güvenlik Duvarı 'na iletilir.
Aşağıdaki tabloda bu senaryo için trafik akışları özetlenmektedir:
| Akış | Application Gateway/WAF üzerinden gider | Azure Güvenlik Duvarı 'ndan geçer |
|---|---|---|
| Internet/onpree 'den Azure 'a HTTP (S) trafiği | Yes | Yes |
| Azure 'dan Internet 'e/onpreg 'ye HTTP (S) trafiği | Hayır | Yes |
| Internet 'ten ve Azure 'a HTTP olmayan (S) trafik | Hayır | Yes |
| Azure 'dan internet 'e/ona 'ya HTTP olmayan trafik | Hayır | Yes |
Şirket içi veya Internet 'ten Azure 'a web trafiği için Azure Güvenlik Duvarı, WAF 'nin zaten izin verdiği akışları inceler. Application Gateway arka uç trafiğini (Application Gateway trafiği uygulama sunucularına) şifreleyip şifreetmediğine bağlı olarak, iki farklı senaryo olacaktır:
- Application Gateway, sıfır güvenmeyen ilkeleri (uçtan uca TLS şifrelemesi) izleyen trafiği şifreler ve Azure Güvenlik Duvarı şifreli trafik alır. Yine de Azure Güvenlik Duvarı standardı, ağ kurallarında L3/L4 filtrelemesi veya TLS Sunucu Adı Belirtme (SNı) üst bilgisini kullanan uygulama kurallarında FQDN filtrelemesi gibi inceleme kuralları uygulayabilecektir. Azure güvenlik duvarı Premium , ıdps ile URL tabanlı filtreleme gibi daha derin görünürlük sağlar.
- Application Gateway, uygulama sunucularına şifrelenmemiş trafik gönderiyorsa, Azure Güvenlik Duvarı gelen trafiği şifresiz metin olarak görür. Azure Güvenlik duvarında TLS incelemesi gerekli değildir.
- Azure Güvenlik duvarında ıDPS etkinse, HTTP ana bilgisayar üstbilgisinin hedef IP ile eşleştiğini doğrular. Bu amaçla, ana bilgisayar üstbilgisinde belirtilen FQDN için ad çözümlemesi gerekecektir. Bu ad çözümlemesi Azure DNS Özel Bölgeleri ve Azure DNS kullanılarak varsayılan Azure Güvenlik duvarı DNS ayarları ile elde edilebilir. Ayrıca, Azure Güvenlik Duvarı ayarlarında yapılandırılması gereken özel DNS sunucuları ile de elde edilebilir. (daha fazla bilgi için bkz. Azure güvenlik duvarı DNS Ayarlar.) Azure Güvenlik duvarının dağıtıldığı sanal ağa yönetici erişimi yoksa, ikinci yöntem tek olasılık olur. Azure Güvenlik duvarları, sanal WAN güvenli hub 'Larda dağıtılan bir örnektir.
Akışların geri kalanı (HTTP olmayan gelen trafik ve giden trafik) için, Azure Güvenlik Duvarı uygun olduğunda ıDPS incelemesi ve TLS incelemesi sağlayacaktır. Ayrıca, DNS tabanlı ağ kurallarında FQDN tabanlı filtreleme de sağlar.
Genel internet 'ten gelen ağ trafiği bu akışı izler:
- İstemci, Azure Application Gateway genel IP adresiyle bağlantıyı başlatır:
- Kaynak IP adresi: Clientpıp
- Hedef IP adresi: Appgwpıp
- Application Gateway örnek istemciden bağlantıyı sonlandırır ve arka uçlarından biriyle yeni bir bağlantı kurar.
192.168.1.0/24Application Gateway alt ağındaki UDR, paketi Azure Güvenlik Duvarı 'na iletir, ancak hedef IP 'yi Web uygulamasına korurken:- Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
- Hedef IP adresi: 192.168.1.4
- X-Iletilmiş-üst bilgi: Clientpıp
- Trafik özel bir IP adresine gittiğinden, Azure Güvenlik Duvarı trafiği SNAT yapmaz. Kurallar izin verirseniz, trafiği uygulama VM 'sine iletir. Daha fazla bilgi için bkz. Azure Güvenlik DUVARı SNAT.
- Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
- Hedef IP adresi: 192.168.1.4
- X-Iletilmiş-üst bilgi: Clientpıp
- VM, isteği, kaynak ve hedef IP adreslerini geri çevirerek yanıt verir. UDR,
192.168.200.0/24Application Gateway geri gönderilen paketi yakalar ve hedef IP 'yi Application Gateway koruyarak Azure Güvenlik Duvarı 'na yönlendirir.- Kaynak IP adresi: 192.168.1.4
- Hedef IP adresi: 192.168.200.7
- Burada, bir özel IP adresi olduğundan ve trafiği Application Gateway ileten Azure Güvenlik Duvarı trafiği SNAT değildir.
- Kaynak IP adresi: 192.168.1.4
- Hedef IP adresi: 192.168.200.7
- Son olarak, Application Gateway örnek istemciye yanıt verir:
- Kaynak IP adresi: Appgwpıp
- Hedef IP adresi: Clientpıp
VM 'lerden genel İnternet 'e giden akışlar, UDR tarafından tanımlanan Azure Güvenlik Duvarı aracılığıyla yapılır 0.0.0.0/0 .
Güvenlik duvarından sonra Application Gateway
Bu tasarım, Azure Güvenlik Duvarı 'Nın Application Gateway ulaşmadan önce kötü amaçlı trafiği filtrelemesine ve atlamasını sağlar. Örneğin, tehdit zeka tabanlı filtreleme gibi özellikler uygulayabilir. Diğer bir avantaj, uygulamanın hem gelen hem de giden trafik için aynı genel IP adresini aldığı bir avantajdır.
Bu senaryoda sınırlı avantaj vardır çünkü Azure Güvenlik Duvarı yalnızca Application Gateway giden şifrelenmiş trafiği görürler. Bu tasarımın tercih edildiği senaryolar olabilir. Bir durum, ağda daha önce başka bir WAF ise (örneğin, Azure ön kapılı). Ya da birçok genel IP adresi gerekliyse tasarım tercih edilir.
Genel Internet 'ten gelen HTTP (S) akışı, Azure Güvenlik duvarının genel IP adresini hedeflemelidir ve Azure Güvenlik Duvarı, paketleri Application Gateway özel IP adresine DNAT alacak. Diğer Azure sanal ağları veya şirket içi ağlardan, HTTP (S) trafiğinin Application Gateway IP 'ye gönderilmesi ve UDRs ile Azure Güvenlik Duvarı üzerinden iletilmesi gerekir. Standart VNet yönlendirmesi, Azure VM 'lerinden döndürülen trafiğin Application Gateway, DNAT kuralları kullanılıyorsa Application Gateway Azure Güvenlik Duvarı 'na geri dönmesini sağlar. On-Prem veya Application Gateway alt ağındaki Azure UDRs trafiği için kullanılmalıdır (daha fazla ayrıntı için bkz. paketin daha fazla bilgi Azure VM 'lerinden internet 'e giden tüm trafik, UDRs tarafından Azure Güvenlik Duvarı üzerinden gönderilir.
Aşağıdaki tabloda bu senaryo için trafik akışları özetlenmektedir:
| Akış | Application Gateway/WAF üzerinden gider | Azure Güvenlik Duvarı 'ndan geçer |
|---|---|---|
| Internet/onpree 'den Azure 'a HTTP (S) trafiği | Yes | Evet (aşağıya bakın) |
| Azure 'dan Internet 'e/onpreg 'ye HTTP (S) trafiği | Hayır | Yes |
| Internet 'ten ve Azure 'a HTTP olmayan (S) trafik | Hayır | Yes |
| Azure 'dan internet 'e/ona 'ya HTTP olmayan trafik | Hayır | Yes |
Gelen HTTP trafiği için, Azure Güvenlik Duvarı genellikle trafiğin şifresini çözmez. Bunun yerine, IP tabanlı filtreleme veya HTTP üst bilgilerini kullanma gibi TLS denetlemesi gerektirmeyen ıDPS ilkelerini uygular.
Uygulama, Web trafiğinin özgün kaynak IP adresini göremez; Azure Güvenlik Duvarı, sanal ağa gelen paketleri bir daha sayırlar. Bu sorundan kaçınmak için, güvenlik duvarının önünde Azure ön kapısını kullanın. Azure ön kapısı, istemcinin IP adresini Azure sanal ağını girmeden önce HTTP üstbilgisi olarak çıkarır.
