Öğretici: Azure Güvenlik Duvarı Manager kullanarak sanal hub'ınızın güvenliğini sağlama

  • Makale

Azure Güvenlik Duvarı Yöneticisi'ni kullanarak özel IP adreslerine, Azure PaaS'a ve İnternet'e yönelik bulut ağ trafiğinizin güvenliğini sağlamak için güvenli sanal hub'lar oluşturabilirsiniz. Güvenlik duvarına trafik yönlendirme otomatiktir, bu nedenle kullanıcı tanımlı yollar (UDR) oluşturmanıza gerek yoktur.

Güvenlik Duvarı Yöneticisi, merkez sanal ağ mimarisini de destekler. Güvenli sanal hub ile hub sanal ağ mimarisi türlerinin karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi mimari seçenekleri nelerdir?

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Uç sanal ağını oluşturma
  • Güvenli bir sanal hub oluşturma
  • Merkez ve uç sanal ağlarını Bağlan
  • Trafiği hub'ınıza yönlendirme
  • Sunucuları dağıtma
  • Güvenlik duvarı ilkesi oluşturma ve hub'ınızın güvenliğini sağlama
  • Güvenlik duvarını test etme

Önemli

Bu öğreticideki yordam, yeni bir Azure Sanal WAN güvenli hub oluşturmak için Azure Güvenlik Duvarı Yöneticisi'ni kullanır. Mevcut bir hub'ı yükseltmek için Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz, ancak Azure Güvenlik Duvarı için Azure Kullanılabilirlik Alanları yapılandıramazsınız. Sanal WAN hub'da Azure Güvenlik Duvarı yapılandırma bölümünde açıklandığı gibi Azure portalını kullanarak mevcut bir hub'ı güvenli bir hub'a dönüştürmek de mümkündür. Ancak Azure Güvenlik Duvarı Yöneticisi gibi Kullanılabilirlik Alanları yapılandıramazsınız. Mevcut bir hub'ı yükseltmek ve Azure Güvenlik Duvarı için Kullanılabilirlik Alanları belirtmek için (önerilir) Öğretici: Azure PowerShell kullanarak sanal hub'ınızın güvenliğini sağlama makalesindeki yükseltme yordamını izlemeniz gerekir.

Diagram showing the secure cloud network.

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Merkez-uç mimarisi oluşturma

İlk olarak, sunucularınızı yerleştirebileceğiniz uç sanal ağları oluşturun.

İki uçlu sanal ağ ve alt ağ oluşturma

İki sanal ağın her birinde bir iş yükü sunucusu vardır ve güvenlik duvarı tarafından korunur.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Sanal ağ'ı arayın, seçin ve Oluştur'u seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu için Yeni oluştur'u seçin ve ad olarak fw-manager-rg yazın ve Tamam'ı seçin.
  5. Sanal ağ adı için Spoke-01 yazın.
  6. Bölge için Doğu ABD'yi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sayfasında İleri'yi seçin.
  9. IPv4 adres alanı ekle'nin altında varsayılan 10.0.0.0/16'yı kabul edin.
  10. Alt ağlar'ın altında varsayılan'ı seçin.
  11. Ad alanına Workload-01-SN yazın.
  12. Başlangıç adresi için 10.0.1.0/24 yazın.
  13. Kaydet'i seçin.
  14. Gözden geçir ve oluştur’u seçin.
  15. Oluştur'u belirleyin.

fw-manager-rg kaynak grubunda benzer bir sanal ağ oluşturmak için bu yordamı yineleyin:

Ad: Spoke-02
Adres alanı: 10.1.0.0/16
Alt ağ adı: Workload-02-SN
Başlangıç adresi: 10.1.1.0/24

Güvenli sanal hub oluşturma

Güvenlik Duvarı Yöneticisi'nı kullanarak güvenli sanal hub'ınızı oluşturun.

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Arama kutusuna Güvenlik Duvarı Yöneticisi yazın ve Güvenlik Duvarı Yöneticisi'ni seçin.

  3. Güvenlik Duvarı Yöneticisi sayfasında Dağıtımlar'ın altında Sanal hub'lar'ı seçin.

  4. Güvenlik Duvarı Yöneticisi'ne | Sanal hub'lar sayfasında Yeni güvenli sanal hub oluştur'u seçin.

    Screenshot of creating a new secured virtual hub.

  5. Aboneliğinizi seçin.

  6. Kaynak grubu için fw-manager-rg öğesini seçin.

  7. Bölge için Doğu ABD'yi seçin.

  8. Güvenli sanal hub adı için Hub-01 yazın.

  9. Hub adres alanı için 10.2.0.0/16 yazın.

  10. Yeni vWAN'ı seçin.

  11. Yeni sanal WAN adı için Vwan-01 yazın.

  12. Tür için Standart'ı seçin.

  13. Güvenilir Güvenlik İş Ortaklarını etkinleştirmek için VPN ağ geçidini dahil et onay kutusunu temizlenmiş olarak bırakın.

