Dağıtım ve yapılandırma Azure Güvenlik Duvarı Premium

  • Makale
  • Okumak için 4 dakika

Azure Güvenlik Duvarı Premium, son derece hassas ve düzenlenen ortamlar için gerekli özelliklere sahip yeni nesil bir güvenlik duvarıdır. Aşağıdaki özellikleri içerir:

  • TLS denetimi: Giden trafiğin şifresini çözebilir, verileri işler, ardından verileri şifreler ve hedefe gönderir.
  • IDPS - Bir ağ izinsiz giriş algılama ve önleme sistemi (IDPS), kötü amaçlı etkinlikler için ağ etkinliklerini izlemenizi, bu etkinlikle ilgili bilgileri günlüğe bildirmenizi, bildirmenizi ve isteğe bağlı olarak engellemeyi denemenizi sağlar.
  • URL filtreleme - url'Azure Güvenlik Duvarı bir URL'nin tamamını göz önünde bulunduracak şekilde, FQDN filtreleme özelliğini genişleter. Örneğin yerine www.contoso.com/a/c www.contoso.com .
  • Web kategorileri - yöneticiler web siteleri, sosyal medya web siteleri ve diğer web siteleri gibi web sitesi kategorilerine kullanıcı erişimine izin verme veya erişimi reddeder.

Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Premium.

Üç alt ağı olan merkezi bir sanal ağı (10.0.0.0/16) olan bir test ortamı dağıtmak için bir şablon kullanabilirsiniz:

  • bir çalışan alt ağı (10.0.10.0/24)
  • bir Azure Bastion alt ağı (10.0.20.0/24)
  • bir güvenlik duvarı alt ağı (10.0.100.0/24)

Kolaylık olması için bu test ortamında tek bir merkezi sanal ağ kullanılır. Üretim amacıyla eşli VNet'lere sahip merkez-bağlı-bağlı topoloji daha yaygındır.

Merkezi sanal ağ topolojisi

Çalışan sanal makinesi, güvenlik duvarı üzerinden HTTP/S istekleri gönderen bir istemcidir.

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Altyapıyı dağıtma

Şablon IDPS, TLS İncelemesi, URL Filtreleme Azure Güvenlik Duvarı Premium Web Kategorileri ile etkinleştirildiğinde tam bir test ortamı dağıtır:

  • temel Azure Güvenlik Duvarı Premium (IDPS, TLS İncelemesi, URL Filtreleme ve Web Kategorileri) kolay doğrulamaya olanak sağlayan önceden tanımlanmış ayarlara sahip yeni bir güvenlik duvarı ilkesi ve Güvenlik Duvarı İlkesi
  • , yönetilen kimlik ve Key Vault tüm bağımlılıkları dağıtır. Bir üretim ortamında bu kaynaklar zaten oluşturulmuş olabilir ve aynı şablonda gerekli değildir.
  • otomatik olarak imzalanan Kök CA'sı üretir ve oluşturulan Key Vault
  • türetilmiş bir Ara CA'sı üretir ve bunu bir Windows test sanal makinesine (WorkerVM) dağıtır
  • Bir Bastion Ana Bilgisayarı (BastionHost) da dağıtılır ve Windows test makinesine (WorkerVM) bağlanmak için kullanılabilir

Azure’a dağıtın

Güvenlik duvarını test etme

Artık IDPS, TLS denetimi, Web filtreleme ve Web kategorilerini test edin.

Güvenlik duvarı tanılama ayarları ekleme

Güvenlik duvarı günlüklerini toplamak için, güvenlik duvarı günlüklerini toplamak için tanılama ayarları eklemeniz gerekir.

  1. DemoFirewall'ı seçin ve İzleme'nin altında Tanılama ayarları'ı seçin.
  2. Tanılama ayarı ekle’yi seçin.
  3. Tanılama ayarı adı için fw-diag yazın.
  4. Günlüğün altında AzureFirewallApplicationRule ve AzureFirewallNetworkRule'u seçin.
  5. Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin.
  6. Kaydet’i seçin.

IDPS testleri

IDPS'yi test etmek için kendi iç Web sunucularınızı uygun bir sunucu sertifikasıyla dağıtmanız gerekir. Sertifika gereksinimleri hakkında daha Azure Güvenlik Duvarı Premium için bkz. Azure Güvenlik Duvarı Premium sertifikaları.

Çeşitli HTTP üst curl bilgilerini kontrol etmek ve kötü amaçlı trafiğin benzetimini yapmak için kullanabilirsiniz.

