Öğretici: Azure portal kullanarak Azure Güvenlik duvarını ve ilkesini dağıtma ve yapılandırma

  • Makale
  • Okumak için 7 dakika

Giden ağ erişimini denetleme, genel ağ güvenlik planının önemli bir parçasıdır. Örneğin, erişimi Web sitelerine kısıtlamak isteyebilirsiniz. Ya da, erişilebilen giden IP adreslerini ve bağlantı noktalarını sınırlamak isteyebilirsiniz.

Azure alt ağından giden ağ erişimini denetleyebilmeniz için Azure Güvenlik Duvarı ve güvenlik duvarı Ilkesi vardır. Azure Güvenlik Duvarı ve güvenlik duvarı Ilkesi ile şunları yapılandırabilirsiniz:

  • Bir alt ağdan erişilebilen tam etki alanı adlarını (FQDN) tanımlayan uygulama kuralları.
  • Kaynak adres, protokol, hedef bağlantı noktası ve hedef adresini tanımlayan ağ kuralları.

Ağ trafiğinizi güvenlik duvarından alt ağın varsayılan ağ geçidi olarak yönlendirdiğinizde ağ trafiği yapılandırılan güvenlik duvarı kurallarına tabi tutulur.

Bu öğreticide, kolay dağıtım için iki alt ağa sahip Basitleştirilmiş tek bir sanal ağ oluşturacaksınız.

Üretim dağıtımları için, güvenlik duvarının kendi VNet 'inde bulunduğu bir hub ve bağlı bileşen modeli önerilir. İş yükü sunucuları, bir veya daha fazla alt ağ ile aynı bölgedeki eşlenmiş VNET 'lerde bulunur.

  • AzureFirewallSubnet - güvenlik duvarı bu alt ağdadır.
  • Workload-SN: İş yükü sunucusu bu alt ağda yer alır. Bu alt ağın ağ trafiği güvenlik duvarından geçer.

Öğretici ağı altyapısı

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik Duvarı ve güvenlik duvarı ilkesi dağıtma
  • Varsayılan rota oluşturma
  • Www.google.com erişimine izin vermek için bir uygulama kuralı yapılandırma
  • Dış DNS sunucularına erişime izin vermek için ağ kuralı yapılandırma
  • Uzak masaüstünün test sunucusuna bağlanmasına izin vermek için bir NAT kuralı yapılandırma
  • Güvenlik duvarını test etme

İsterseniz, Azure PowerShellkullanarak bu yordamı tamamlayabilirsiniz.

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Ağı ayarlama

İlk olarak güvenlik duvarını dağıtmak için gerekli olan kaynakları içerecek bir kaynak grubu oluşturun. Ardından VNet, alt ağlar ve test sunucusu oluşturun.

Kaynak grubu oluşturma

Kaynak grubu, bu öğreticideki tüm kaynakları içerir.

  1. https://portal.azure.com adresinden Azure portalında oturum açın.
  2. Azure portal menüsünde, kaynak grupları ' nı seçin veya herhangi bir sayfadan kaynak gruplarını arayıp seçin. Ardından Ekle'yi seçin.
  3. Abonelik bölümünde aboneliğinizi seçin.
  4. Kaynak grubu adı için Test-FW-RG yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur’u seçin.

Sanal ağ oluşturma

Bu VNet 'in üç alt ağı olacaktır.

Not

AzureFirewallSubnet alt ağının boyutu/26 ' dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik DUVARı SSS.

  1. Azure portal menüsünde veya Giriş sayfasında, Kaynak oluştur’u seçin.

  2. 'ı seçin.

  3. Sanal ağ araması yapın ve seçin.

  4. Oluştur’u seçin.

  5. Abonelik bölümünde aboneliğinizi seçin.

  6. Kaynak grubu için Test-FW-RG öğesini seçin.

  7. Ad alanına Test-FW-VN yazın.

  8. Bölge için, daha önce kullandığınız konumu seçin.

  9. İleri ' yi seçin: IP adresleri.

  10. IPv4 adres alanı için varsayılan 10.0.0.0/16 adresini kabul edin.

  11. Alt ağ altında varsayılan' ı seçin.

  12. Alt ağ adı Için adı AzureFirewallSubnet olarak değiştirin. Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

  13. Adres aralığı için 10.0.1.0/26 yazın.

  14. Kaydet’i seçin.

    Sonra, iş yükü sunucusu için bir alt ağ oluşturun.

  15. Alt ağ ekle' yi seçin.

  16. Alt ağ adı Için Iş yükü-sn yazın.

  17. Alt ağ adres aralığı için 10.0.2.0/24 yazın.

  18. Add (Ekle) seçeneğini belirleyin.

  19. Gözden geçir ve oluştur’u seçin.

  20. Oluştur’u seçin.

Sanal makine oluşturma

Şimdi iş yükü sanal makinesini oluşturun ve Iş yükü-sn alt ağına yerleştirin.

