Azure Güvenlik Duvarı kurallarını yapılandırma
Klasik kuralları veya Güvenlik Duvarı İlkesi'ni kullanarak Azure Güvenlik Duvarı üzerinde NAT kurallarını, ağ kurallarını ve uygulama kurallarını yapılandırabilirsiniz. Azure Güvenlik Duvarı, kurallar trafiğe izin verecek şekilde el ile yapılandırılana kadar varsayılan olarak tüm trafiği reddeder.
Klasik kuralları kullanarak kural işleme
Kural koleksiyonları, kural türüne göre öncelik sırasına göre işlenir ve daha düşük sayılar 100 ile 65.000 arasındadır. Kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir. Bir harf veya sayı ile başlamalı ve harf, sayı veya alt çizgi ile bitmelidir. Ad uzunluğu üst sınırı 80 karakterdir.
Gerekirse daha fazla kural koleksiyonu eklemek için alanınız olması için başlangıçta kural koleksiyonu öncelik sayılarınızı 100 artımlı (100, 200, 300 vb.) aralıklarla ayırmanız en iyisidir.
Güvenlik Duvarı İlkesi kullanarak kural işleme
Güvenlik Duvarı İlkesi ile kurallar Kural Koleksiyonları ve Kural Koleksiyonu Grupları içinde düzenlenir. Kural Koleksiyonu Grupları sıfır veya daha fazla Kural Koleksiyonu içerir. Kural Koleksiyonları NAT, Ağ veya Uygulamalar türüdür. Tek bir Kural Grubu içinde birden çok Kural Koleksiyonu türü tanımlayabilirsiniz. Kural Koleksiyonunda sıfır veya daha fazla Kural tanımlayabilirsiniz. Kural Koleksiyonundaki kurallar aynı türde olmalıdır (NAT, Ağ veya Uygulama).
Kurallar, Kural Koleksiyonu Grubu Önceliği ve Kural Koleksiyonu önceliğine göre işlenir. Öncelik, 100 (en yüksek öncelik) ile 65.000 (en düşük öncelik) arasındaki herhangi bir sayıdır. En yüksek öncelikli Kural Koleksiyon Grupları önce işlenir. Bir kural koleksiyonu grubu içinde, önce en yüksek önceliğe (en düşük sayı) sahip Kural Koleksiyonları işlenir.
Güvenlik Duvarı İlkesi bir üst ilkeden devralınırsa, üst ilkedeki Kural Koleksiyonu Grupları bir alt ilkenin önceliğine bakılmaksızın her zaman öncelik kazanır.
Not
Uygulama kuralları her zaman Kural koleksiyonu grubuna veya Kural koleksiyonu önceliğine ve ilke devralma işlemine bakılmaksızın DNAT kurallarından sonra işlenen Ağ kurallarından sonra işlenir.
Aşağıda örnek bir ilke verilmişti:
BaseRCG1'in kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliği (200) olduğu varsayılır: DNATRC1, DNATRC3,NetworkRC1.
BaseRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (300): AppRC2, NetworkRC2.
ChildRCG1, kural koleksiyonlarını içeren bir kural koleksiyonu grubu önceliğidir (200): ChNetRC1, ChAppRC1.
ChildRCG2, kural koleksiyonlarını içeren bir kural koleksiyonu grubudur: ChNetRC2, ChAppRC2,ChDNATRC3.
