Öğretici: Azure portal kullanarak gelen Internet trafiğini Azure Güvenlik Duvarı ilkesiyle filtreleme DNAT

  • Makale
  • Okumak için 5 dakika

Azure Güvenlik duvarı ilkesi hedef ağ adresi çevirisi 'ni (DNAT), alt ağlarınıza gelen Internet trafiğini çevirecek ve filtreleyecek şekilde yapılandırabilirsiniz. DNAT yapılandırdığınızda, kural koleksiyonu eylemi DNAT olarak ayarlanır. NAT kuralı koleksiyonundaki her bir kural, güvenlik duvarı genel IP adresini ve bağlantı noktasını özel bir IP adresine ve bağlantı noktasına dönüştürmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedenleriyle önerilen yaklaşım, ağ için DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak üzere belirli bir Internet kaynağı eklemektir. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik Duvarı ve ilke dağıtma
  • Varsayılan rota oluşturma
  • DNAT kuralını yapılandırma
  • Güvenlik duvarını test etme

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. https://portal.azure.com adresinden Azure portalında oturum açın.
  2. Azure portal giriş sayfasında kaynak grupları' nı ve ardından Ekle' yi seçin.
  3. Abonelik bölümünde aboneliğinizi seçin.
  4. Kaynak grubu adı alanına RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur’u seçin.

Ağ ortamını oluşturma

Bu öğretici için eşlenen iki sanal ağ oluşturuyorsunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleyin.

Hub sanal ağını oluşturma

  1. Azure portal giriş sayfasında, tüm hizmetler' i seçin.

  2. altında sanal ağlar' ı seçin.

  3. Add (Ekle) seçeneğini belirleyin.

  4. Kaynak grubu için RG-DNAT-test' i seçin.

  5. Ad için VN-Hub yazın.

  6. Bölge için, daha önce kullandığınız bölgeyi seçin.

  7. İleri ' yi seçin: IP adresleri.

  8. IPv4 adres alanı için varsayılan 10.0.0.0/16 adresini kabul edin.

  9. Alt ağ adı altında varsayılan' ı seçin.

  10. Alt ağ adını düzenleyin ve AzureFirewallSubnet yazın.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağının boyutu/26 ' dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik DUVARı SSS.

  11. Alt ağ adres aralığı için 10.0.1.0/26 yazın.

  12. Kaydet’i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur’u seçin.

Uç sanal ağını oluşturma

  1. Azure portal giriş sayfasında, tüm hizmetler' i seçin.
  2. altında sanal ağlar' ı seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Kaynak grubu için RG-DNAT-test' i seçin.
  5. Ad için VN-Spoke yazın.
  6. Bölge için, daha önce kullandığınız bölgeyi seçin.
  7. İleri ' yi seçin: IP adresleri.
  8. IPv4 adres alanı için, Varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  9. Alt ağ ekle' yi seçin.
  10. Alt ağ adı için sn-iş yükü.
  11. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  12. Add (Ekle) seçeneğini belirleyin.
  13. Gözden geçir ve oluştur’u seçin.
  14. Oluştur’u seçin.

Sanal ağları eşleme

Şimdi iki sanal ağı eşleyin.

  1. Vn hub sanal ağını seçin.
  2. Ayarlar altında, eşlemeler ' i seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Bu sanal ağ altında, eşleme bağlantı adı Için eşdüzey-hubışınsal yazın.
  5. Uzak sanal ağ altında, eşleme bağlantı adı Için eş-spokehub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılanları kabul edin ve ardından Ekle' yi seçin.

Sanal makine oluşturma

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden Kaynak oluştur'u seçin.
  2. popüler altında Windows Server 2016 veri merkezi' ni seçin.

Temel Bilgiler

  1. Abonelik bölümünde aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-test' i seçin.
  3. Sanal makine adı Için, SRV-iş yükü yazın.
  4. Bölge için, daha önce kullandığınız konumu seçin.
  5. Bir kullanıcı adı ve parola girin.
  6. İleri ' yi seçin: diskler.

