Uygulama Azure Güvenlik Duvarı yapılandırma
Nat kurallarını, ağ kurallarını ve uygulama kurallarını klasik kuralları Azure Güvenlik Duvarı Güvenlik Duvarı İlkesi'ni kullanarak yapılandırabilirsiniz. Azure Güvenlik Duvarı, kurallar trafiğe izin verecek şekilde el ile yapılandırılana kadar varsayılan olarak tüm trafiği geriler.
Klasik kuralları kullanarak kural işleme
Kural koleksiyonları kural türüne göre öncelik sırasına göre işlenir, 100'den 65.000'e kadar daha düşük sayılardan daha yüksek sayılara doğru ilerler. Kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir. Bir harf veya sayı ile başlamalı ve bir harf, sayı veya alt çizgi ile bittir. Maksimum ad uzunluğu 80 karakterdir.
Kural koleksiyonu öncelik sayılarınızı başlangıçta 100 artışla (100, 200, 300, 300 gibi) boşluk olarak eklemek en iyisidir, böylece gerekirse daha fazla kural koleksiyonu eklemek için yer olur.
Güvenlik Duvarı İlkesi kullanarak kural işleme
Güvenlik Duvarı İlkesi ile kurallar Kural Koleksiyonları ve Kural Koleksiyonu Grupları içinde düzenlenmiştir. Kural Koleksiyonu Grupları sıfır veya daha fazla Kural Koleksiyonu içerir. Kural Koleksiyonları NAT, Ağ veya Uygulamalar türündedir. Tek bir Kural Grubu içinde birden çok Kural Koleksiyonu türü tanımlayabilirsiniz. Bir Kural Koleksiyonunda sıfır veya daha fazla Kural tanımlayabilirsiniz. Kural Koleksiyonu'daki kurallar aynı türde olmalıdır (NAT, Ağ veya Uygulama).
Kurallar, Kural Koleksiyonu Grubu Önceliği ve Kural Koleksiyonu önceliği temel alınarak işlenir. Öncelik, 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasında herhangi bir sayıdır. En yüksek öncelikli Kural Toplama Grupları önce işlenir. Bir kural koleksiyonu grubunda, en yüksek önceliğe (en düşük sayı) sahip Kural Koleksiyonları önce işlenir.
Bir Güvenlik Duvarı İlkesi bir üst ilkeden devralınmışsa, üst ilkede Kural Koleksiyonu Grupları bir alt ilkenin önceliğe bakılmaksızın her zaman önceliklidir.
Not
Uygulama kuralları her zaman, Kural koleksiyonu grubu veya Kural koleksiyonu önceliği ve ilke devralmadan bağımsız olarak DNAT kurallarından sonra işlenen Ağ kurallarından sonra işlenir.
Örnek bir ilke şöyledir:
| Ad | Tür | Öncelik | Kurallar | Devralındığı yer: |
|---|---|---|---|---|
| BaseRCG1 | Kural koleksiyonu grubu | 200 | 8 | Üst ilke |
| DNATRc1 | DNAT kural koleksiyonu | 600 | 7 | Üst ilke |
| NetworkRc1 | Ağ kuralı koleksiyonu | 800 | 1 | Üst ilke |
| BaseRCG2 | Kural koleksiyonu grubu | 300 | 3 | Üst ilke |
| AppRCG2 | Uygulama kuralı koleksiyonu | 1200 | 2 | Üst ilke |
| NetworkRC2 | Ağ kuralı koleksiyonu | 1300 | 1 | Üst ilke |
| ChildRCG1 | Kural koleksiyonu grubu | 300 | 5 | - |
| ChAppRC1 | Uygulama kuralı koleksiyonu | 700 | 3 | - |
| ChNetRC1 | Ağ kuralı koleksiyonu | 900 | 2 | - |
| ChildRCG2 | Kural koleksiyonu grubu | 650 | 9 | - |
| ChNetRC2 | Ağ kuralı koleksiyonu | 1100 | 2 | - |
| ChAppRC2 | Uygulama kuralı koleksiyonu | 2000 | 7 | - |
| ChDNATRC3 | DNAT kural koleksiyonu | 3000 | 2 | - |
Kural işleme şu sırada olur: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.
Güvenlik Duvarı İlkesi kural kümeleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı İlke kural kümeleri.