Genel internet 'ten gelen ağ trafiği bu akışı izler:
- İstemci, Azure Güvenlik duvarının genel IP adresiyle bağlantıyı başlatır:
- Kaynak IP adresi: Clientpıp
- Hedef IP adresi: Azfwpıp
- Azure Güvenlik Duvarı, genellikle TCP 443 olan Web bağlantı noktasını, Application Gateway örneğinin özel IP adresine yönelik olarak NAT. Azure Güvenlik Duvarı, DNAT oluştururken de SNATs. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı bilinen sorunları:
- Kaynak IP adresi: 192.168.100.7 (Azure Güvenlik Duvarı örneğinin özel IP adresi)
- Hedef IP adresi: 192.168.200.4
- Application Gateway, bağlantıyı işleyen örnek ile arka uç sunucularından biri arasında yeni bir oturum oluşturur. İstemcinin özgün IP adresi pakette değil:
- Kaynak IP adresi: 192.168.200.7 (Application Gateway örneğinin özel IP adresi)
- Hedef IP adresi: 192.168.1.4
- X-Iletilmiş-üst bilgi: 192.168.100.7
- VM, Application Gateway, kaynak ve hedef IP adreslerini geri çevirerek yanıt verir:
- Kaynak IP adresi: 192.168.1.4
- Hedef IP adresi: 192.168.200.7
- Application Gateway, Azure Güvenlik Duvarı örneğinin SNAT kaynak IP adresine yanıt verir. Bağlantı, gibi belirli bir Application Gateway örneğinden geliyor olsa da
.7Azure Güvenlik Duvarı, Application Gateway Iç IP adresini.4kaynak IP olarak görür:- Kaynak IP adresi: 192.168.200.4
- Hedef IP adresi: 192.168.100.7
- Son olarak, Azure Güvenlik Duvarı SNAT ve DNAT 'yi geri alır ve istemciye yanıt verir:
- Kaynak IP adresi: Azfwpıp
- Hedef IP adresi: Clientpıp
Application Gateway, uygulamalar için yapılandırılmış bir dinleyicilerine sahip olmasa da, Microsoft 'un yönetebilmesi için genel bir IP adresi gerekir.
Not
Azure 0.0.0.0/0 güvenlik duvarını gösteren Application Gateway alt ağında varsayılan bir yol, azure Application Gateway doğru çalışması için gereken denetim düzlemi trafiğini bozacağından desteklenmez.
Şirket içi istemciler
Önceki tasarımların hepsi, genel İnternet 'ten gelen uygulama istemcilerini gösterir. Şirket içi ağlar uygulamalara da erişir. Yukarıdaki bilgilerin ve trafik akışlarının çoğu Internet istemcileriyle aynıdır, ancak bazı önemli farklılıklar vardır:
- Bir VPN Gateway veya ExpressRoute ağ geçidi, Azure Güvenlik Duvarı veya Application Gateway önde bulunur.
- WAF, Application Gateway özel IP adresini kullanır.
- Azure Güvenlik Duvarı özel IP adresleri için DNAT 'yi desteklemez. Bu nedenle, VPN veya ExpressRoute ağ geçitlerinden Azure Güvenlik Duvarı 'na gelen trafiği göndermek için UDRs 'yi kullanmanız gerekir.
- Azure Application Gateway ve Azure Güvenlik Duvarıiçin zorlamalı tünelleme etrafında uyarıları doğruladığınızdan emin olun. İş yükünüzün genel İnternet 'e giden bağlantısı olması gerekmese de,
0.0.0.0/0Şirket içi ağa işaret eden Application Gateway gibi bir varsayılan yol ekleyemezsiniz veya denetim trafiği kesilir. Azure Application Gateway için, varsayılan yolun genel İnternet 'e işaret etmek gerekir.
Aşağıdaki diyagramda Azure Application Gateway ve Azure Güvenlik Duvarı paralel tasarımı gösterilmektedir. Uygulama istemcileri, VPN veya ExpressRoute üzerinden Azure 'a bağlı bir şirket içi ağdan gelir:
Tüm istemciler şirket içinde veya Azure 'da bulunsa bile, Azure Application Gateway ve Azure Güvenlik Duvarı 'Nın her ikisinin de genel IP adresleri olması gerekir. Genel IP adresleri Microsoft 'un Hizmetleri yönetmesine izin verir.
Hub ve bağlı bileşen topolojisi
Bu makaledeki tasarımlar, bir hub ve bağlı bileşen topolojisinde hala geçerlidir. Merkezi bir hub sanal ağındaki paylaşılan kaynaklar, sanal ağ eşlemeleri aracılığıyla ayrı bağlı olan sanal ağlarda bulunan uygulamalara bağlanır.
