Azure portalı kullanarak hibrit bir ağda Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma

  • Makale

Karma ağ oluşturmak için şirket içi ağınızı bir Azure sanal ağına bağladığınızda, Azure ağ kaynaklarınıza erişimi denetleme yeteneği genel bir güvenlik planının önemli bir parçasıdır.

İzin verilen ve reddedilen ağ trafiğini tanımlayan kuralları kullanarak karma ağdaki ağ erişimini denetlemek için Azure Güvenlik Duvarı kullanabilirsiniz.

Bu makale için üç sanal ağ oluşturursunuz:

  • VNet-Hub: Güvenlik duvarı bu sanal ağdadır.
  • VNet-Spoke: Uç sanal ağı, Azure'da bulunan iş yükünü temsil eder.
  • VNet-Onprem: Şirket içi sanal ağ, şirket içi ağı temsil eder. Gerçek bir dağıtımda, sanal özel ağ (VPN) bağlantısı veya Azure ExpressRoute bağlantısı kullanarak buna bağlanabilirsiniz. Kolaylık olması için bu makalede VPN ağ geçidi bağlantısı kullanılır ve Azure'da bulunan bir sanal ağ şirket içi ağı temsil eder.

Karma ağdaki güvenlik duvarını gösteren diyagram.

Bu makaledeki yordamları tamamlamak için bunun yerine Azure PowerShell kullanmak istiyorsanız bkz. Azure PowerShell kullanarak karma ağda Azure Güvenlik Duvarı dağıtma ve yapılandırma.

Not

Bu makalede güvenlik duvarını yönetmek için klasik Azure Güvenlik Duvarı kuralları kullanılır. Tercih edilen yöntem bir Azure Güvenlik Duvarı Yöneticisi ilkesi kullanmaktır. Bu yordamı bir Azure Güvenlik Duvarı Yöneticisi ilkesi kullanarak tamamlamak için bkz. Öğretici: Azure portalını kullanarak karma ağda Azure Güvenlik Duvarı ve ilkeyi dağıtma ve yapılandırma.

Önkoşullar

Karma ağ, Azure sanal ağları ile şirket içi ağlar arasındaki trafiği yönlendirmek için merkez-uç mimari modelini kullanır. Merkez-uç mimarisi aşağıdaki gereksinimlere sahiptir:

  • VNet-Hub'ı VNet-Spoke ile eşlerken Bu sanal ağın ağ geçidini veya Rota Sunucusunu kullan'ı ayarlayın. Merkez-uç ağ mimarisinde ağ geçidi geçişi, uç sanal ağlarının her uç sanal ağına VPN ağ geçitleri dağıtmak yerine merkezdeki VPN ağ geçidini paylaşmasına olanak tanır.

    Ayrıca, ağ geçidine bağlı sanal ağlara veya şirket içi ağlara giden yollar, ağ geçidi geçişi aracılığıyla eşlenmiş sanal ağlar için yönlendirme tablolarına otomatik olarak yayılır. Daha fazla bilgi için bkz . Sanal ağ eşlemesi için VPN ağ geçidi aktarımını yapılandırma.

  • VNet-Spoke ile VNet-Hub'ı eşlerken uzak sanal ağın ağ geçitlerini veya Yönlendirme Sunucusunu kullan'ı ayarlayın. Uzak sanal ağın ağ geçitlerini veya Yönlendirme Sunucusunu kullan ayarlanırsa ve Bu sanal ağın ağ geçidini veya Yönlendirme Sunucusunu uzak eşlemede kullan da ayarlanırsa uç sanal ağı, aktarım için uzak sanal ağın ağ geçitlerini kullanır.