    Screenshot of creating a new virtual hub with properties.

  14. İleri: Azure Güvenlik Duvarı'i seçin.

  15. Varsayılan Azure Güvenlik Duvarı Enabled ayarını kabul edin.

  16. Azure Güvenlik Duvarı katman için Standart'ı seçin.

  17. İstediğiniz Kullanılabilirlik Alanları birleşimini seçin.

Önemli

Sanal WAN, hub'ın içinde kullanıma sunulan merkezlerden ve hizmetlerden oluşan bir koleksiyondur. İhtiyacınız olan kadar Sanal WAN dağıtabilirsiniz. Sanal WAN hub'ında VPN, ExpressRoute gibi birden çok hizmet vardır. Bölge Kullanılabilirlik Alanları destekliyorsa, bu hizmetlerin her biri Azure Güvenlik Duvarı dışında Kullanılabilirlik Alanları arasında otomatik olarak dağıtılır. Azure Sanal WAN dayanıklılığıyla uyumlu hale getirmek için tüm kullanılabilir Kullanılabilirlik Alanları seçmeniz gerekir.

Screenshot of configuring Azure Firewall parameters.

  1. Genel IP adresi sayısını belirtin metin kutusuna 1 yazın.

  2. Güvenlik Duvarı İlkesi'nin altında Varsayılan Reddetme İlkesi'nin seçili olduğundan emin olun. Bu makalenin devamında ayarlarınızı iyileştirebilirsiniz.

  3. İleri: Güvenlik İş Ortağı Sağlayıcısı'nı seçin.

    Screenshot of configuring Trusted Partners parameters.

  4. Varsayılan Güvenilen Güvenlik OrtağıDevre Dışı ayarını kabul edin ve İleri: Gözden geçir + oluştur'u seçin.

  5. Oluştur'u belirleyin.

    Screenshot of creating the Firewall instance.

Not

Güvenli bir sanal hub oluşturmak 30 dakika kadar sürebilir.

Dağıtım tamamlandıktan sonra güvenlik duvarı genel IP adresini bulabilirsiniz.

  1. Güvenlik Duvarı Yöneticisi'ne tıklayın.
  2. Sanal hub'lar'ı seçin.
  3. hub-01'i seçin.
  4. AzureFirewall_Hub-01'i seçin.
  5. Daha sonra kullanmak için genel IP adresini not edin.

Merkez ve uç sanal ağlarını Bağlan

Artık merkez-uç sanal ağlarını eşleyebilirsiniz.

  1. fw-manager-rg kaynak grubunu ve ardından Vwan-01 sanal WAN'ını seçin.

  2. Bağlan ivity bölümünde Sanal ağ bağlantıları'nı seçin.

    Screenshot of adding Virtual Network connections.

  3. Bağlantı ekle'yi seçin.

  4. Bağlan ion adı için hub-spoke-01 yazın.

  5. Hubs için Hub-01'i seçin.

  6. Kaynak grubu için fw-manager-rg öğesini seçin.

  7. Sanal ağ için Uç-01'i seçin.

  8. Oluştur'u belirleyin.

  9. Spoke-02 sanal ağını bağlamak için tekrarlayın: bağlantı adı - hub-spoke-02.

Sunucuları dağıtma

  1. Azure portalında Kaynak oluştur'u seçin.

  2. Popüler listesinden Windows Server 2019 Datacenter'ı seçin.

  3. Sanal makine için şu değerleri girin:

    Ayar Value
    Kaynak grubu fw-manager-rg
    Virtual machine name Srv-workload-01
    Bölge (ABD) Doğu ABD)
    Yönetici istrator kullanıcı adı kullanıcı adı yazın
    Parola parola yazın

  4. Gelen bağlantı noktası kuralları'nın altında, Genel gelen bağlantı noktaları için Yok'a tıklayın.

  5. Diğer varsayılanları kabul edin ve İleri: Diskler'i seçin.

  6. Disk varsayılanlarını kabul edin ve İleri: Ağ'ı seçin.

  7. Sanal ağ için Uç-01'i ve alt ağ için Workload-01-SN'yi seçin.

  8. Genel IP için Yok'a tıklayın.

  9. Diğer varsayılanları kabul edin ve İleri: Yönetim'i seçin.

  10. İleri:İzleme'yi seçin.

  11. Önyükleme tanılamasını devre dışı bırakmak için Devre Dışı Bırak'ı seçin. Diğer varsayılanları kabul edin ve Gözden geçir + oluştur'u seçin.