Aşağıdaki tabloya göre:
| Adı | Tip | Öncelik | Kurallar | Devralındığı yer: |
|---|---|---|---|---|
| BaseRCG1 | Kural koleksiyonu grubu | 200 | 8 | Üst ilke |
| DNATRC1 | DNAT kuralı koleksiyonu | 600 | 7 | Üst ilke |
| DNATRC3 | DNAT kuralı koleksiyonu | 610 | 3 | Üst ilke |
| NetworkRC1 | Ağ kuralı koleksiyonu | 800 | 1 | Üst ilke |
| BaseRCG2 | Kural koleksiyonu grubu | 300 | 3 | Üst ilke |
| AppRC2 | Uygulama kuralı koleksiyonu | 1200 | 2 | Üst ilke |
| NetworkRC2 | Ağ kuralı koleksiyonu | 1300 | 1 | Üst ilke |
| ChildRCG1 | Kural koleksiyonu grubu | 300 | 5 | - |
| ChNetRC1 | Ağ kuralı koleksiyonu | 700 | 3 | - |
| ChAppRC1 | Uygulama kuralı koleksiyonu | 900 | 2 | - |
| ChildRCG2 | Kural koleksiyonu grubu | 650 | 9 | - |
| ChNetRC2 | Ağ kuralı koleksiyonu | 1100 | 2 | - |
| ChAppRC2 | Uygulama kuralı koleksiyonu | Kategori 2000 | 7 | - |
| ChDNATRC3 | DNAT kuralı koleksiyonu | 3000 | 2 | - |
İlk İşleme:
İşlem, 200 önceliğe sahip BaseRCG1 olan en düşük sayıya sahip kural toplama grubunu (RCG) inceleyerek başlar. Bu grupta DNAT kural koleksiyonlarını arar ve önceliklerine göre değerlendirir. Bu durumda, DNATRC1 (öncelik 600) ve DNATRC3 (öncelik 610) buna göre bulunur ve işlenir.
Ardından, sonraki RCG olan BaseRCG2'ye (öncelik 200) geçer, ancak DNAT kural koleksiyonu bulmaz.
Bundan sonra, DNAT kural koleksiyonu olmadan da ChildRCG1'e (öncelik 300) devam eder.
Son olarak, ChildRCG2'yi (öncelik 650) denetler ve ChDNATRC3 kural koleksiyonunu (öncelik 3000) bulur.
Kural Koleksiyonu Grupları İçinde Yineleme:
BaseRCG1'e geri döndüğünüzde yineleme devam eder ve bu kez AĞ kuralları için geçerlidir. Yalnızca NetworkRC1 (öncelik 800) bulunur.
Ardından, NetworkRC2'nin (öncelik 1300) bulunduğu BaseRCG2'ye geçer.
ChildRCG1'e geçtiğinde, AĞ kuralı olarak ChNetRC1 'i (öncelik 700) bulur.
Son olarak ChildRCG2'de, NETWORK kural koleksiyonu olarak ChNetRC2 (öncelik 1100) bulur.
APPLICATION Kuralları için Son Yineleme:
BaseRCG1'e geri döndüğünüzde işlem APPLICATION kuralları için yinelenir, ancak hiçbiri bulunmaz.
BaseRCG2'de AppRC2'yi (öncelik 1200) APPLICATION kuralı olarak tanımlar.
ChildRCG1'de, UYGULAMA kuralı olarak ChAppRC1 (öncelik 900) bulunur.
Son olarak ChildRCG2'de, UYGULAMA kuralı olarak ChAppRC2'yi (öncelik 2000) bulur.
Özetle, kural işleme sırası aşağıdaki gibidir: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.
Bu işlem, kural toplama gruplarını önceliğe göre ve her grup içinde analiz etmeyi, kuralları her kural türü (DNAT, NETWORK ve APPLICATION) için önceliklerine göre sıralamayı içerir.
Bu nedenle öncelikle tüm DNAT kuralları tüm kural koleksiyonu gruplarından işlenir ve kural toplama gruplarını öncelik sırasına göre analiz eder ve her kural koleksiyonu grubundaki DNAT kurallarını öncelik sırasına göre sıralar. Ardından AĞ kuralları ve son olarak UYGULAMA kuralları için aynı işlem.
Güvenlik Duvarı İlkesi kural kümeleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı İlke kural kümeleri.
Tehdit Bilgisi
Tehdit bilgileri tabanlı filtrelemeyi etkinleştirirseniz, bu kurallar en yüksek önceliklidir ve her zaman önce işlenir (ağ ve uygulama kuralları öncesinde). Tehdit bilgileri filtrelemesi, yapılandırılmış kurallar işlenmeden önce trafiği reddedebilir. Daha fazla bilgi için bkz. tehdit bilgileri tabanlı filtreleme Azure Güvenlik Duvarı.