  • Uç alt ağ trafiğini merkez güvenlik duvarı üzerinden yönlendirmek için Sanal ağ geçidi yolu yayma seçeneği devre dışı bırakılmış olarak güvenlik duvarını işaret eden kullanıcı tanımlı bir yol (UDR) kullanabilirsiniz. Bu seçeneğin devre dışı bırakılması uç alt ağlarına yol dağıtımını engeller, bu nedenle öğrenilen yollar UDR'nizle çakışamaz. Sanal ağ geçidi yol yayma özelliğini etkin tutmak istiyorsanız, Sınır Ağ Geçidi Protokolü (BGP) üzerinden şirket içinden yayımlanan yolları geçersiz kılmak için güvenlik duvarına belirli yollar tanımladığınızdan emin olun.

  • Merkez ağ geçidi alt ağında, uç ağlarına sonraki atlama olarak güvenlik duvarı IP adresine işaret eden bir UDR yapılandırın. BGP'den yolları öğrendiğinden, Azure Güvenlik Duvarı alt ağından UDR gerekmez.

Bu makalenin devamında yer alan Yolları oluşturma bölümünde bu yolların nasıl oluşturulacağı gösterilmektedir.

Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet alt ağınız BGP aracılığıyla şirket içi ağınıza varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için değeri ayarlanmış Internet bir 0.0.0.0/0 UDR NextHopType kullanarak bunu geçersiz kılmanız gerekir.

Not

Azure Güvenlik Duvarı zorlamalı tüneli destekleyecek şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz. zorlamalı tünel Azure Güvenlik Duvarı.

Bir UDR varsayılan ağ geçidi olarak Azure Güvenlik Duvarı işaret etse bile doğrudan eşlenen sanal ağlar arasındaki trafik doğrudan yönlendirilir. Bu senaryoda güvenlik duvarına alt ağdan alt ağa trafik göndermek için UDR'nin hedef alt ağ ön ekini her iki alt ağda da açıkça içermesi gerekir.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Güvenlik duvarı hub'ı sanal ağını oluşturma

İlk olarak, kaynakları içerecek kaynak grubunu oluşturun:

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları>Oluştur'u seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu için RG-fw-hybrid-test girin.
  5. Bölge için bir bölge seçin. Daha sonra oluşturduğunuz tüm kaynaklar aynı bölgede olmalıdır.
  6. Gözden geçir + Oluştur’u seçin.
  7. Oluştur'u belirleyin.

Şimdi sanal ağı oluşturalım.

Not

AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna sanal ağ girin.
  3. Sanal ağ'ı ve ardından Oluştur'u seçin.
  4. Kaynak grubu için RG-fw-hybrid-test öğesini seçin.
  5. Sanal ağ adı için VNet-Hub girin.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılan adresi silin ve 10.5.0.0/16 girin.
  10. Alt ağlar'ın altında varsayılan alt ağı silin.
  11. Alt ağ ekle'yi seçin.
  12. Alt ağ ekle sayfasında Alt ağ şablonu için Azure Güvenlik Duvarı'yi seçin.
  13. Ekle'yi seçin.

Ağ geçidi için ikinci bir alt ağ oluşturun:

  1. Alt ağ ekle'yi seçin.
  2. Alt ağ şablonu için Sanal Ağ Ağ Geçidi'ni seçin.
  3. Başlangıç adresi için varsayılan 10.5.1.0 değerini kabul edin.
  4. Alt ağ boyutu için varsayılan /27 değerini kabul edin.
  5. Ekle'yi seçin.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Uç sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna sanal ağ girin.
  3. Sanal ağ'ı ve ardından Oluştur'u seçin.
  4. Kaynak grubu için RG-fw-hybrid-test öğesini seçin.
  5. Ad alanına VNet-Spoke girin.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılan adresi silin ve 10.6.0.0/16 girin.
  10. Alt ağlar'ın altında varsayılan alt ağı silin.
  11. Alt ağ ekle'yi seçin.
  12. Ad alanına SN-Workload girin.
  13. Başlangıç adresi için varsayılan 10.6.0.0 değerini kabul edin.
  14. Alt ağ boyutu için varsayılan /24 değerini kabul edin.
  15. Ekle'yi seçin.
  16. Gözden geçir ve oluştur’u seçin.
  17. Oluştur'u belirleyin.