  12. Özet sayfasındaki ayarları gözden geçirin ve Oluştur'u seçin.

Srv-Workload-02 adlı başka bir sanal makineyi yapılandırmak için aşağıdaki tabloda yer alan bilgileri kullanın. Yapılandırmanın geri kalanı Srv-workload-01 sanal makinesiyle aynıdır.

Ayar Value
Sanal ağ Uç-02
Alt ağ İş Yükü-02-SN

Sunucular dağıtıldıktan sonra bir sunucu kaynağı seçin ve Ağ'da her sunucunun özel IP adresini not edin.

Güvenlik duvarı ilkesi oluşturma ve hub'ınızın güvenliğini sağlama

Güvenlik duvarı ilkesi, trafiği bir veya daha fazla Güvenli sanal hub'a yönlendirmek için kural koleksiyonlarını tanımlar. Güvenlik duvarı ilkenizi oluşturur ve ardından hub'ınızın güvenliğini sağlarsınız.

  1. Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı ilkeleri seçin.

    Screenshot of creating an Azure Policy with first step.

  2. Azure Güvenlik Duvarı İlkesi Oluştur'u seçin.

    Screenshot of configuring Azure Policy settings in first step.

  3. Kaynak grubu için fw-manager-rg öğesini seçin.

  4. İlke ayrıntıları'nın altında, İlke-01Ad türü ve Bölge için Doğu ABD'yi seçin.

  5. İlke katmanı için Standart'ı seçin.

  6. İleri: DNS Ayarlar'ı seçin.

    Screenshot of configuring DNS settings.

  7. İleri: TLS İncelemesi'ne tıklayın.

    Screenshot of configuring TLS settings.

  8. İleri: Kurallar'ı seçin.

  9. Kurallar sekmesinde Kural koleksiyonu ekle'yi seçin.

    Screenshot of configuring Rule Collection.

  10. Kural koleksiyonu ekle sayfasında, Ad için App-RC-01 yazın.

  11. Kural koleksiyonu türü için Uygulama'yı seçin.

  12. Öncelik için 100 yazın.

  13. Kural koleksiyonu eyleminin İzin Ver olduğundan emin olun.

  14. Kural Adı için Allow-msft yazın.

  15. Kaynak türü için IP adresi'ni seçin.

  16. Kaynak olarak yazın*.

  17. Protokol için http,https yazın.

  18. Hedef türünün FQDN olduğundan emin olun.

  19. Hedef için *.microsoft.com yazın.

  20. Ekle'yi seçin.

  21. Srv-Workload-01 sanal makinesine uzak masaüstü bağlayabileceğiniz bir DNAT kuralı ekleyin.

    1. Kural koleksiyonu ekle'yi seçin.
    2. Ad alanına dnat-rdp yazın.
    3. Kural koleksiyonu türü için DNAT'yi seçin.
    4. Öncelik için 100 yazın.
    5. Kural Adı için Allow-rdp yazın.
    6. Kaynak türü için IP adresi'ni seçin.
    7. Kaynak olarak yazın*.
    8. Protokol alanında TCP'yi seçin.
    9. Hedef Bağlantı Noktaları için 3389 yazın.
    10. Hedef için, daha önce not ettiğiniz güvenlik duvarı genel IP adresini yazın.
    11. Çevrilmiş tür için IP Adresi'ne tıklayın.
    12. Çevrilmiş adres için, daha önce not ettiğiniz Srv-Workload-01 için özel IP adresini yazın.
    13. Çevrilmiş bağlantı noktası için 3389 yazın.
    14. Ekle'yi seçin.

  22. Srv-Workload-01'den Srv-Workload-02'ye uzak masaüstü bağlayabileceğiniz bir Ağ kuralı ekleyin.

    1. Kural koleksiyonu ekle'yi seçin.
    2. Ad alanına vnet-rdp yazın.
    3. Kural koleksiyonu türü için Ağ'ı seçin.
    4. Öncelik için 100 yazın.
    5. Kural koleksiyonu eylemi için İzin Ver'i seçin.
    6. Kural Adı için Allow-vnet yazın.
    7. Kaynak türü için IP adresi'ni seçin.
    8. Kaynak olarak yazın*.
    9. Protokol alanında TCP'yi seçin.
    10. Hedef Bağlantı Noktaları için 3389 yazın.
    11. Hedef Türü için IP Adresi'ne tıklayın.
    12. Hedef olarak, daha önce not ettiğiniz Srv-Workload-02 özel IP adresini yazın.
    13. Ekle'yi seçin.

  23. İleri: IDPS'yi seçin.

  24. IDPS sayfasında İleri: Tehdit Bilgileri'ni seçin

    Screenshot of configuring IDPS settings.