IDPS
IDPS Uyarı modunda yapılandırıldığında, IDPS altyapısı kural işleme mantığına paralel olarak çalışır ve hem gelen hem de giden akışlar için eşleşen imzalar üzerinde uyarılar oluşturur. IDPS imza eşleşmesi için güvenlik duvarı günlüklerine bir uyarı kaydedilir. Ancak IDPS altyapısı kural işleme altyapısına paralel çalıştığından, uygulama/ağ kuralları tarafından reddedilen veya izin verilen trafik yine başka bir günlük girişi oluşturabilir.
IDPS Uyarı ve Reddetme modunda yapılandırıldığında, IDPS altyapısı satır içidir ve kural işleme altyapısından sonra etkinleştirilir. Bu nedenle her iki altyapı da uyarılar oluşturur ve eşleşen akışları engelleyebilir.
IDPS tarafından yapılan oturum bırakma işlemleri akışı sessizce engeller. Bu nedenle TCP düzeyinde RST gönderilmez. IDPS, Ağ/Uygulama kuralı eşleştirildikten (İzin Ver/Reddet) ve günlüklerde işaretlendikten sonra trafiği her zaman incelediğinden, IDPS'nin imza eşleşmesi nedeniyle oturumu reddetmeye karar ettiği başka bir Bırakma iletisi günlüğe kaydedilebilir.
TLS denetimi etkinleştirildiğinde hem şifrelenmemiş hem de şifrelenmiş trafik incelenir.
Giden bağlantı
Ağ kuralları ve uygulama kuralları
Ağ kurallarını ve uygulama kurallarını yapılandırıyorsanız, ağ kuralları uygulama kuralları öncesinde öncelik sırasına göre uygulanır. Kurallar sonlandırıcı. Bu nedenle, bir ağ kuralında eşleşme bulunursa, başka hiçbir kural işlenmez. Yapılandırılırsa, IDPS tüm çapraz geçiş trafiğinde yapılır ve imza eşleşmesi üzerine IDPS şüpheli trafiği uyarır veya/ve engelleyebilir.
Uygulama kuralları, ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise paketi öncelik sırasına göre değerlendirir.
HTTP için Azure Güvenlik Duvarı, Konak üst bilgisine göre bir uygulama kuralı eşleşmesi arar. HTTPS için Azure Güvenlik Duvarı yalnızca SNI'ye göre bir uygulama kuralı eşleşmesi arar.
Hem HTTP hem de TLS tarafından incelenen HTTPS olaylarında, güvenlik duvarı paketin hedef IP adresini yoksayar ve Ana Bilgisayar üst bilgisindeki DNS çözümlenmiş IP adresini kullanır. Güvenlik duvarı Konak üst bilgisinde bağlantı noktası numarasını almayı bekler, aksi takdirde standart bağlantı noktası 80'i kabul eder. Gerçek TCP bağlantı noktası ile konak üst bilgisindeki bağlantı noktası arasında bir bağlantı noktası uyuşmazlığı varsa, trafik bırakılır. DNS çözümlemesi Azure DNS tarafından veya güvenlik duvarında yapılandırılırsa özel bir DNS tarafından yapılır.
Not
Hem HTTP hem de HTTPS protokolleri (TLS denetimiyle) her zaman özgün kaynak IP adresine eşit XFF (X-Forwarded-For) üst bilgisine sahip Azure Güvenlik Duvarı tarafından doldurulur.
Bir uygulama kuralı TLS incelemesi içerdiğinde, güvenlik duvarı kuralları altyapısı SNI'yi, Ana Bilgisayar Üst Bilgisini ve ayrıca kuralla eşleşecek URL'yi işler.
Uygulama kurallarında hala eşleşme bulunmazsa paket altyapı kuralı koleksiyonuna göre değerlendirilir. Hala eşleşme yoksa paket varsayılan olarak reddedilir.