Şirket içi sanal ağı oluşturma

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna sanal ağ girin.
  3. Sanal ağ'ı ve ardından Oluştur'u seçin.
  4. Kaynak grubu için RG-fw-hybrid-test öğesini seçin.
  5. Ad alanına VNet-Onprem girin.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri'yi seçin.
  8. Güvenlik sekmesinde İleri'yi seçin.
  9. IPv4 Adres alanı için varsayılan adresi silin ve 192.168.0.0/16 girin.
  10. Alt ağlar'ın altında varsayılan alt ağı silin.
  11. Alt ağ ekle'yi seçin.
  12. Ad alanına SN-Corp girin.
  13. Başlangıç adresi için varsayılan 192.168.0.0 değerini kabul edin.
  14. Alt ağ boyutu için varsayılan /24 değerini kabul edin.
  15. Ekle'yi seçin.

Şimdi ağ geçidi için ikinci bir alt ağ oluşturun:

  1. Alt ağ ekle'yi seçin.
  2. Alt ağ şablonu için Sanal Ağ Ağ Geçidi'ni seçin.
  3. Başlangıç adresi için varsayılan 192.168.1.0 değerini kabul edin.
  4. Alt ağ boyutu için varsayılan /27 değerini kabul edin.
  5. Ekle'yi seçin.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Güvenlik duvarını yapılandırma ve dağıtma

Güvenlik duvarını güvenlik duvarı hub'ına dağıtın:

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Arama kutusuna güvenlik duvarı girin.

  3. Güvenlik duvarı'nı ve ardından Oluştur'u seçin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Value
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu RG-fw-hybrid-test girin.
    Ad AzFW01 girin.
    Bölge Daha önce kullandığınız bölgeyi seçin.
    Güvenlik Duvarı SKU'su Standart'ı seçin.
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik duvarı kurallarını kullan (klasik) seçeneğini belirleyin.
    Sanal ağ seçme Var olan>VNet-Hub'ı kullan'ı seçin.
    Genel IP adresi Yeni>fw-pip ekle'yi seçin.

  5. Gözden geçir ve oluştur’u seçin.

  6. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Güvenlik duvarının dağıtılması birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-fw-hybrid-test kaynak grubuna gidin ve AzFW01 güvenlik duvarını seçin.

  8. Özel IP adresini not edin. Bunu daha sonra varsayılan yolu oluştururken kullanırsınız.

Ağ kurallarını yapılandırma

İlk olarak, web trafiğine izin vermek için bir ağ kuralı ekleyin:

  1. AzFW01 sayfasında Kurallar (klasik) öğesini seçin.
  2. Ağ kuralı koleksiyonu sekmesini seçin.
  3. Ağ kuralı koleksiyonu ekle'yi seçin.
  4. Ad alanına RCNet01 yazın.
  5. Öncelik için 100 girin.
  6. Kural koleksiyonu eylemi için İzin Ver'i seçin.
  7. Kurallar IP Adresleri'nin altında, Ad alanına AllowWeb yazın.
  8. Protokol alanında TCP'yi seçin.
  9. Kaynak türü için IP adresi'ne tıklayın.
  10. Kaynak alanına 192.168.0.0/24 girin.
  11. Hedef türü için IP adresi'ne tıklayın.
  12. Hedef Adres alanına 10.6.0.0/16 girin.
  13. Hedef Bağlantı Noktaları için 80 girin.

Şimdi RDP trafiğine izin vermek için bir kural ekleyin. İkinci kural satırına aşağıdaki bilgileri girin:

  1. Ad alanına AllowRDP girin.
  2. Protokol alanında TCP'yi seçin.
  3. Kaynak türü için IP adresi'ne tıklayın.
  4. Kaynak alanına 192.168.0.0/24 girin.
  5. Hedef türü için IP adresi'ne tıklayın.
  6. Hedef Adres alanına 10.6.0.0/16 girin.
  7. Hedef Bağlantı Noktaları için 3389 girin.
  8. Ekle'yi seçin.

