Öğretici: Azure portalını kullanarak bir ağ güvenlik grubu ile ağ trafiğini filtrelemeTutorial: Filter network traffic with a network security group using the Azure portal

Bir sanal ağ alt ağına gelen ve sanal ağ alt ağından giden ağ trafiğini, bir ağ güvenlik grubu ile filtreleyebilirsiniz.You can filter network traffic inbound to and outbound from a virtual network subnet with a network security group. Ağ güvenlik grupları, ağ trafiğini IP adresi, bağlantı noktası ve protokole göre filtreleyen güvenlik kuralları içerir.Network security groups contain security rules that filter network traffic by IP address, port, and protocol. Güvenlik kuralları bir alt ağda dağıtılmış kaynaklara uygulanır.Security rules are applied to resources deployed in a subnet. Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:In this tutorial, you learn how to:

  • Ağ güvenlik grubu ve güvenlik kuralları oluşturmaCreate a network security group and security rules
  • Bir sanal ağ oluşturma ve ağ güvenlik grubunu alt ağ ile ilişkilendirmeCreate a virtual network and associate a network security group to a subnet
  • Sanal makineleri (VM) bir alt ağa dağıtmaDeploy virtual machines (VM) into a subnet
  • Trafik filtrelerini test etmeTest traffic filters

Tercih ederseniz, bu öğreticiyi Azure CLI veya PowerShell kullanarak tamamlayabilirsiniz.If you prefer, you can complete this tutorial using the Azure CLI or PowerShell.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.If you don't have an Azure subscription, create a free account before you begin.

Azure'da oturum açmaSign in to Azure

https://portal.azure.com adresinden Azure portalında oturum açın.Sign in to the Azure portal at https://portal.azure.com.

Sanal ağ oluşturCreate a virtual network

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.Select + Create a resource on the upper, left corner of the Azure portal.

  2. ’ı ve sonra Sanal ağ’ı seçin.Select Networking, and then select Virtual network.

  3. Aşağıdaki bilgileri girin veya seçin, kalan ayarlar için varsayılan değerleri kabul edin ve sonra Oluştur’u seçin:Enter, or select, the following information, accept the defaults for the remaining settings, and then select Create:

    AyarSetting DeğerValue
    AdName myVirtualNetworkmyVirtualNetwork
    Adres alanıAddress space 10.0.0.0/1610.0.0.0/16
    AbonelikSubscription Aboneliğinizi seçin.Select your subscription.
    Kaynak grubuResource group Yeni oluştur’u seçin ve myResourceGroup değerini girin.Select Create new and enter myResourceGroup.
    LocationLocation Doğu ABD’yi seçin.Select East US.
    Alt Ağ - AdSubnet- Name mySubnetmySubnet
    Alt Ağ - Adres aralığıSubnet - Address range 10.0.0.0/2410.0.0.0/24

Uygulama güvenlik grupları oluşturmaCreate application security groups

Uygulama güvenlik grubu, web sunucuları gibi benzer işlevlere sahip sunucuları birlikte gruplandırmanızı sağlar.An application security group enables you to group together servers with similar functions, such as web servers.

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.Select + Create a resource on the upper, left corner of the Azure portal.

  2. Market içinde ara kutusuna Uygulama güvenlik grubu girin.In the Search the Marketplace box, enter Application security group. Arama sonuçlarında Uygulama güvenlik grubu gösterildiğinde bunu seçin, Her şey'in altında yeniden Uygulama güvenlik grubu'nu seçin ve sonra da Oluştur'u seçin.When Application security group appears in the search results, select it, select Application security group again under Everything, and then select Create.

  3. Aşağıdaki bilgileri girin veya seçin ve sonra Oluştur’u seçin:Enter, or select, the following information, and then select Create:

    AyarSetting DeğerValue
    AdName myAsgWebServersmyAsgWebServers
    AbonelikSubscription Aboneliğinizi seçin.Select your subscription.
    Kaynak grubuResource group Var olanı kullan’ı seçin ve sonra myResourceGroup öğesini seçin.Select Use existing and then select myResourceGroup.
    LocationLocation Doğu ABDEast US
  4. 3. adımı yeniden tamamlayın ve aşağıdaki değerleri belirtin:Complete step 3 again, specifying the following values:

    AyarSetting DeğerValue
    AdName myAsgMgmtServersmyAsgMgmtServers
    AbonelikSubscription Aboneliğinizi seçin.Select your subscription.
    Kaynak grubuResource group Var olanı kullan’ı seçin ve sonra myResourceGroup öğesini seçin.Select Use existing and then select myResourceGroup.
    LocationLocation Doğu ABDEast US

Ağ güvenlik grubu oluşturmaCreate a network security group

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.Select + Create a resource on the upper, left corner of the Azure portal.

