Azure Güvenlik Duvarı Yöneticisi ilkesine genel bakış
Güvenlik Duvarı İlkesi, Azure Güvenlik Duvarı yapılandırmak için önerilen yöntemdir. Güvenli Sanal Hub'lar ve Hub Sanal Ağ'lerdeki birden çok Azure Güvenlik Duvarı örneğinde kullanılabilen genel bir kaynaktır. İlkeler bölgeler ve abonelikler arasında çalışır.
İlke oluşturma ve ilişkilendirme
İlke, Azure portalı, REST API, şablonlar, Azure PowerShell, CLI ve Terraform gibi çeşitli yollarla oluşturulabilir ve yönetilebilir.
Ayrıca, ilkeleri oluşturmak için portalı veya Azure PowerShell'i kullanarak mevcut Klasik kuralları Azure Güvenlik Duvarı geçirebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı yapılandırmalarını Azure Güvenlik Duvarı ilkesine geçirme.
İlkeler bir veya daha fazla sanal hub veya sanal ağ ile ilişkilendirilebilir. Güvenlik duvarı, hesabınızla ilişkili herhangi bir abonelikte ve herhangi bir bölgede olabilir.
Klasik kurallar ve ilkeler
Azure Güvenlik Duvarı hem Klasik kuralları hem de ilkeleri destekler, ancak ilkeler önerilen yapılandırmadır. Aşağıdaki tablo ilkeleri ve klasik kuralları karşılaştırır:
| Konu | İlke | Klasik kurallar |
|---|---|---|
| Contains | NAT, Ağ, Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil), IDPS, TLS İncelemesi, Web Kategorileri, URL Filtreleme | NAT, Ağ ve Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil) |
| Korur | Sanal hub'lar ve Sanal Ağ | Yalnızca Sanal Ağ |
| Portal deneyimi | Güvenlik Duvarı Yöneticisi'nin kullanıldığı merkezi yönetim | Tek başına güvenlik duvarı deneyimi |
| Birden çok güvenlik duvarı desteği | Güvenlik Duvarı İlkesi, güvenlik duvarları arasında kullanılabilen ayrı bir kaynaktır | Kuralları el ile dışarı ve içeri aktarma veya üçüncü taraf yönetim çözümlerini kullanma |
| Fiyatlandırma | Güvenlik duvarı ilişkilendirmesi temelinde faturalandırılır. Bkz . Fiyatlandırma. | Ücretsiz |
| Desteklenen dağıtım mekanizmaları | Portal, REST API, şablonlar, Azure PowerShell ve CLI | Portal, REST API, şablonlar, PowerShell ve CLI. |
Temel, Standart ve Premium ilkeleri
Azure Güvenlik Duvarı Temel, Standart ve Premium ilkelerini destekler. Aşağıdaki tabloda bu ilkeler arasındaki fark özetlemektedir:
| Politika türü | Özellik desteği | Güvenlik duvarı SKU desteği |
|---|---|---|
| Temel ilke | NAT kuralları, Ağ kuralları, Uygulama kuralları IP Grupları Tehdit Bilgileri (uyarılar) |
Temel |
| Standart ilke | NAT kuralları, Ağ kuralları, Uygulama kuralları Özel DNS, DNS ara sunucusu IP Grupları Web Kategorileri Tehdit Bilgisi |
Standart veya Premium |
| Premium ilke | Tüm Standart özellik desteğinin yanı sıra: TLS İncelemesi Web Kategorileri URL Filtreleme IDPS |
Premium |
Hiyerarşik ilkeler
Yeni ilkeler sıfırdan oluşturulabilir veya mevcut ilkelerden devralınabilir. Devralma, DevOps'un kuruluş tarafından zorunlu kılınan temel ilkenin üzerinde yerel güvenlik duvarı ilkeleri oluşturmasına olanak tanır.
Boş olmayan üst ilkelerle oluşturulan ilkeler, tüm kural koleksiyonlarını üst ilkeden devralır. Üst ilke ve alt ilke aynı bölgede olmalıdır. Bir güvenlik duvarı ilkesi, nerede depolandıklarından bağımsız olarak bölgeler arasında güvenlik duvarlarıyla ilişkilendirilebilir.
Üst ilkeden devralınan ağ kuralı koleksiyonları her zaman yeni bir ilkenin parçası olarak tanımlanan ağ kuralı koleksiyonları üzerinde önceliklendirilir. Aynı mantık, uygulama kuralı koleksiyonları için de geçerlidir. Ancak, ağ kuralı koleksiyonları her zaman devralmadan bağımsız olarak uygulama kuralı koleksiyonlarından önce işlenir.
Tehdit Bilgileri modu da üst ilkeden devralınır. Bu davranışı geçersiz kılmak için tehdit bilgileri modunuzu farklı bir değere ayarlayabilirsiniz, ancak kapatamazsınız. Yalnızca daha katı bir değerle geçersiz kılmak mümkündür. Örneğin, üst ilkeniz yalnızca Uyarı olarak ayarlandıysa, bu yerel ilkeyi Uyarı ve reddetme olarak yapılandırabilirsiniz.
Tehdit Bilgileri modu gibi Tehdit Bilgileri izin verilenler listesi de üst ilkeden devralınır. Alt ilke izin verilenler listesine daha fazla IP adresi ekleyebilir.
NAT kuralı koleksiyonları belirli bir güvenlik duvarına özgü olduğundan devralınmıyor.
Devralma ile, üst ilkedeki tüm değişiklikler ilişkili güvenlik duvarı alt ilkelerine otomatik olarak uygulanır.
Yerleşik yüksek kullanılabilirlik
Yüksek kullanılabilirlik yerleşiktir, bu nedenle yapılandırmanız gereken bir şey yoktur. Herhangi bir bölgede bir Azure Güvenlik Duvarı İlkesi nesnesi oluşturabilir ve bunu aynı Azure AD kiracısı altındaki birden çok Azure Güvenlik Duvarı örneğine genel olarak bağlayabilirsiniz. İlkeyi oluşturduğunuz bölge devre dışı kalırsa ve eşleştirilmiş bir bölgeye sahipse ARM(Azure Resource Manager) nesne meta verileri otomatik olarak ikincil bölgeye yük devreder. Yük devretme sırasında veya çifti olmayan tek bölge başarısız durumda kalırsa, Azure Güvenlik Duvarı İlkesi nesnesini değiştiremezsiniz. Ancak, Güvenlik Duvarı İlkesi'ne bağlı Azure Güvenlik Duvarı örnekleri çalışmaya devam eder. Daha fazla bilgi için bkz . Azure'da bölgeler arası çoğaltma: İş sürekliliği ve olağanüstü durum kurtarma.
Fiyatlandırma
İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesine sahip bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi Fiyatlandırması.
Sonraki adımlar
- Azure Güvenlik Duvarı dağıtmayı öğrenin - Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı Manager ile bulut ağınızın güvenliğini sağlama
- Azure ağ güvenliği hakkında daha fazla bilgi edinin