VPN ağ geçitlerini oluşturma ve bağlama

Merkez ve şirket içi sanal ağlar VPN ağ geçitleri aracılığıyla bağlanır.

Merkez sanal ağı için VPN ağ geçidi oluşturma

Merkez sanal ağı için VPN ağ geçidi oluşturun. Ağdan ağa yapılandırmalar, yol tabanlı bir VPN türü gerektirir. Vpn ağ geçidi oluşturmak, seçtiğiniz SKU'ya bağlı olarak genellikle 45 dakika veya daha uzun sürebilir.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna sanal ağ geçidi girin.
  3. Sanal ağ geçidi'ni ve ardından Oluştur'u seçin.
  4. Ad alanına GW-hub yazın.
  5. Bölge için daha önce kullandığınız bölgeyi seçin.
  6. Ağ geçidi türü için VPN'yi seçin.
  7. VPN türü için Rota tabanlı'yı seçin.
  8. SKU için Temel'i seçin.
  9. Sanal ağ için VNet-Hub'ı seçin.
  10. Genel IP adresi için Yeni oluştur'u seçin ve ad olarak VNet-Hub-GW-pip girin.
  11. Etkin-etkin modu etkinleştir için Devre Dışı'nı seçin.
  12. Kalan varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.
  13. Yapılandırmayı gözden geçirin ve Oluştur'u seçin.

Şirket içi sanal ağ için VPN ağ geçidi oluşturma

Şirket içi sanal ağ için VPN ağ geçidi oluşturun. Ağdan ağa yapılandırmalar, yol tabanlı bir VPN türü gerektirir. Vpn ağ geçidi oluşturmak, seçtiğiniz SKU'ya bağlı olarak genellikle 45 dakika veya daha uzun sürebilir.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna sanal ağ geçidi girin.
  3. Sanal ağ geçidi'ni ve ardından Oluştur'u seçin.
  4. Ad alanına GW-Onprem yazın.
  5. Bölge için daha önce kullandığınız bölgeyi seçin.
  6. Ağ geçidi türü için VPN'yi seçin.
  7. VPN türü için Rota tabanlı'yı seçin.
  8. SKU için Temel'i seçin.
  9. Sanal ağ için VNet-Onprem'i seçin.
  10. Genel IP adresi için Yeni oluştur'u seçin ve ad olarak VNet-Onprem-GW-pip girin.
  11. Etkin-etkin modu etkinleştir için Devre Dışı'nı seçin.
  12. Kalan varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.
  13. Yapılandırmayı gözden geçirin ve Oluştur'u seçin.

VPN bağlantılarını oluşturma

Artık merkez ile şirket içi ağ geçitleri arasında VPN bağlantıları oluşturabilirsiniz.

Aşağıdaki adımlarda merkez sanal ağından şirket içi sanal ağa bağlantıyı oluşturursunuz. Örneklerde paylaşılan anahtar gösterilir, ancak paylaşılan anahtar için kendi değerinizi kullanabilirsiniz. Paylaşılan anahtarın her iki bağlantıyla da eşleşiyor olması önemlidir. Bir bağlantı oluşturmak çok zaman almaz.

  1. RG-fw-hybrid-test kaynak grubunu açın ve GW-hub ağ geçidini seçin.
  2. Sol sütunda Bağlan yonlar'ı seçin.
  3. Ekle'yi seçin.
  4. Bağlantı adı olarak Hub-Onprem girin.
  5. Bağlan türü için Sanal Ağdan Sanal Ağa öğesini seçin.
  6. İleri'yi seçin.
  7. İlk sanal ağ geçidi için GW-hub'ı seçin.
  8. İkinci sanal ağ geçidi için GW-Onprem'i seçin.
  9. Paylaşılan anahtar (PSK) için AzureA1b2C3 girin.
  10. Gözden geçir + Oluştur’u seçin.
  11. Oluştur'u belirleyin.