  2. 'ı ve sonra Ağ güvenlik grubu’nu seçin.Select Networking, and then select Network security group.

  3. Aşağıdaki bilgileri girin veya seçin ve sonra Oluştur’u seçin:Enter, or select, the following information, and then select Create:

    AyarSetting DeğerValue
    AdName myNsgmyNsg
    AbonelikSubscription Aboneliğinizi seçin.Select your subscription.
    Kaynak grubuResource group Mevcut olanı kullan’ı seçin ve myResourceGroup seçeneğini belirleyin.Select Use existing and then select myResourceGroup.
    LocationLocation Doğu ABDEast US

Ağ güvenlik grubunu alt ağ ile ilişkilendirmeAssociate network security group to subnet

  1. Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myNsg yazmaya başlayın.In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. Arama sonuçlarında myNsg görüntülendiğinde bunu seçin.When myNsg appears in the search results, select it.

  2. AYARLAR'ın altında Alt Ağlar’ı ve sonra aşağıdaki resimde gösterildiği gibi + İlişkilendir’i seçin:Under SETTINGS, select Subnets and then select + Associate, as shown in the following picture:

    NSG'yi alt ağ ile ilişkilendirme

  3. Alt ağı ilişkilendir'in altında Sanal ağ’ı seçin ve sonra da myVirtualNetwork öğesini seçin.Under Associate subnet, select Virtual network and then select myVirtualNetwork. Alt ağ'ı seçin, mySubnet öğesini ve sonra da Tamam'ı seçin.Select Subnet, select mySubnet, and then select OK.

Güvenlik kuralları oluşturmaCreate security rules

  1. Aşağıdaki resimde gösterildiği gibi, AYARLAR'ın altında Gelen güvenlik kuralları’nı ve sonra da + Ekle’yi seçin:Under SETTINGS, select Inbound security rules and then select + Add, as shown in the following picture:

    Gelen güvenlik kuralı ekleme

  2. 80 ve 443 numaralı bağlantı noktalarına myAsgWebServers uygulama güvenlik grubu için izin veren bir güvenlik kuralı oluşturun.Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. Gelen güvenlik kuralı ekle'nin altında, aşağıdaki değerleri girin veya seçin, kalan varsayılan değerleri kabul edin ve ardından Ekle'yi seçin:Under Add inbound security rule, enter, or select the following values, accept the remaining defaults, and then select Add:

    AyarSetting DeğerValue
    HedefDestination Uygulama güvenlik grubu'nu seçin ve sonra da Uygulama güvenlik grubu olarak myAsgWebServers öğesini seçin.Select Application security group, and then select myAsgWebServers for Application security group.
    Hedef bağlantı noktası aralıklarıDestination port ranges 80, 443 girinEnter 80,443
    ProtocolProtocol TCP seçinSelect TCP
    AdName Allow-Web-AllAllow-Web-All
  3. Aşağıdaki değerleri kullanarak 2. adımı yeniden tamamlayın:Complete step 2 again, using the following values:

    AyarSetting DeğerValue
    HedefDestination Uygulama güvenlik grubu'nu seçin ve sonra da Uygulama güvenlik grubu olarak myAsgMgmtServers öğesini seçin.Select Application security group, and then select myAsgMgmtServers for Application security group.
    Hedef bağlantı noktası aralıklarıDestination port ranges 3389 girinEnter 3389
    ProtocolProtocol TCP seçinSelect TCP
    ÖncelikPriority 110 girinEnter 110
    AdName İzin Ver-RDP-TümüAllow-RDP-All

    Bu öğreticide, RDP (3389 numaralı bağlantı noktası) myAsgMgmtServers uygulama güvenlik grubuna atanmış olan VM için İnternet'te kullanıma sunulur.In this tutorial, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group. Üretim ortamlarında 3389 numaralı bağlantı noktasını İnternette kullanıma sunmak yerine VPN veya özel ağ bağlantısı kullanarak yönetmek istediğiniz Azure kaynaklarına bağlamanız önerilir.For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN or private network connection.

1 ile 3 arası adımları tamamladıktan sonra, oluşturduğunuz kuralları gözden geçirin.Once you've completed steps 1-3, review the rules you created. Listeniz aşağıdaki resimde gösterilen listeye benzer olmalıdır:Your list should look like the list in the following picture:

Güvenlik kuralları

Sanal makineler oluşturmaCreate virtual machines

Sanal ağ üzerinde iki sanal makine oluşturun.Create two VMs in the virtual network.

Birinci sanal makineyi oluşturmaCreate the first VM

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. İşlem'i seçin ve sonra da Windows Server 2016 Datacenter'ı seçin.Select Compute, and then select Windows Server 2016 Datacenter.