Bu topolojinin bazı hususları şunlardır:
- Azure Güvenlik Duvarı, merkezi hub sanal ağında dağıtılır. Uygulama takımları genellikle Azure uygulama ağ geçitleri veya Azure API Management ağ geçitleri gibi bileşenleri yönetir. Bu bileşenler, bağlı olan sanal ağlarda dağıtılır.
- Bağlı ağlardaki UDRs 'ye özel dikkat edin: bir alt ağdaki uygulama sunucusu, önceki örneklerde yer alan adres gibi belirli bir Azure Güvenlik Duvarı örneğinden trafik aldığında
192.168.100.7, döndürülen trafiği aynı örneğe geri göndermelidir. Bağlı olan bir UDR, hub 'a yönelik bir sonraki trafik paketini Azure Güvenlik Duvarı IP adresine (192.168.100.4Yukarıdaki diyagramlarda) ayarlarsa, dönüş paketleri farklı bir Azure Güvenlik Duvarı örneğine çıkabilir ve bu da asimetrik yönlendirmeye yol açabilir. Azure Güvenlik Duvarı aracılığıyla hub 'daki paylaşılan hizmetlere trafik göndermek için bağlı olan VNET 'lerde UDRs varsa, bu UDRs Azure Güvenlik Duvarı alt ağının önekini içermez. - Önceki öneri, Application Gateway alt ağına ve hub VNet 'e dağıtılabilen diğer tüm ağ sanal gereçlerine ve ters proxy 'lerine eşit olarak uygulanır.
- Sonraki atlama türü ile statik yollarla Application Gateway veya Azure Güvenlik Duvarı alt ağları için bir sonraki atlama ayarlayamazsınız
Virtual Network. Bu sonraki atlama türü, sanal ağ eşayarları arasında değil yalnızca yerel VNet 'te geçerlidir. Kullanıcı tanımlı yollar ve sonraki atlama türleri hakkında daha fazla bilgi için bkz. sanal ağ trafiği yönlendirme.
Aşağıdaki diyagramda, bir bağlı olan trafiği bir Azure Güvenlik duvarının ALB 'ye geri nasıl geri göndereceğini gösterilmektedir. Bu kurulum asimetrik yönlendirmeye neden olur:
Bu sorunu çözmek için, Azure Güvenlik Duvarı alt ağı olmadan, ancak yalnızca paylaşılan hizmetlerin bulunduğu alt ağlarda bulunan UDRs 'yi tanımlayın. Örnekte, bağlı olan doğru UDR yalnızca 192.168.1.0/24 içermelidir. Bu, kırmızı olarak işaretlenmiş tüm 192.168.0.0/16 içermemelidir.
Diğer Azure ürünleriyle tümleştirme
Azure Güvenlik Duvarı ve Azure Application Gateway diğer Azure ürünleriyle ve hizmetleriyle tümleştirebilirsiniz.
API Management ağ geçidi
API daraltma veya kimlik doğrulama proxy 'si gibi işlevler sağlamak için API Management ağ geçidi gibi ters ara sunucu hizmetlerini önceki tasarımlarla tümleştirin. API Management bir ağ geçidini tümleştirmek, tasarımları büyük ölçüde değiştirmez. Ana fark, tek Application Gateway ters ara sunucu yerine, her birinin arkasında iki adet ters proxy 'nin bulunduğu bir yöndir.
Daha fazla bilgi için bkz. sanal bir ağda API Management ve Application Gateway tümleştirme Için tasarım kılavuzu ve mikro hizmetler Için uygulama deseninin API ağ geçitleri.
Azure Kubernetes Service
AKS kümesinde çalışan iş yükleri için Azure Application Gateway kümeden bağımsız olarak dağıtabilirsiniz. Ya da Azure Application Gateway giriş denetleyicisi ' nikullanarak aks kümesiyle tümleştirilebilir. Kubernetes düzeylerinde belirli nesneleri yapılandırırken (hizmetler ve giriş noktaları gibi), Application Gateway ek el ile adımlara gerek kalmadan otomatik olarak uyum sağlar.
Azure Güvenlik Duvarı, AKS küme güvenliğine önemli bir rol oynar. Yalnızca IP adresi değil FQDN 'ye göre AKS kümesinden çıkış trafiğini filtrelemek için gerekli işlevselliği sunar. Daha fazla bilgi için bkz. AKS kümesi düğümleri Için denetim çıkış trafiği.