  1. Azure portal menüsünde veya Giriş sayfasında, Kaynak oluştur’u seçin.

  2. Windows Server 2016 Datacenter' ı seçin.

  3. Sanal makine için şu değerleri girin:

    Ayar Değer
    Kaynak grubu Test-ILT-RG
    Sanal makine adı SRV-Iş
    Bölge Öncekiyle aynı
    Görüntü Windows Server 2016 Datacenter
    Yönetici Kullanıcı adı Kullanıcı adı yazın
    Parola Parola yazın

  4. Gelen bağlantı noktası kuralları, Genel gelen bağlantı noktaları altında hiçbiri' ni seçin.

  5. Diğer varsayılanları kabul edin ve İleri ' yi seçin: diskler.

  6. Disk varsayılanlarını kabul edin ve İleri ' yi seçin: ağ.

  7. Sanal ağ için Test-FW-VN ' nin seçildiğinden ve alt ağın Iş yükü-sn olduğundan emin olun.

  8. Genel IP için hiçbiri' ni seçin.

  9. Diğer varsayılanları kabul edin ve İleri: yönetim' i seçin.

  10. Önyükleme tanılamayı devre dışı bırakmak için devre dışı bırak seçeneğini belirleyin Diğer varsayılanları kabul edin ve gözden geçir + oluştur' u seçin.

  11. Özet sayfasında ayarları gözden geçirin ve ardından Oluştur' u seçin.

  12. Dağıtım tamamlandıktan sonra, SRV iş kaynağını seçin ve daha sonra kullanmak üzere özel IP adresini aklınızda edin.

Güvenlik duvarını ve ilkeyi dağıtma

Güvenlik duvarını sanal ağa dağıtın.

  1. Azure portal menüsünde veya Giriş sayfasında, Kaynak oluştur’u seçin.

  2. Arama kutusuna güvenlik duvarı yazın ve Enter tuşuna basın.

  3. Güvenlik Duvarı'nı ve ardından Oluştur'a seçin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <your subscription>
    Kaynak grubu Test-FW-RG
    Name Test-FW01
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanma
    Güvenlik duvarı ilkesi Yeni ekleyin:
    fw-test-pol
    seçtiğiniz bölge
    Bir sanal ağ seçin Mevcut : Test-FW-VN kullanma
    Genel IP adresi Yeni ekleyin:
    Ad: fw-pip

  5. Diğer varsayılan değerleri kabul et ve gözden geçir + oluştur'a seçin.

  6. Özeti gözden geçirin ve oluştur'a seçerek güvenlik duvarını oluşturun.

    Dağıtma işlemi birkaç dakika sürebilir.

  7. Dağıtım tamamlandıktan sonra Test-FW-RG kaynak grubuna gidin ve Test-FW01 güvenlik duvarını seçin.

  8. Güvenlik duvarı özel ve genel IP adreslerine dikkat olun. Bu adresleri daha sonra kullanacağız.

Varsayılan rota oluşturma

Workload-SN alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandırın.

  1. Bu Azure portal Tüm hizmetler'i seçin veya herhangi bir sayfadan Tüm hizmetler'i bulun ve seçin.
  2. İletişimi'nin altında Rota tabloları'ı seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Abonelik bölümünde aboneliğinizi seçin.
  5. Kaynak grubu için Test-FW-RG öğesini seçin.
  6. Bölge için, daha önce kullanmakta olduğu konumu seçin.
  7. Ad alanına Firewall-route yazın.
  8. Gözden geçir ve oluştur’u seçin.
  9. Oluştur’u seçin.

Dağıtım tamamlandıktan sonra Kaynağa git'i seçin.

  1. Güvenlik duvarı yolu sayfasında Alt ağlar'ı ve sonra da İşle'yi seçin.

  2. Sanal > Test-FW-VN öğesini seçin.

  3. Alt ağ için Workload-SN öğesini seçin. Bu yol için yalnızca Workload-SN alt ağın seçili olduğundan emin olun, aksi takdirde güvenlik duvarınız düzgün çalışmaz.

  4. Tamam’ı seçin.

  5. Yollar'ı ve ardından Ekle'yi seçin.

  6. Yol adı için fw-dg yazın.

  7. Adres ön eki alanına 0.0.0.0/0 yazın.

  8. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  9. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  10. Tamam’ı seçin.

Uygulama kuralı yapılandırma

Bu, uygulamasına giden erişime izin veren uygulama www.google.com kuralıdır.