IDPS'i HTTP trafiği için test etmek için:

  1. WorkerVM sanal makinesi üzerinde bir yönetici komut istemi penceresi açın.

  2. Komut istemine aşağıdaki komutu yazın:

    curl -A "BlackSun" <your web server address>

  3. Web sunucusu yanıtını görüyorsunuz.

  4. Aşağıdaki iletiye benzer bir uyarı bulmak Azure portal Güvenlik Duvarı Ağı kural günlüklerine gidin:

    Uyarı iletisi

    Not

    Verilerin günlüklerde göstermeye başlaması biraz zaman alır. Günlüklerin verileri göstermeye başlaması için en az birkaç dakika bekleyin.

  5. İmza yönetimi için bir imza kuralı 2008983:

    1. DemoFirewallPolicy'yi seçin ve Ayarlar IDPS'yi seçin.
    2. İmza kuralları sekmesini seçin.
    3. İmza Kimliği'nin altında, açık metin kutusuna 2008983.
    4. Mod altında Reddet'i seçin.
    5. Kaydet’i seçin.
    6. Devam etmeden önce dağıtımın tamamlandıktan sonra tamamlanır.

  6. WorkerVM'de komutu curl yeniden çalıştırın:

    curl -A "BlackSun" <your web server address>

    HTTP isteği artık güvenlik duvarı tarafından engellenmiş olduğu için bağlantı zaman aşımı sona erdikten sonra aşağıdaki çıkışı görüyorsunuz:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Azure portal günlüklerine gidin ve engellenen iletinin iletiyi bulun.

IDPS'yi HTTPS trafiği için test etmek için

Bu curl testlerini HTTP yerine HTTPS kullanarak tekrarlayın. Örnek:

curl --ssl-no-revoke -A "BlackSun" <your web server address>

HTTP testleriyle aynı sonuçları görüyor gerekir.

URL filtreleme ile TLS İncelemesi

TLS İncelemesini URL filtreleme ile test etmek için aşağıdaki adımları kullanın.

  1. Güvenlik duvarı ilkesi uygulama kurallarını düzenleyin ve kural koleksiyonuna adlı AllowURL yeni bir AllowWeb kural ekleyin. Hedef URL'yi, www.nytimes.com/section/world Kaynak IP adresini * _, Hedef türü _ URL'yi, TLS incelemesini ve protokolleri http, https'yi seçin.

  2. Dağıtım tamamlandığında, WorkerVM'de bir tarayıcı açın ve gidin ve HTML yanıtının tarayıcıda beklendiği https://www.nytimes.com/section/world gibi görüntülendiğinden onay olun.

  3. Bu Azure portal, Uygulama kuralı İzleme günlüklerinde URL'nin tamamını görüntüleyebilirsiniz:

    URL'yi gösteren uyarı iletisi

Bazı HTML sayfaları reddedilen diğer URL'lere başvurarak tamamlanmamış gibi görünüyor olabilir. Bu sorunu çözmek için aşağıdaki yaklaşım benimser:

  • HTML sayfası diğer etki alanlarına bağlantılar içeriyorsa, bu FQDN'lere erişim izni vermek için bu etki alanlarını yeni bir uygulama kuralına ekleyebilirsiniz.

  • HTML sayfası alt URL'lere bağlantılar içeriyorsa kuralı değiştirebilir ve URL'ye bir yıldız işareti ebilirsiniz. Örnek: targetURLs=www.nytimes.com/section/world*

    Alternatif olarak, kurala yeni bir URL ebilirsiniz. Örnek:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Web kategorileri testi

Spor web sitelerine erişime izin vermek için bir uygulama kuralı oluştur o zaman.

  1. Portaldan kaynak grubunızı açın ve DemoFirewallPolicy'yi seçin.

  2. Uygulama Kuralları'ı ve ardından Kural koleksiyonu ekle'yi seçin.

  3. Ad için GeneralWeb, Priority 103, Rule collection group yazın, DefaultApplicationRuleCollectionGroup öğesini seçin.

  4. Ad için Kurallar'ın altında AllowSports, Source , * Protocol http, https, TLS incelemesi'ne, Hedef Türü'ne ve Web kategorileri'ne, Hedef'e spor'ı seçin.

  5. Add (Ekle) seçeneğini belirleyin.

    Spor web kategorisi

  6. Dağıtım tamamlandığında WorkerVM'ye gidin, bir web tarayıcısı açın ve 'a göz atabilirsiniz. https://www.nfl.com

    NFL web sayfasını görüyor ve Uygulama kuralı günlüğünde bir Web Kategorisi: Spor kuralı eşdü ve i isteğine izin verildi.

Sonraki adımlar