Şirket içi ile merkez arasında sanal ağ bağlantısı oluşturun. Aşağıdaki adımlar, VNet-Onprem'den VNet-Hub'a bağlantı oluşturmanız dışında önceki adımlara benzer. Paylaşılan anahtarların eşleştiğinden emin olun. Bağlantı birkaç dakika sonra kurulur.

  1. RG-fw-hybrid-test kaynak grubunu açın ve GW-Onprem ağ geçidini seçin.
  2. Sol sütunda Bağlan yonlar'ı seçin.
  3. Ekle'yi seçin.
  4. Bağlantı adı için Onprem-to-Hub girin.
  5. Bağlan türü için Sanal Ağdan Sanal Ağa'yı seçin.
  6. İleri: Ayarlar'i seçin.
  7. İlk sanal ağ geçidi için GW-Onprem'i seçin.
  8. İkinci sanal ağ geçidi için GW-hub'ı seçin.
  9. Paylaşılan anahtar (PSK) için AzureA1b2C3 girin.
  10. Gözden geçir + Oluştur’u seçin.
  11. Oluştur'u belirleyin.

Bağlantıları doğrulama

Yaklaşık beş dakika sonra her iki bağlantının da durumu Bağlan.

Ağ geçidi bağlantılarını gösteren ekran görüntüsü.

Merkez ve uç sanal ağlarını eşleme

Şimdi merkez ve uç sanal ağlarını eşle:

  1. RG-fw-hybrid-test kaynak grubunu açın ve VNet-Hub sanal ağını seçin.

  2. Sol sütunda Eşlemeler'i seçin.

  3. Ekle'yi seçin.

  4. Bu sanal ağ altında:

    Ayar adı Ayar
    Eşleme bağlantı adı HubtoSpoke girin.
    Uzak sanal ağa trafik İzin ver'i seçin.
    Uzak sanal ağdan iletilen trafik İzin ver'i seçin.
    Sanal ağ geçidi Bu sanal ağın ağ geçidini kullan'ı seçin.

  5. Uzak sanal ağ altında:

    Ayar adı Değer
    Eşleme bağlantı adı SpoketoHub'a girin.
    Sanal ağ dağıtım modeli Kaynak yöneticisi'ne tıklayın.
    Abonelik Aboneliğinizi seçin.
    Sanal ağ VNet-Spoke'ı seçin.
    Uzak sanal ağa trafik İzin ver'i seçin.
    Uzak sanal ağdan iletilen trafik İzin ver'i seçin.
    Sanal ağ geçidi Uzak sanal ağın ağ geçidini kullan'ı seçin.

  6. Ekle'yi seçin.

Aşağıdaki ekran görüntüsünde merkez ve uç sanal ağlarını eşlerken kullanılacak ayarlar gösterilmektedir:

Eşleme merkezi ve uç sanal ağlarının seçimlerini gösteren ekran görüntüsü.

Yolları oluşturma

Aşağıdaki adımlarda şu yolları oluşturursunuz:

  • Güvenlik duvarı IP adresi üzerinden hub ağ geçidi alt ağından uç alt ağına giden bir yol
  • Güvenlik duvarı IP adresi üzerinden uç alt ağından gelen varsayılan yol

Yolları oluşturmak için:

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna yol tablosu girin.
  3. Yol tablosu'nu ve ardından Oluştur'u seçin.
  4. Kaynak grubu için RG-fw-hybrid-test öğesini seçin.
  5. Bölge için daha önce kullandığınız konumu seçin.
  6. Ad olarak UDR-Hub-Spoke girin.
  7. Gözden geçir + Oluştur’u seçin.
  8. Oluştur'u belirleyin.
  9. Yol tablosu oluşturulduktan sonra, yönlendirme tablosu sayfasını açmak için bu tabloyu seçin.
  10. Sol sütunda Yollar'ı seçin.
  11. Ekle'yi seçin.
  12. Yol adı için ToSpoke girin.
  13. Hedef türü için IP adresleri'ne tıklayın.
  14. Hedef IP adresleri/CIDR aralıkları için 10.6.0.0/16 girin.
  15. Sonraki atlama türü için Sanal gereç'i seçin.
  16. Sonraki atlama adresi için güvenlik duvarının daha önce not ettiğiniz özel IP adresini girin.
  17. Ekle'yi seçin.

Şimdi yolu alt ağ ile ilişkilendirin:

  1. UDR-Hub-Spoke - Yollar sayfasında Alt ağlar'ı seçin.
  2. İlişkili'yi seçin.
  3. Sanal ağ'ın altında VNet-Hub'ı seçin.
  4. Alt ağ'ın altında GatewaySubnet'i seçin.
  5. Tamam'ı seçin.

Uç alt ağından varsayılan yolu oluşturun:

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama kutusuna yol tablosu girin.
  3. Yol tablosu'nu ve ardından Oluştur'u seçin.
  4. Kaynak grubu için RG-fw-hybrid-test öğesini seçin.
  5. Bölge için daha önce kullandığınız konumu seçin.
  6. Ad olarak UDR-DG girin.
  7. Ağ geçidi yolunu yay için Hayır'ı seçin.
  8. Gözden geçir + Oluştur’u seçin.
  9. Oluştur'u belirleyin.
  10. Yol tablosu oluşturulduktan sonra, yönlendirme tablosu sayfasını açmak için bu tabloyu seçin.
  11. Sol sütunda Yollar'ı seçin.
  12. Ekle'yi seçin.
  13. Yol adı için ToHub yazın.
  14. Hedef türü için IP adresleri'ne tıklayın.
  15. Hedef IP adresleri/CIDR aralıkları için 0.0.0.0/0 girin.
  16. Sonraki atlama türü için Sanal gereç'i seçin.
  17. Sonraki atlama adresi için güvenlik duvarının daha önce not ettiğiniz özel IP adresini girin.
  18. Ekle'yi seçin.

Yolu alt ağ ile ilişkilendirin:

  1. UDR-DG - Yollar sayfasında Alt ağlar'ı seçin.
  2. İlişkili'yi seçin.
  3. Sanal ağ'ın altında VNet-Spoke'ı seçin.
  4. Alt ağ'ın altında SN-İş Yükü'ne tıklayın.
  5. Tamam'ı seçin.

Sanal makineleri oluşturma

Uç iş yükünü ve şirket içi sanal makineleri oluşturun ve uygun alt ağlara yerleştirin.

İş yükü sanal makinesi oluşturma

Uç sanal ağında Internet Information Services (IIS) çalıştıran ve genel IP adresi olmayan bir sanal makine oluşturun:

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Popüler Market ürünleri'nin altında Windows Server 2019 Datacenter'ı seçin.
  3. Sanal makine için şu değerleri girin:
    • Kaynak grubu: RG-fw-hybrid-test öğesini seçin.
    • Sanal makine adı: VM-Spoke-01 girin.
    • Bölge: Daha önce kullandığınız bölgeyi seçin.
    • Kullanıcı adı: Bir kullanıcı adı girin.
    • Parola: Bir parola girin.
  4. Genel gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver'i ve ardından HTTP (80) ve RDP (3389) seçeneğini belirleyin.
  5. İleri: Diskler'i seçin.
  6. Varsayılanları kabul edin ve İleri: Ağ'ı seçin.
  7. Sanal ağ için VNet-Spoke'ı seçin. Alt ağ SN-Workload'dır.
  8. Genel IP için Yok'a tıklayın.
  9. İleri: Yönetim'i seçin.
  10. İleri: İzleme'yi seçin.
  11. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  12. Gözden Geçir+Oluştur'u seçin, özet sayfasındaki ayarları gözden geçirin ve ardından Oluştur'u seçin.