  3. Aşağıdaki bilgileri girin veya seçin, kalan ayarlar için varsayılan değerleri kabul edin ve sonra Tamam’ı seçin:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    AyarSetting DeğerValue
    AdName myVmWebmyVmWeb
    Kullanıcı adıUser name Seçtiğiniz bir kullanıcı adını girin.Enter a user name of your choosing.
    ParolaPassword Seçtiğiniz bir parolayı girin.Enter a password of your choosing. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanmış karmaşıklık gereksinimlerini karşılamalıdır.The password must be at least 12 characters long and meet the defined complexity requirements.
    AbonelikSubscription Aboneliğinizi seçin.Select your subscription.
    Kaynak grubuResource group Mevcut olanı kullan’ı seçin ve myResourceGroup seçeneğini belirleyin.Select Use existing and select myResourceGroup.
    LocationLocation Doğu ABD’yi seçinSelect East US
  4. Sanal makine için bir boyut seçin ve Seç seçeneğini belirleyin.Select a size for the VM and then select Select.

  5. Ayarlar'ın altında aşağıdaki değerleri seçin, kalan varsayılan değerleri kabul edin ve sonra Tamam’ı seçin:Under Settings, select the following values, accept the remaining defaults, and then select OK:

    AyarSetting DeğerValue
    Sanal ağVirtual network myVirtualNetwork öğesini seçinSelect myVirtualNetwork
    Ağ Güvenlik GrubuNetwork Security Group Gelişmiş'i seçin.Select Advanced.
    Ağ güvenlik grubu (güvenlik duvarı)Network security group (firewall) (Yeni) myVmWeb-nsg öğesini seçin ve ardından Ağ güvenlik grubu seç'in altında Hiçbiri'ni seçin.Select (new) myVmWeb-nsg, and then under Choose network security group, select None.
  6. Özet’in Oluştur bölümünde Oluştur’u seçerek sanal makine dağıtımını başlatın.Under Create of the Summary, select Create to start VM deployment.

İkinci sanal makineyi oluşturmaCreate the second VM

1 ile 6 arası adımları yeniden tamamlayın, ama 3. adımda VM'yi myVmMgmt olarak adlandırın.Complete steps 1-6 again, but in step 3, name the VM myVmMgmt. Sanal makinenin dağıtılması birkaç dakika sürer.The VM takes a few minutes to deploy. VM dağıtılana kadar sonraki adıma geçmeyin.Do not continue to the next step until the VM is deployed.

Ağ arabirimlerini ASG ile ilişkilendirmeAssociate network interfaces to an ASG

Portal VM'leri oluştururken, her VM için bir ağ arabirimi oluşturur ve ağ arabirimini VM'ye bağlar.When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM. Her VM'nin ağ arabirimini daha önce oluşturduğunuz uygulama güvenlik gruplarından birine ekleyin:Add the network interface for each VM to one of the application security groups you created previously:

  1. Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myVmWeb yazmaya başlayın.In the Search resources, services, and docs box at the top of the portal, begin typing myVmWeb. Arama sonuçlarında myVmWeb VM'si göründüğünde bunu seçin.When the myVmWeb VM appears in the search results, select it.

  2. AYARLAR'ın altında Ağ İletişimi’ni seçin.Under SETTINGS, select Networking. Aşağıdaki resimde gösterildiği gibi Uygulama güvenlik gruplarını yapılandır'ı seçin, Uygulama güvenlik grupları için myAsgWebServers değerini seçin ve sonra da Kaydet'i seçin:Select Configure the application security groups, select myAsgWebServers for Application security groups, and then select Save, as shown in the following picture:

    ASG ile ilişkilendirme

  3. 1. ve 2. adımları yeniden tamamlayın; myVmMgmt VM'si için arama yapın ve myAsgMgmtServers ASG'sini seçin.Complete steps 1 and 2 again, searching for the myVmMgmt VM and selecting the myAsgMgmtServers ASG.

Trafik filtrelerini test etmeTest traffic filters

  1. myVmMgmt VM'sine bağlanın.Connect to the myVmMgmt VM. Portalın üst kısmındaki arama kutusuna myVmMgmt yazın.Enter myVmMgmt in the search box at the top of the portal. Arama sonuçlarında myVmMgmt görüntülendiğinde bunu seçin.When myVmMgmt appears in the search results, select it. Bağlan düğmesini seçin.Select the Connect button.

  2. RDP dosyasını indir'i seçin.Select Download RDP file.

  3. İndirilen rdp dosyasını açın ve Bağlan'ı seçin.Open the downloaded rdp file and select Connect. Sanal makine oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.Enter the user name and password you specified when creating the VM. Sanal makineyi oluştururken girdiğiniz kimlik bilgilerini belirtmek için Diğer seçenekler’i ve sonra Farklı bir hesap kullan seçeneğini belirlemeniz gerekebilir.You may need to select More choices, then Use a different account, to specify the credentials you entered when you created the VM.