  25. Tehdit Bilgileri sayfasında varsayılanları kabul edin ve Gözden Geçir ve Oluştur'u seçin:

    Screenshot of configuring Threat Intelligence settings.

  26. Seçiminizi onaylamak için gözden geçirin ve oluştur'u seçin.

İlkeyi ilişkilendirme

Güvenlik duvarı ilkesini hub ile ilişkilendirin.

  1. Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı İlkeler'i seçin.

  2. İlke-01 onay kutusunu seçin.

  3. İlişkilendirmeleri yönet, Hub'ları ilişkilendir'i seçin.

    Screenshot of configuring Policy association.

  4. hub-01'i seçin.

  5. Ekle'yi seçin.

    Screenshot of adding Policy and Hub settings.

Trafiği hub'ınıza yönlendirme

Şimdi ağ trafiğinin güvenlik duvarınız üzerinden yönlendirilmesini sağlamanız gerekir.

  1. Güvenlik Duvarı Yöneticisi'nden Sanal hub'lar'ı seçin.

  2. Hub-01'i seçin.

  3. Ayarlar altında Güvenlik yapılandırması'yı seçin.

  4. İnternet trafiği'nin altında Azure Güvenlik Duvarı'ı seçin.

  5. Özel trafik'in altında Azure Güvenlik Duvarı yoluyla gönder'i seçin.

    Not

    Bir sanal ağdaki veya şirket içi daldaki özel ağlar için genel IP adresi aralıkları kullanıyorsanız, bu IP adresi ön eklerini açıkça belirtmeniz gerekir. Özel Trafik Ön Ekleri bölümünü seçin ve RFC1918 adres ön eklerinin yanına ekleyin.

  6. Hub'lar arası'nın altında Etkin'i seçerek Sanal WAN yönlendirme amacı özelliğini etkinleştirin. Yönlendirme amacı, Sanal WAN Hub'da dağıtılan Azure Güvenlik Duvarı aracılığıyla daldan dala (şirket içi) trafiği yönlendirmek için Sanal WAN yapılandırabileceğiniz mekanizmadır. Yönlendirme amacı özelliğiyle ilişkili önkoşullar ve dikkat edilmesi gerekenler hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın.

  7. Kaydet'i seçin.

  8. Uyarı iletişim kutusunda Tamam'ı seçin.

    Screenshot of Secure Connections.

  9. Hub'lar arası kullanmak için Geçiş iletişim kutusunda Tamam'ı seçin.

    Not

    Rota tablolarının güncelleştirilmiş olması birkaç dakika sürer.

  10. İki bağlantının hem İnternet hem de özel trafiğin güvenliğini Azure Güvenlik Duvarı gösterdiğini doğrulayın.

    Screenshot of Secure Connections final status.

Güvenlik duvarını test etme

Güvenlik duvarı kurallarını test etmek için, Srv-Workload-01'e NATed olan güvenlik duvarı genel IP adresini kullanarak uzak masaüstüne bağlanın. Buradan, uygulama kuralını test etmek için bir tarayıcı kullanın ve ağ kuralını test etmek için uzak masaüstünü Srv-Workload-02'ye bağlayın.

Uygulama kuralını test edin

Şimdi, beklendiği gibi çalıştığını onaylamak için güvenlik duvarı kurallarını test edin.

  1. Bir uzak masaüstünü güvenlik duvarı genel IP adresine Bağlan ve oturum açın.

  2. Internet Explorer'ı açın ve https://www.microsoft.com adresine gidin.

  3. Internet Explorer güvenlik uyarılarında Tamam Kapat'ı> seçin.

    Microsoft giriş sayfasını görmeniz gerekir.

  4. https://www.google.com adresine göz atın.

    Güvenlik duvarı bunu engellemelidir.

Şimdi güvenlik duvarı uygulama kuralının çalıştığını doğruladınız:

  • İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.

Ağ kuralını test edin

Şimdi ağ kuralını test edin.

  • Srv-Workload-01'den Srv-Workload-02 özel IP adresine bir uzak masaüstü açın.

    Uzak masaüstü Srv-Workload-02'ye bağlanmalıdır.

Şimdi güvenlik duvarı ağ kuralının çalıştığını doğruladınız:

  • Uzak masaüstünü başka bir sanal ağda bulunan bir sunucuya bağlayabilirsiniz.

Kaynakları temizleme

Güvenlik duvarı kaynaklarınızı sınamayı bitirdiğinizde fw-manager-rg kaynak grubunu silip güvenlik duvarıyla ilgili tüm kaynakları silin.

Sonraki adımlar

Güvenilen güvenlik iş ortakları hakkında bilgi edinin