  1. Test-FW-RG'yi açın ve fw-test-pol güvenlik duvarı ilkesi'ne seçin.
  2. Uygulama kuralları'ı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad alanına App-Coll01 yazın.
  5. Öncelik alanına 200 yazın.
  6. Kural toplama eylemi için İzin Ver'i seçin.
  7. Kurallar altında, Ad için Allow-Google yazın.
  8. Kaynak türü olarak IP adresi'yi seçin.
  9. Kaynak için 10.0.2.0/24 yazın.
  10. Protokol:bağlantı noktası alanına http, https yazın.
  11. Hedef Türü için FQDN'yi seçin.
  12. Hedef için yazın www.google.com
  13. Add (Ekle) seçeneğini belirleyin.

Azure Güvenlik Duvarı'nda varsayılan olarak izin verilen altyapı FQDN'leri için yerleşik bir kural koleksiyonu bulunur. Bu FQDN'ler platforma özgüdür ve başka amaçlarla kullanılamaz. Daha fazla bilgi için bkz. Altyapı FQDN'leri.

Ağ kuralını yapılandırma

Bu, bağlantı noktası 53’deki (DNS) iki IP adresine giden erişime izin veren ağ kuralıdır.

  1. kuralları'ı seçin.
  2. Kural koleksiyonu ekle'yi seçin.
  3. Ad alanına Net-Coll01 yazın.
  4. Öncelik alanına 200 yazın.
  5. Kural toplama eylemi için İzin Ver'i seçin.
  6. Kural koleksiyonu grubu için DefaultNetworkRuleCollectionGroup öğesini seçin.
  7. Kurallar altında, Ad için Allow-DNS yazın.
  8. Kaynak türü olarak IP Adresi'ne seçin.
  9. Kaynak için 10.0.2.0/24 yazın.
  10. Protokol alanında UDP'yi seçin.
  11. Hedef Bağlantı Noktaları için 53 yazın.
  12. Hedef türü olarak IP adresini seçin.
  13. Hedef için 209.244.0.3,209.244.0.4 yazın.
    Bunlar CenturyLink tarafından çalıştırılan genel DNS sunucularıdır.
  14. Add (Ekle) seçeneğini belirleyin.

DNAT kuralını yapılandırma

Bu kural, bir uzak masaüstünü güvenlik duvarı üzerinden Srv-Work sanal makineye bağlamanıza olanak sağlar.

  1. DNAT kurallarını seçin.
  2. Kural koleksiyonu ekle'yi seçin.
  3. Ad için rdp yazın.
  4. Öncelik alanına 200 yazın.
  5. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup öğesini seçin.
  6. Kurallar altında, Ad için rdp-nat yazın.
  7. Kaynak türü olarak IP adresi'yi seçin.
  8. Kaynak için * yazın.
  9. Protokol alanında TCP'yi seçin.
  10. Hedef bağlantı noktaları için 3389 yazın.
  11. Hedef türü Için IP adresi' ni seçin.
  12. Hedef için, güvenlik DUVARı genel IP adresini yazın.
  13. Çevrilen adres Için, SRV-iş özel IP adresini yazın.
  14. Çevrilmiş bağlantı noktası için 3389 yazın.
  15. Add (Ekle) seçeneğini belirleyin.

Srv-Work ağ arabiriminin birincil ve ikincil DNS adresini değiştirme

Bu öğreticide sınama amacıyla sunucunun birincil ve ikincil DNS adreslerini yapılandırın. Bu genel bir Azure Güvenlik Duvarı gereksinimi değildir.

  1. Azure portal menüsünde, kaynak grupları ' nı seçin veya herhangi bir sayfadan kaynak gruplarını arayıp seçin. Test-FW-RG kaynak grubunu seçin.
  2. SRV-iş sanal makinesi için ağ arabirimini seçin.
  3. Ayarlar altında, DNS sunucuları' nı seçin.
  4. DNS sunucuları altında özel' i seçin.
  5. DNS sunucusu ekle metin kutusuna 209.244.0.3, sonraki metin kutusuna da 209.244.0.4 yazın.
  6. Kaydet’i seçin.
  7. Srv-Work sanal makinesini yeniden başlatın.

Güvenlik duvarını test etme

Şimdi, güvenlik duvarını test edin ve beklendiği gibi çalıştığını doğrulayın.

  1. bir uzak masaüstü güvenlik duvarı genel ıp adresine Bağlan ve Srv-iş sanal makinesinde oturum açın.
  2. Internet Explorer'ı açın ve https://www.google.com adresine gidin.

  3. Internet Explorer güvenlik uyarıları 'nda Tamam Kapat ' ı seçin.

Google giriş sayfasını görmeniz gerekir.

  1. https://www.microsoft.com adresine gidin.

    Güvenlik duvarının engellemesi gerekir.

Artık Güvenlik Duvarı kurallarının çalıştığını doğruladınız:

  • İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.
  • Yapılandırılmış dış DNS sunucusunu kullanarak DNS adlarını çözümleyebilirsiniz.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse Test-FW-RG kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Azure Güvenlik Duvarı 'Nı dağıtma ve yapılandırma Premium