Azure Sanal Masaüstü dağıtımlarını korumak için Azure Güvenlik Duvarı kullanma

  • Makale

Azure Sanal Masaüstü, Azure üzerinde çalışan bir bulut sanal masaüstü altyapısı (VDI) hizmetidir. Son kullanıcı Azure Sanal Masaüstü'ne bağlandığında, oturumu konak havuzundaki bir oturum konağından gelir. Konak havuzu, Oturum konakları olarak Azure Sanal Masaüstü'ne kaydolan bir Azure sanal makineleri koleksiyonudur. Bu sanal makineler sanal ağınızda çalışır ve sanal ağ güvenlik denetimlerine tabidir. Düzgün çalışabilmeleri için Azure Sanal Masaüstü hizmetine giden İnternet erişimine ve ayrıca son kullanıcılar için giden İnternet erişimine ihtiyaçları olabilir. Azure Güvenlik Duvarı ortamınızı kilitlemenize ve giden trafiği filtrelemenize yardımcı olabilir.

Azure Sanal Masaüstü ile Azure Güvenlik Duvarı mimarisini gösteren diyagram.

Azure Güvenlik Duvarı kullanarak Azure Sanal Masaüstü konak havuzunuz için ek koruma sağlamak için bu makaledeki yönergeleri izleyin.

Önkoşullar

  • Dağıtılan bir Azure Sanal Masaüstü ortamı ve konak havuzu. Daha fazla bilgi için bkz . Azure Sanal Masaüstü'nü dağıtma.
  • En az bir Güvenlik Duvarı Yöneticisi İlkesi ile dağıtılan bir Azure Güvenlik Duvarı.
  • Ağ Kuralları'nda FQDN kullanmak için Güvenlik Duvarı İlkesi'nde etkinleştirilen DNS ve DNS Ara Sunucusu.

Azure Sanal Masaüstü terminolojisi hakkında daha fazla bilgi edinmek için bkz . Azure Sanal Masaüstü terminolojisi.

Azure Sanal Masaüstü'ne konak havuzu giden erişimi

Azure Sanal Masaüstü için oluşturduğunuz Azure sanal makinelerinin düzgün çalışması için birkaç Tam Etki Alanı Adına (FQDN) erişimi olmalıdır. Azure Güvenlik Duvarı bu yapılandırmayı basitleştirmek için Azure Sanal Masaüstü FQDN etiketini WindowsVirtualDesktop kullanır. Bir Azure Güvenlik Duvarı İlkesi oluşturmanız ve Ağ Kuralları ve Uygulama Kuralları için Kural Koleksiyonları oluşturmanız gerekir. Kural Koleksiyonuna bir öncelik ve bir izin ver veya reddet eylemi verin.

Gerekli FQDN'lerin ve uç noktaların her biri için kurallar oluşturmanız gerekir. Liste, Azure Sanal Masaüstü için Gerekli FQDN'ler ve uç noktalar sayfasında bulunabilir. Belirli bir konak havuzunu Kaynak olarak tanımlamak için, her oturum konağıyla bunu temsil edecek bir IP Grubu oluşturabilirsiniz.

Önemli

Azure Sanal Masaüstü ile TLS incelemesini kullanmamanızı öneririz. Daha fazla bilgi için ara sunucu yönergelerine bakın.

Azure Güvenlik Duvarı İlkesi Örneği

Yukarıda belirtilen tüm zorunlu ve isteğe bağlı kurallar, konumunda yayımlanan şablon kullanılarak tek bir Azure Güvenlik Duvarı İlkesinde https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVDkolayca dağıtılabilir. Üretime dağıtmadan önce, tanımlanan tüm ağ ve uygulama kurallarını gözden geçirmenizi, Azure Sanal Masaüstü resmi belgeleri ve güvenlik gereksinimleriyle uyumlu olduğundan emin olunmasını öneririz.

Konak havuzu İnternet'e giden erişim

Kuruluşunuzun gereksinimlerine bağlı olarak, son kullanıcılarınız için güvenli giden İnternet erişimini etkinleştirmek isteyebilirsiniz. İzin verilen hedeflerin listesi iyi tanımlanmışsa (örneğin, Microsoft 365 erişimi için), gerekli erişimi yapılandırmak için Azure Güvenlik Duvarı uygulama ve ağ kurallarını kullanabilirsiniz. Bu, en iyi performans için son kullanıcı trafiğini doğrudan İnternet'e yönlendirir. Windows 365 veya Intune için ağ bağlantısına izin vermeniz gerekiyorsa bkz . Windows 365 için ağ gereksinimleri ve Intune için Ağ uç noktaları.

Var olan bir şirket içi güvenli web ağ geçidini kullanarak giden kullanıcı internet trafiğini filtrelemek istiyorsanız, açık bir ara sunucu yapılandırmasıyla Azure Sanal Masaüstü konak havuzunda çalışan web tarayıcılarını veya diğer uygulamaları yapılandırabilirsiniz. Örneğin, bkz . Ara sunucu ayarlarını yapılandırmak için Microsoft Edge komut satırı seçeneklerini kullanma. Bu ara sunucu ayarları yalnızca son kullanıcı İnternet erişiminizi etkileyerek Azure Sanal Masaüstü platformunun doğrudan Azure Güvenlik Duvarı üzerinden giden trafiğe izin verir.

Web'e kullanıcı erişimini denetleme

Yönetici farklı web sitesi kategorilerine kullanıcı erişimine izin verebilir veya erişimi reddedebilir. İzin vermek veya reddetmek istediğiniz web kategorilerine, belirli IP adresinizden Uygulama Koleksiyonunuza bir kural ekleyin. Tüm web kategorilerini gözden geçirin.

Sonraki adım