Bir AKS kümesini korumak için Application Gateway ve Azure Güvenlik duvarını birleştirdiğinizde, paralel tasarım seçeneğinin kullanılması en iyisidir. WAF ile Application Gateway, kümedeki Web uygulamalarına gelen bağlantı isteklerini işler. Azure Güvenlik Duvarı yalnızca açıkça izin verilen giden bağlantılara izin verir.
Azure Front Door
Azure ön kapı işlevselliği, kısmen Azure Application Gateway ile çakışıyor. Örneğin, her iki hizmet de Web uygulaması güvenlik duvarı, SSL boşaltma ve URL tabanlı yönlendirme sunar. Bir temel fark, Azure Application Gateway sanal bir ağ içindeyken Azure ön kapısının küresel, merkezi olmayan bir hizmettir.
Bazen Application Gateway merkezi olmayan bir Azure ön kapısı ile değiştirerek sanal ağ tasarımını basitleştirebilirsiniz. Burada açıklanan çoğu tasarım, Azure Güvenlik duvarını Azure ön kapısının önüne yerleştirme seçeneği dışında geçerli kalır.
İlginç bir kullanım örneği, sanal ağınızdaki Application Gateway önünde Azure Güvenlik Duvarı 'Nı kullanmaktır. Daha önce açıklandığı gibi, X-Forwarded-For Application Gateway eklenen üst bilgi, ISTEMCININ IP adresini değil, güvenlik duvarı ÖRNEĞININ IP adresini içerir. Geçici bir çözüm olarak, X-Forwarded-For trafiğin sanal ağa girmeden önce bir üst bilgi olarak ISTEMCININ IP adresini eklemek ve Azure Güvenlik Duvarı 'na isabet edebilmesi için güvenlik duvarının önündeki Azure ön kapısı kullanılır.
İki hizmet arasındaki farklar veya her birinin ne zaman kullanılacağı hakkında daha fazla bilgi için bkz. Azure ön kapısı hakkında sık sorulan sorular.
Diğer ağ sanal cihazları
Microsoft ürünleri, Azure 'da Web uygulaması güvenlik duvarı veya yeni nesil güvenlik duvarı işlevselliği uygulamak için tek seçenek değildir. Çok çeşitli Microsoft iş ortakları, ağ sanal gereçleri (NVA 'lar) sağlar. Kavramlar ve tasarımlar temelde bu makaledeki ile aynıdır, ancak bazı önemli noktalar vardır:
- Yeni nesil güvenlik duvarı için iş ortağı NVA 'lar, Azure Güvenlik Duvarı tarafından desteklenmeyen NAT yapılandırmalarında daha fazla denetim ve esneklik sunabilir. Örnek olarak, internet 'ten SNAT olmadan DNAT 'dan veya Azure 'dan DSM 'leri içerir.
- Azure tarafından yönetilen NVA 'lar (Application Gateway ve Azure Güvenlik Duvarı gibi), kullanıcıların birçok gereçde ölçeklenebilirlik ve dayanıklılık işlemesi gereken NVA 'lar ile karşılaştırıldığında karmaşıklığı azaltır.
- Azure 'da NVA 'lar kullanırken, bu gereçler sanal ağda çalışan uygulamalar için bir performans sorunu olması için etkin-etkin ve Otomatik ölçeklendirme kurulumları kullanın.
Sonraki adımlar
Bileşen teknolojileri hakkında daha fazla bilgi edinin:
- Azure Application Gateway nedir?
- Azure Güvenlik Duvarı nedir?
- Azure Front Door nedir?
- Azure Kubernetes Service
- Azure sanal ağ nedir?
- Azure Web Uygulaması Güvenlik Duvarı nedir?
İlgili kaynaklar
İlgili mimarileri keşfet:
- Güvenli hibrit ağ uygulama
- Güvenli bir şekilde yönetilen web uygulamaları
- Microsoft Teams kanal bot ve web uygulamanızın güvenlik duvarının arkasındaki güvenliğini sağlama
- Azure 'da tüketici sistem durumu portalı
- Azure’daki son derece hassas olan IaaS uygulamalarına yönelik güvenlik konuları
- Azure'da çok kiracılı SaaS
- App Services Ortamı kullanarak kurumsal dağıtım
- App Services Ortamı kullanarak yüksek oranda kullanılabilirliğe sahip kurumsal dağıtım
- Azure Kubernetes Service (AKS) kümesi için temel mimari