Azure portal kullanarak gelen Internet trafiğini Azure Güvenlik Duvarı ile filtreleme DNAT

  • Makale
  • Okumak için 6 dakika

Alt ağlarınıza gelen internet trafiğini çevirmek ve filtrelemek için Azure Güvenlik Duvarı Hedef Ağ Adresi Çevirisi’ni (DNAT) yapılandırabilirsiniz. DNAT yapılandırdığınızda, NAT kuralı toplama eylemi DNAT olarak ayarlanır. NAT kuralı koleksiyonundaki her bir kural, güvenlik duvarı genel IP adresini ve bağlantı noktasını özel bir IP adresine ve bağlantı noktasına dönüştürmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedenleriyle önerilen yaklaşım, ağ için DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak üzere belirli bir Internet kaynağı eklemektir. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Bu makalede şunları öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı dağıtma
  • Varsayılan rota oluşturma
  • DNAT kuralını yapılandırma
  • Güvenlik duvarını test etme

Not

Bu makale, güvenlik duvarını yönetmek için klasik güvenlik duvarı kurallarını kullanır. Tercih edilen yöntem, güvenlik duvarı ilkesinikullanmaktır. Bu yordamı güvenlik duvarı Ilkesi kullanarak gerçekleştirmek için bkz . Öğretici: Azure Güvenlik duvarı ilkesi ile gelen Internet trafiğini filtreleme DNAT Azure Portal

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. https://portal.azure.com adresinden Azure portalında oturum açın.
  2. Azure portal giriş sayfasında kaynak grupları' nı ve ardından Ekle' yi seçin.
  3. Abonelik bölümünde aboneliğinizi seçin.
  4. Kaynak grubu adı alanına RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur’u seçin.

Ağ ortamını oluşturma

Bu makalede, iki eşlenmiş sanal ağ oluşturursunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleyin.

Hub sanal ağını oluşturma

  1. Azure portal giriş sayfasında, tüm hizmetler' i seçin.

  2. altında sanal ağlar' ı seçin.

  3. Add (Ekle) seçeneğini belirleyin.

  4. Kaynak grubu için RG-DNAT-test' i seçin.

  5. Ad için VN-Hub yazın.

  6. Bölge için, daha önce kullandığınız bölgeyi seçin.

  7. İleri ' yi seçin: IP adresleri.

  8. IPv4 adres alanı için varsayılan 10.0.0.0/16 adresini kabul edin.

  9. Alt ağ adı altında varsayılan ' ı seçin.

  10. Alt ağ adını düzenleyin ve AzureFirewallSubnet yazın.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağının boyutu/26 ' dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik DUVARı SSS.

  11. Alt ağ adres aralığı için 10.0.1.0/26 yazın.

  12. Kaydet’i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur’u seçin.

Uç sanal ağını oluşturma

  1. Azure portal giriş sayfasında, tüm hizmetler' i seçin.
  2. altında sanal ağlar' ı seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Kaynak grubu için RG-DNAT-test' i seçin.
  5. Ad için VN-Spoke yazın.
  6. Bölge için, daha önce kullandığınız bölgeyi seçin.
  7. İleri ' yi seçin: IP adresleri.
  8. IPv4 adres alanı için, Varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  9. Alt ağ ekle' yi seçin.
  10. Alt ağ adı için sn-iş yükü.
  11. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  12. Add (Ekle) seçeneğini belirleyin.
  13. Gözden geçir ve oluştur’u seçin.
  14. Oluştur’u seçin.

Sanal ağları eşleme

Şimdi iki sanal ağı eşleyin.

  1. Vn hub sanal ağını seçin.
  2. Ayarlar altında, eşlemeler ' i seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Bu sanal ağ altında, eşleme bağlantı adı Için eşdüzey-hubışınsal yazın.
  5. Uzak sanal ağ altında, eşleme bağlantı adı Için eş-spokehub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılanları kabul edin ve ardından Ekle' yi seçin.

Sanal makine oluşturma

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden Kaynak oluştur'u seçin.
  2. Popüler bölümünde Windows Server 2016 Datacenter' u seçin.

Temel Bilgiler

  1. Abonelik bölümünde aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-test' i seçin.
  3. Sanal makine adı Için, SRV-iş yükü yazın.
  4. Bölge için, daha önce kullandığınız konumu seçin.
  5. Bir kullanıcı adı ve parola girin.
  6. İleri ' yi seçin: diskler.

Diskler

  1. Sonraki: Ağ’ı seçin.

  1. Sanal ağ Için, vn-kol' ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için hiçbiri' ni seçin.
  4. Ortak gelen bağlantı noktaları için hiçbiri' ni seçin.
  5. Diğer varsayılan ayarları bırakın ve Ileri ' yi seçin: yönetim.

Yönetim

  1. Önyükleme tanılaması Için devre dışı bırak' ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden geçir + oluştur

Özeti gözden geçirin ve ardından Oluştur' u seçin. İşlemin tamamlanması birkaç dakika sürebilir.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırdığınızda bu adres kullanılacaktır. Sanal makine adını seçin ve Ayarlar' ın altında, özel IP adresini bulmak için ' ı seçin.