IIS yükleme

  1. Azure portalında Azure Cloud Shell'i açın ve PowerShell olarak ayarlandığından emin olun.

  2. Sanal makineye IIS yüklemek için aşağıdaki komutu çalıştırın ve gerekirse konumu değiştirin:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Şirket içi sanal makineyi oluşturma

Genel IP adresine uzaktan erişim yoluyla bağlanmak için kullandığınız bir sanal makine oluşturun. Buradan, güvenlik duvarı üzerinden uç sunucusuna bağlanabilirsiniz.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Popüler'in altında Windows Server 2019 Datacenter'ı seçin.
  3. Sanal makine için şu değerleri girin:
    • Kaynak grubu: Var olanı ve ardından RG-fw-hybrid-test'i seçin.
    • Sanal makine adı: VM-Onprem girin.
    • Bölge: Daha önce kullandığınız bölgeyi seçin.
    • Kullanıcı adı: Bir kullanıcı adı girin.
    • Parola: Bir kullanıcı parolası girin.
  4. Genel gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver'i ve ardından RDP (3389) seçeneğini belirleyin.
  5. İleri: Diskler'i seçin.
  6. Varsayılanları kabul edin ve İleri: Ağ'ı seçin.
  7. Sanal ağ için VNet-Onprem'i seçin. Alt ağ SN-Corp'dur.
  8. İleri: Yönetim'i seçin.
  9. İleri: İzleme'yi seçin.
  10. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  11. Gözden Geçir+Oluştur'u seçin, özet sayfasındaki ayarları gözden geçirin ve ardından Oluştur'u seçin.

Not

Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.

Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:

Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.

Güvenlik duvarını test etme

  1. VM-Spoke-01 sanal makinesinin özel IP adresini not edin.

  2. Azure portalında VM-Onprem sanal makinesine bağlanın.

  3. VM-Onprem üzerinde bir web tarayıcısı açın ve adresine http://<VM-Spoke-01 private IP>gidin.

    VM-Spoke-01 web sayfası açılmalıdır.

    Uç sanal makinesinin web sayfasını gösteren ekran görüntüsü.

  4. VM-Onprem sanal makinesinden, özel IP adresinde VM-Spoke-01'e uzaktan erişim bağlantısı açın.

    Bağlantınız başarılı olmalı ve oturum açabilmelisiniz.

Güvenlik duvarı kurallarının çalıştığını doğruladığınıza göre şunları yapabilirsiniz:

  • Uç sanal ağında web sunucusuna göz atın.
  • RDP kullanarak uç sanal ağındaki sunucuya Bağlan.

Ardından, güvenlik duvarı kurallarının beklendiği gibi çalıştığını doğrulamak için güvenlik duvarı ağ kurallarının koleksiyonuna yönelik eylemi Reddet olarak değiştirin:

  1. AzFW01 güvenlik duvarını seçin.
  2. Kurallar (klasik) öğesini seçin.
  3. Ağ kuralı koleksiyonu sekmesini seçin ve RCNet01 kural koleksiyonunu seçin.
  4. Eylem için Reddet'i seçin.
  5. Kaydet'i seçin.

Mevcut uzaktan erişim bağlantılarını kapatın. Değiştirilen kuralları test etmek için testleri yeniden çalıştırın. Bu kez tümü başarısız olmalıdır.

Kaynakları temizleme

Daha fazla test için güvenlik duvarı kaynaklarınızı koruyabilirsiniz. Artık bunlara ihtiyacınız yoksa, güvenlik duvarıyla ilgili tüm kaynakları silmek için RG-fw-hybrid-test kaynak grubunu silin.

Sonraki adımlar

Azure Güvenlik Duvarı günlüklerini izleme