Tehdit Bilgisi
Tehdit zekası tabanlı filtrelemeyi etkinleştirirsanız, bu kurallar en yüksek önceliğe sahiptir ve her zaman önce işlenir (ağ ve uygulama kuralları öncesinde). Tehdit zekası filtrelemesi, yapılandırılmış kurallar işlenmeden önce trafiği reddeder. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı tabanlı filtreleme.
IDPS
IDPS Uyarı modunda yapılandırıldığında, IDPS altyapısı kural işleme mantığıyla paralel olarak çalışır ve hem gelen hem de giden akışlar için eşleşen imzalar üzerinde uyarılar üretir.IDPS imzası eşleşmesi için güvenlik duvarı günlüklerine bir uyarı kaydedilir. Ancak, IDPS altyapısı kural işleme altyapısıyla paralel olarak çalışır, uygulama/ağ kuralları tarafından reddedilen/izin verilen trafik yine de başka bir günlük girişi üretebilir.
IDPS Uyarı ve Reddet modunda yapılandırıldığında, IDPS altyapısı satır içidir ve kural işleme altyapısının ardından etkinleştirilir. Bu nedenle her iki altyapı da uyarılar üretir ve eşleşen akışları engelleyebilir.
IDPS tarafından yapılan oturum düşüşleri akışı sessizce engeller. Bu nedenle TCP düzeyinde RST gönderilmez.IDPS, Ağ/Uygulama kuralı eşlendikten (İzin Ver/Reddet) sonra trafiği inceledikten ve günlüklerde işaretlendikten sonra IDPS'nin imza eşleşmesi nedeniyle oturumu reddetmeye karar vermesine neden olan başka bir Bırakma iletisi günlüğe kaydedilecektir.
TLS incelemesi etkinleştirildiğinde hem şifrelenmemiş hem de şifrelenmiş trafik incelenir.
Giden bağlantı
Ağ kuralları ve uygulama kuralları
Ağ kurallarını ve uygulama kurallarını yapılandırıyorsanız, ağ kuralları uygulama kuralları öncesinde öncelik sırasına göre uygulanır. Kurallar sonlandırıcı. Bu nedenle, bir ağ kuralında eşleşme bulunursa başka bir kural işlenmez. Yapılandırılırsa, IDPS tüm çapraz geçiş trafiği üzerinde yapılır ve imza eşleşmesi üzerine IDPS şüpheli trafiği uyarıp/engelleyebilir.
Ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise paket, uygulama kuralları tarafından öncelik sırasına göre değerlendirilir.
HTTP için, Azure Güvenlik Duvarı üst bilgisinde bir uygulama kuralı eşleşmesi olduğunu gösterir. HTTPS için, Azure Güvenlik Duvarı SNI'ye göre bir uygulama kuralı eşleşmesi için bir uygulama kuralı eşleşmesi gerekir.
Hem HTTP hem de TLS incelenen HTTPS olaylarında güvenlik duvarı, hedef IP adresini paket olarak yoksayar ve Ana Bilgisayar üst bilgisinde DNS çözümlenen IP adresini kullanır. Güvenlik duvarı, Konak üst bilgisinde bağlantı noktası numarasını alır, aksi takdirde standart bağlantı noktası 80'i varsayer. Gerçek TCP bağlantı noktası ile konak üst bilgisinde bağlantı noktası arasında bir bağlantı noktası eşleşmezse trafik bırakılır.DNS çözümlemesi, Azure DNS güvenlik duvarında yapılandırılmışsa özel bir DNS tarafından yapılır.
Not
Hem HTTP hem de HTTPS protokolleri (TLS denetimiyle) her zaman özgün kaynak IP adresine eşit Azure Güvenlik Duvarı XFF (X-Forwarded-For) üst bilgisi ile doldurulur.
Bir uygulama kuralı TLS incelemesini içerdiğinde güvenlik duvarı kuralları altyapısı SNI' yi, Ana Bilgisayar Üst Bilgi'yi ve aynı zamanda kuralla eşılacak URL'yi işler.
Uygulama kurallarında hala eşleşme bulunamasa, paket altyapı kuralı koleksiyonuna göre değerlendirilir. Hala eşleşme yoksa paket varsayılan olarak reddedilir.