Not

Azure, azure sanal makinelerine genel IP adresi atanmamış veya iç Temel sanal makinelerin arka uç havuzunda bulunan varsayılan bir giden erişim IP'Azure Load Balancer. Varsayılan giden erişim IP mekanizması, yapılandırılabilir olmayan bir giden IP adresi sağlar.

Varsayılan giden erişim hakkında daha fazla bilgi için bkz. Azure'da varsayılan giden erişim

Sanal makineye bir genel IP adresi atandığı veya sanal makine giden kuralları olan veya olmayan bir sanal makinenin arka uç havuzuna yerleştiril Standart Load Balancer varsayılan giden erişim IP'sini devre dışı bırakılır. Sanal Azure Sanal Ağ Adres Çevirisi alt ağın alt ağın bir ağ geçidi kaynağı atanırsa, varsayılan giden erişim IP'si devre dışı bırakılır.

Esnek Düzenleme modundaki Sanal Makine Ölçek kümeleri tarafından oluşturulan sanal makinelerin varsayılan giden erişimi yok.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz. Giden bağlantılar için Kaynak Ağ Adresi Çevirisi (SNAT) Kullanma.

Güvenlik duvarını dağıtma

  1. Portal giriş sayfasında, kaynak oluştur' u seçin.

  2. Güvenlik duvarı araması yapın ve ardından güvenlik duvarı' nı seçin.

  3. Oluştur’u seçin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <your subscription>
    Kaynak grubu RG-DNAT-test ' i seçin
    Name FW-DNAT-test
    Region Önceden kullandığınız konumu seçin
    Güvenlik Duvarı yönetimi Bu güvenlik duvarını yönetmek için güvenlik duvarı kuralları (klasik) kullanın
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi New, Name: FW-PI ekleyin.

  5. Diğer varsayılanları kabul edin ve ardından gözden geçir + oluştur' u seçin.

  6. Özeti gözden geçirin ve ardından güvenlik duvarını oluşturmak için Oluştur ' u seçin.

    Dağıtma işlemi birkaç dakika sürebilir.

  7. Dağıtım tamamlandıktan sonra, RG-DNAT-test kaynak grubuna gidin ve ILT-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini aklınızda edin. Bunları daha sonra varsayılan yol ve NAT kuralını oluşturduğunuzda kullanacaksınız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

  1. Azure portal giriş sayfasında, tüm hizmetler' i seçin.

  2. altında, Rota tabloları' nı seçin.

  3. Add (Ekle) seçeneğini belirleyin.

  4. Abonelik bölümünde aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-test' i seçin.

  6. Bölge için, daha önce kullandığınız bölgeyi seçin.

  7. Ad için RT-FWroute yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur’u seçin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar' ı seçin ve ardından ilişkilendir' i seçin.

  12. Sanal ağ Için, vn-kol' ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam’ı seçin.

  15. Rotalar' ı seçin ve ardından Ekle' yi seçin.

  16. Rota adı alanına FW-DG yazın.

  17. Adres ön eki alanına 0.0.0.0/0 yazın.

  18. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  19. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  20. Tamam’ı seçin.

NAT kuralı yapılandırma

  1. RG-DNAT-test kaynak grubunu açın ve ILT-DNAT-test güvenlik duvarını seçin.
  2. İlt-DNAT-test sayfasında, Ayarlar' ın altında, kurallar ' ı (klasik) seçin.
  3. NAT kuralı koleksiyonu Ekle' yi seçin.
  4. Ad için RC-DNAT-01 yazın.
  5. Öncelik alanına 200 yazın.
  6. Kurallar'ın altında, Ad için RL-01 yazın.
  7. Protokol alanında TCP'yi seçin.
  8. Kaynak türü için IP adresi' ni seçin.
  9. Kaynak için * yazın.
  10. Hedef adresleri için güvenlik DUVARıNıN genel IP adresini yazın.
  11. Hedef bağlantı noktaları için 3389 yazın.
  12. Çevrilmiş Adres için Srv-Workload sanal makinesinin özel IP adresini yazın.
  13. Çevrilmiş bağlantı noktası için 3389 yazın.
  14. Add (Ekle) seçeneğini belirleyin. İşlemin tamamlanması birkaç dakika sürebilir.

Güvenlik duvarını test etme

  1. Güvenlik duvarı genel IP adresine bir uzak masaüstü bağlayın. Srv-Workload sanal makinesine bağlı olmalısınız.
  2. Uzak masaüstünü kapatın.

Kaynakları temizleme

Güvenlik Duvarı kaynaklarınızı daha fazla test için tutabilir veya artık gerekmiyorsa, güvenlik duvarı ile ilgili tüm kaynakları silmek için RG-DNAT-test kaynak grubunu silebilirsiniz.

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Öğretici: Azure Güvenlik Duvarı günlüklerini izleme