Azure portalını kullanarak gelen İnternet trafiğini Azure Güvenlik Duvarı DNAT ile filtreleme

  • Makale

Alt ağlarınıza gelen internet trafiğini çevirmek ve filtrelemek için Azure Güvenlik Duvarı Hedef Ağ Adresi Çevirisi’ni (DNAT) yapılandırabilirsiniz. DNAT'yi yapılandırdığınızda NAT kural toplama eylemi Dnat olarak ayarlanır. Ardından NAT kuralı koleksiyonundaki her kural, güvenlik duvarı genel IP adresinizi ve bağlantı noktanızı özel bir IP adresine ve bağlantı noktasına çevirmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Not

Bu makalede, güvenlik duvarını yönetmek için klasik Güvenlik Duvarı kuralları kullanılır. Tercih edilen yöntem Güvenlik Duvarı İlkesi'ni kullanmaktır. Güvenlik Duvarı İlkesi'ni kullanarak bu yordamı tamamlamak için bkz. Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ilkesi DNAT ile gelen İnternet trafiğini filtreleme

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları'nı ve ardından Oluştur'u seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu için RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Ağ ortamını oluşturma

Bu makale için eşlenmiş iki sanal ağ oluşturursunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleyin.

Hub sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Sanal ağlar'ı seçin.

  3. Oluştur'u belirleyin.

  4. Kaynak grubu için RG-DNAT-Test'i seçin.

  5. Ad için VN-Hub yazın.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. İleri'yi seçin.

  8. Güvenlik sekmesinde İleri'yi seçin.

  9. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  10. Alt ağlar'ın altında varsayılan'ı seçin.

  11. Alt ağ şablonu için Azure Güvenlik Duvarı'i seçin.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  12. Kaydet'i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur'u belirleyin.

Uç sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Oluştur'u belirleyin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad için VN-Spoke yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  10. Alt ağlar'ın altında varsayılan'ı seçin.
  11. Alt ağ Adı için SN-Workload yazın.
  12. Başlangıç adresi için 192.168.1.0 yazın.
  13. Alt ağ boyutu için /24 öğesini seçin.
  14. Kaydet'i seçin.
  15. Gözden geçir ve oluştur’u seçin.
  16. Oluştur'u belirleyin.

Sanal ağları eşleme

Şimdi iki sanal ağı eşleyin.

  1. VN-Hub sanal ağını seçin.
  2. Ayarlar altında Eşlemeler'i seçin.
  3. Ekle'yi seçin.
  4. Bu sanal ağ altında, Eşleme bağlantısı adı için Peer-HubSpoke yazın.
  5. Uzak sanal ağ'ın altında, Eşleme bağlantısı adı için Peer-SpokeHub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılan değerleri kabul edin ve ekle'yi seçin.

Sanal makine oluşturun

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden, Kaynak oluştur'u seçin.
  2. Popüler Market ürünleri'nin altında Windows Server 2019 Datacenter'ı seçin.

Temel Bilgiler

  1. Abonelik için, aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-Test'i seçin.
  3. Sanal makine adı için Srv-Workload yazın.
  4. Bölge için daha önce kullandığınız konumu seçin.
  5. Bir kullanıcı adı ve parola girin.
  6. İleri: Diskler'i seçin.

Diskler

  1. İleri: Ağ'ı seçin.

  1. Sanal ağ için VN-Spoke'ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için Yok'a tıklayın.
  4. Genel gelen bağlantı noktaları için Yok'a tıklayın.
  5. Diğer varsayılan ayarları bırakın ve İleri: Yönetim'i seçin.

Yönetim

  1. İleri: İzleme'yi seçin.

İzleme

  1. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden Geçir + Oluştur

Özeti gözden geçirin ve oluştur'u seçin. Bu işlemin tamamlanması birkaç dakika sürer.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırırken kullanılır. Sanal makine adını seçin. Genel Bakış'ı seçin ve Ağ'ın altında özel IP adresini not edin.

Not

Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.

Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:

Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.

Güvenlik duvarını dağıtma

  1. Portal giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın ve güvenlik duvarı'nı seçin.

  3. Oluştur'u belirleyin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Value
    Abonelik <aboneliğiniz>
    Kaynak grubu RG-DNAT-Test'i seçin
    Veri Akışı Adı FW-DNAT testi
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik Duvarı SKU'su Standart
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik duvarı kurallarını (klasik) kullanın
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni ekle, Ad: fw-pip.

  5. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  6. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Bu işlemin dağıtılması birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini not edin. Bunları daha sonra varsayılan yolu ve NAT kuralını oluşturduğunuzda kullanacaksınız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

Önemli

Hedef alt ağda güvenlik duvarına yönelik açık bir yol yapılandırmanız gerekmez. Azure Güvenlik Duvarı durum bilgisi olan bir hizmettir ve paketleri ve oturumları otomatik olarak işler. Bu yolu oluşturursanız, durum bilgisi olan oturum mantığını kesintiye uğratır ve bırakılan paketlere ve bağlantılara neden olan asimetrik bir yönlendirme ortamı oluşturursunuz.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Route tablosunu arayın ve seçin.

  3. Oluştur'u belirleyin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test'i seçin.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Ad için RT-FWroute yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur'u belirleyin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı ve ardından İlişkili'yi seçin.

  12. Sanal ağ için VN-Spoke'ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam'ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Rota adı alanına FW-DG yazın.

  17. Hedef türü için IP Adresleri'ne tıklayın.

  18. Hedef IP adresleri/CIDR aralıkları için 0.0.0.0/0 yazın.

  19. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  20. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  21. Ekle'yi seçin.

NAT kuralı yapılandırma

  1. RG-DNAT-Test kaynak grubunu açın ve FW-DNAT-test güvenlik duvarını seçin.
  2. FW-DNAT-test sayfasındaki Ayarlar altında Kurallar (klasik) öğesini seçin.
  3. NAT kuralı koleksiyonu ekle'yi seçin.
  4. Ad için RC-DNAT-01 yazın.
  5. Öncelik alanına 200 yazın.
  6. Kurallar'ın altında, Ad için RL-01 yazın.
  7. Protokol alanında TCP'yi seçin.
  8. Kaynak türü için IP adresi'ne tıklayın.
  9. Kaynak için * yazın.
  10. Hedef Adresler için güvenlik duvarının genel IP adresini yazın.
  11. Hedef bağlantı noktaları için 3389 yazın.
  12. Çevrilmiş Adres için Srv-Workload sanal makinesinin özel IP adresini yazın.
  13. Çevrilmiş bağlantı noktası için 3389 yazın.
  14. Ekle'yi seçin.

Bu işlemin tamamlanması birkaç dakika sürer.

Güvenlik duvarını test etme

  1. Güvenlik duvarı genel IP adresine bir uzak masaüstü bağlayın. Srv-Workload sanal makinesine bağlı olmalısınız.
  2. Uzak masaüstünü kapatın.

Kaynakları temizleme

Daha fazla test için güvenlik duvarı kaynaklarınızı koruyabilir veya artık gerekli değilse, güvenlik duvarıyla ilgili tüm kaynakları silmek için RG-DNAT-Test kaynak grubunu silebilirsiniz.

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Öğretici: Azure Güvenlik Duvarı günlüklerini izleme