Not
Ağ kuralları TCP, ** UDP, ICMP veya Herhangi bir IP protokolü için yalıtılmıştır. Herhangi bir IP protokolü, İnternet Atanmış Numaralar Yetkilisi (IANA) Protokol Numaraları belgesinde tanımlanan tüm IP protokollerini içerir. Hedef bağlantı noktası açıkça yapılandırılmışsa, kural tcp+UDP kuralına çevrilir. 9 Kasım 2020'den önce, Tüm tcp, UDP veya ICMP. Bu nedenle, protokol = Herhangi bir ve hedef bağlantı noktaları ='*' ile bu tarihten önce bir kural yapılandırmış olabilir. Şu anda tanımlandığı gibi herhangi bir IP protokolüne izin vermek istemiyorsanız, kuralı istediğiniz protokolleri (TCP, UDP veya ICMP) açıkça yapılandıracak şekilde değiştirebilirsiniz.
Gelen bağlantı
DNAT kuralları ve Ağ kuralları
Gelen İnternet bağlantısı, Hedef Ağ Adresi Çevirisi (DNAT) öğretici: Azure Güvenlik Duvarı kullanarak gelen trafiği AZURE GÜVENLIK DUVARı DNAT ile filtreleme makalesinde açıklandığı gibi Azure portal. NAT kuralları, ağ kuralları öncesinde öncelik olarak uygulanır. Bir eşleşme bulunursa, çevrilmiş trafiğe izin vermek için ilgili örtülü bir ağ kuralı eklenir. Güvenlik nedeniyle önerilen yaklaşım, DNAT'nin ağa erişmesine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir.
Gelen bağlantılar için uygulama kuralları uygulanmaz. Bu nedenle gelen HTTP/S trafiğini filtrelemek için Web Uygulaması Güvenlik Duvarı'nı (WAF) kullanmalısınız. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı?
Örnekler
Aşağıdaki örneklerde bu kural birleşimlerinden bazılarının sonuçları verilmiştir.
Örnek 1
Eşleşen google.com nedeniyle ağ bağlantısına izin verilir.
Ağ kuralı
- Eylem: İzin Ver
| name | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Allow-web | TCP | IP Adresi | * | IP Adresi | * | 80,443 |
Uygulama kuralı
- Eylem: Reddet
| name | Kaynak türü | Kaynak | Protokol:Bağlantı Noktası | Hedef FQDN'ler |
|---|---|---|---|---|
| Deny-google | IP Adresi | * | http:80,https:443 | google.com |
Sonuç
Paket Allow-web google.com kuralıyla eş olduğundan, bağlantının google.com bağlantısına izin verilir. Kural işleme bu noktada durur.
Örnek 2
SSH trafiği reddedilir çünkü daha yüksek öncelikli Bir Ağ kuralı toplamayı reddeder.
Ağ kuralı koleksiyonu 1
- Ad: koleksiyona izin ver
- Öncelik: 200
- Eylem: İzin Ver
| name | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Allow-SSH | TCP | IP Adresi | * | IP Adresi | * | 22 |
Ağ kuralı koleksiyonu 2
- Ad: Deny-collection
- Öncelik: 100
- Eylem: Reddet
| name | Protokol | Kaynak türü | Kaynak | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP Adresi | * | IP Adresi | * | 22 |
Sonuç
Daha yüksek öncelikli bir ağ kuralı koleksiyonu tarafından engellediği için SSH bağlantıları reddedilir. Kural işleme bu noktada durdu.
Kural değişiklikleri
Önceden izin verilen trafiğe izin vermek için bir kural değiştirirseniz, varsa ilgili mevcut oturumlar bırakılır.
3 yönlü el sıkışma davranışı
Durum bilgisi olan bir hizmet olarak Azure Güvenlik Duvarı, bir kaynaktan hedefe izin verilen trafik için TCP 3 yönlü bir el sıkışma işlemi tamamlar.Örneğin, VNet-A, VNet-B.
VNet 'ten VNet 'e izin verme kuralı oluşturma, VNet-B ' y e VNET 'e yeni başlatılan bağlantılara izin verilir.
Sonuç olarak, VNet-B ' y e VNET-A arasında bir açık reddetme kuralı oluşturmaya gerek yoktur. Bu reddetme kuralını oluşturursanız, ilk izin verme kuralından 3 yönlü el sıkışmayı sanal ağdan VNet-B ' y e kadar kesintiye uğratır.