Diskler

  1. Sonraki: Ağ’ı seçin.

  1. Sanal ağ Için, vn-kol' ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için hiçbiri' ni seçin.
  4. Ortak gelen bağlantı noktaları için hiçbiri' ni seçin.
  5. Diğer varsayılan ayarları bırakın ve Ileri ' yi seçin: yönetim.

Yönetim

  1. Önyükleme tanılaması Için devre dışı bırak' ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden geçir + oluştur

Özeti gözden geçirin ve ardından Oluştur' u seçin. İşlemin tamamlanması birkaç dakika sürebilir.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırdığınızda bu adres kullanılacaktır. Özel IP adresini bulmak için sanal makine adını seçin Ayarlar altında Ağ'ı seçin.

Güvenlik duvarını ve ilkeyi dağıtma

  1. Portal giriş sayfasında Kaynak oluştur'a tıklayın.

  2. Güvenlik Duvarı'nı ve ardından Güvenlik Duvarı'nı seçin.

  3. Oluştur’u seçin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <your subscription>
    Kaynak grubu RG-DNAT-Test'i seçin
    Name FW-DNAT-test
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanma
    Güvenlik duvarı ilkesi Yeni ekleyin:
    fw-dnat-pol
    seçtiğiniz bölge
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni , Ad: fw-pip ekleyin.

  5. Diğer varsayılanları kabul et ve gözden geçir + oluştur'a seçin.

  6. Özeti gözden geçirin ve oluştur'a seçerek güvenlik duvarını oluşturun.

    Bu dağıtımın birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini not olun. Bunları daha sonra varsayılan yol ve NAT kuralını oluşturmada kullanacağız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

  1. Giriş Azure portal Tüm hizmetler'i seçin.

  2. İletişimi'nin altında Rota tabloları'ı seçin.

  3. Add (Ekle) seçeneğini belirleyin.

  4. Abonelik bölümünde aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test öğesini seçin.

  6. Bölge için, daha önce kullanmakta olduğu bölgeyi seçin.

  7. Ad için RT-FW-route yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur’u seçin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı ve ardından İşle'yi seçin.

  12. Sanal ağ için VN-Spoke öğesini seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam’ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Yol adı için fw-dg yazın.

  17. Adres ön eki alanına 0.0.0.0/0 yazın.

  18. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  19. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  20. Tamam’ı seçin.

NAT kuralı yapılandırma

Bu kural, bir uzak masaüstünü güvenlik duvarı üzerinden Srv-Workload sanal makineye bağlamanıza olanak sağlar.

  1. RG-DNAT-Test kaynak grubunu açın ve fw-dnat-pol güvenlik duvarı İlkesini seçin.
  2. Yeni Ayarlar DNAT kuralları'ı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad için rdp yazın.
  5. Öncelik alanına 200 yazın.
  6. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup öğesini seçin.
  7. Kurallar altında, Ad için rdp-nat yazın.
  8. Kaynak türü olarak IP adresi'yi seçin.
  9. Kaynak için * yazın.
  10. Protokol alanında TCP'yi seçin.
  11. Hedef Bağlantı Noktaları için 3389 yazın.
  12. Hedef Türü için IP Adresi'ne seçin.
  13. Hedef için güvenlik duvarı genel IP adresini yazın.
  14. Çevrilmiş adres için Srv-Workload özel IP adresini yazın.
  15. Çevrilmiş bağlantı noktası için 3389 yazın.
  16. Add (Ekle) seçeneğini belirleyin.

Güvenlik duvarını test etme

  1. Güvenlik duvarı genel IP adresine bir uzak masaüstü bağlayın. Srv-Workload sanal makinesine bağlı olmalısınız.
  2. Uzak masaüstünü kapatın.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse RG-DNAT-Test kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Dağıtım ve yapılandırma Azure Güvenlik Duvarı Premium