Not
Ağ kuralları TCP, UDP, ICMP veya Herhangi bir IP protokolü için yapılandırılabilir. Herhangi bir IP protokolü, İnternet Atanmış Numaralar Yetkilisi (IANA) Protokol Numaraları belgesinde tanımlanan tüm IP protokollerini içerir. Hedef bağlantı noktası açıkça yapılandırılmışsa, kural TCP+UDP kuralına çevrilir. 9 Kasım 2020'den önce TCP , UDP veya ICMP anlamına gelen herhangi biri . Bu nedenle, bu tarihten önce Protokol = Herhangi biri ve hedef bağlantı noktaları = '*' ile bir kural yapılandırmış olabilirsiniz. Şu anda tanımlandığı gibi herhangi bir IP protokolüne izin vermeyi düşünmüyorsanız, kuralı istediğiniz protokolleri (TCP, UDP veya ICMP) açıkça yapılandıracak şekilde değiştirin.
Gelen bağlantı
DNAT kuralları ve Ağ kuralları
Gelen İnternet bağlantısı, Azure portalını kullanarak gelen trafiği Azure Güvenlik Duvarı DNAT ile filtreleme bölümünde açıklandığı gibi Hedef Ağ Adresi Çevirisi (DNAT) yapılandırılarak etkinleştirilebilir. NAT kuralları, ağ kuralları öncesinde öncelikli olarak uygulanır. Eşleşme bulunursa, trafik DNAT kuralına göre çevrilir ve güvenlik duvarı tarafından izin verilir. Bu nedenle trafik, diğer ağ kuralları tarafından daha fazla işlemeye tabi değildir. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir.
Uygulama kuralları gelen bağlantılar için uygulanmaz. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı (WAF) kullanmalısınız. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?
Örnekler
Aşağıdaki örneklerde bu kural bileşimlerinden bazılarının sonuçları gösterilmektedir.
Örnek 1
Eşleşen bir ağ kuralı nedeniyle google.com Bağlan izin verilir.
Ağ kuralı
- Eylem: İzin Ver
| Adı | Protokol | Source type | Source | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Web'e izin ver | TCP | IP Adresi | * | IP Adresi | * | 80,443 |
Uygulama kuralı
- Eylem: Reddet
| Adı | Source type | Source | Protokol:Bağlantı Noktası | Hedef FQDN'ler |
|---|---|---|---|---|
| Deny-google | IP Adresi | * | http:80,https:443 | google.com |
Sonuç
Paket, Allow-web ağ kuralıyla eşleştiğinden google.com bağlantısına izin verilir. Kural işleme bu noktada durdurulur.
Örnek 2
SSH trafiği reddedilir çünkü daha yüksek öncelikli Bir Reddet ağ kuralı koleksiyonu bunu engeller.
Ağ kuralı koleksiyonu 1
- Ad: allow-collection
- Öncelik: 200
- Eylem: İzin Ver
| Adı | Protokol | Source type | Source | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| SSH'ye İzin Ver | TCP | IP Adresi | * | IP Adresi | * | 22 |
Ağ kuralı koleksiyonu 2
- Ad: Deny-collection
- Öncelik: 100
- Eylem: Reddet
| Adı | Protokol | Source type | Source | Hedef türü | Hedef adres | Hedef bağlantı noktaları |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP Adresi | * | IP Adresi | * | 22 |
Sonuç
SSH bağlantıları, daha yüksek öncelikli bir ağ kuralı koleksiyonu tarafından engellendiği için reddedilir. Kural işleme bu noktada durdurulur.
Kural değişiklikleri
Bir kuralı önceden izin verilen trafiği reddedecek şekilde değiştirirseniz, ilgili tüm mevcut oturumlar bırakılır.
Üç yönlü el sıkışma davranışı
Durum bilgisi olan bir hizmet olarak, Azure Güvenlik Duvarı bir kaynaktan hedefe izin verilen trafik için TCP üç yönlü el sıkışmasını tamamlar. Örneğin, VNet-A-VNet-B.
A sanal ağından B sanal ağına bir izin kuralı oluşturmak, B sanal ağından A sanal ağına yeni başlatılan bağlantılara izin verileceği anlamına gelmez.
Sonuç olarak, VNet-B'den VNet-A'ya açık bir reddetme kuralı oluşturmanıza gerek yoktur. Bu reddetme kuralını oluşturursanız, ilk izin verme kuralından VNet-A'dan VNet-B'ye üç yönlü el sıkışmasını kesintiye uğratırsınız.