  4. Tamam’ı seçin.Select OK.

  5. Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz.You may receive a certificate warning during the sign-in process. Uyarı alırsanız, bağlantıya devam etmek için Evet’i veya Bağlan’ı seçin.If you receive the warning, select Yes or Continue, to proceed with the connection.

    myVmMgmt sanal makinesine bağlı ağ arabiriminin içinde bulunduğu myAsgMgmtServers uygulama güvenlik grubuna 3389 numaralı bağlantı noktasının internetten gelmesine izin verildiği için bağlantı başarılı olur.The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group that the network interface attached to the myVmMgmt VM is in.

  6. PowerShell oturumunda aşağıdaki komutu girerek myVmMgmt VM'sinden myVmWeb VM'sine bağlanın:Connect to the myVmWeb VM from the myVmMgmt VM by entering the following command in a PowerShell session:

    mstsc /v:myVmWeb
    

    myVmMgmt VM'sinden myVmWeb VM'sine bağlanabilirsiniz çünkü aynı sanal ağ içindeki VM'ler varsayılan olarak herhangi bir bağlantı noktası üzerinden birbiriyle iletişim kurabilir.You are able to connect to the myVmWeb VM from the myVmMgmt VM because VMs in the same virtual network can communicate with each other over any port, by default. Öte yandan myAsgWebServers güvenlik kuralı internetten 3389 numaralı gelen bağlantı noktasına izin vermediği için myVmWeb sanal makinesi ile bir uzak masaüstü bağlantısı oluşturamazsınız ve İnternet'ten tüm kaynaklara gelen trafik varsayılan olarak reddedilir.You can't however, create a remote desktop connection to the myVmWeb VM from the internet, because the security rule for the myAsgWebServers doesn't allow port 3389 inbound from the internet and inbound traffic from the Internet is denied to all resources, by default.

  7. myVmWeb VM'sinde Microsoft IIS'yi yüklemek için, myVmWeb VM'sinde PowerShell oturumundan aşağıdaki komutu girin:To install Microsoft IIS on the myVmWeb VM, enter the following command from a PowerShell session on the myVmWeb VM:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. IIS yüklemesi tamamlandıktan sonra myVmWeb sanal makinesinin bağlantısını kesmeniz durumunda myVmMgmt VM uzak masaüstü bağlantısında kalırsınız.After the IIS installation is complete, disconnect from the myVmWeb VM, which leaves you in the myVmMgmt VM remote desktop connection.

  9. myVmMgmt sanal makinesiyle bağlantıyı kesin.Disconnect from the myVmMgmt VM.

  10. Bilgisayarınızdan Azure portalının üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myVmWeb yazmaya başlayın.In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVmWeb from your computer. Arama sonuçlarında myVmWeb görüntülendiğinde bunu seçin.When myVmWeb appears in the search results, select it. VM'nizin Genel IP adresini not alın.Note the Public IP address for your VM. Aşağıdaki resimde adres olarak 137.135.84.74 gösterilir ama sizin adresiniz farklıdır:The address shown in the following picture is 137.135.84.74, but your address is different:

    Genel IP adresi

  11. myVmWeb web sunucusuna İnternet'ten erişebildiğinizi onaylamak için bilgisayarınızda bir İnternet tarayıcısı açın ve http://<public-ip-address-from-previous-step> sayfasına göz atın.To confirm that you can access the myVmWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>. myVmWeb sanal makinesine bağlı ağ arabiriminin içinde bulunduğu myAsgWebServers uygulama güvenlik grubuna 80 numaralı bağlantı noktasının internetten gelmesine izin verildiği için IIS hoş geldiniz ekranını görürsünüz.You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group that the network interface attached to the myVmWeb VM is in.

Kaynakları temizlemeClean up resources

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:When no longer needed, delete the resource group and all of the resources it contains:

  1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin.Enter myResourceGroup in the Search box at the top of the portal. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.When you see myResourceGroup in the search results, select it.
  2. Kaynak grubunu sil'i seçin.Select Delete resource group.
  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Sonraki adımlarNext steps

Bu öğreticide bir ağ güvenlik grubu oluşturdunuz ve bir sanal ağ alt ağı ile ilişkilendirdiniz.In this tutorial, you created a network security group and associated it to a virtual network subnet. Ağ güvenlik grupları hakkında daha fazla bilgi edinmek bkz. Ağ güvenlik grubuna genel bakış ve Ağ güvenlik grubunu yönetme.To learn more about network security groups, see Network security group overview and Manage a network security group.

Azure, varsayılan olarak trafiği alt ağlar arasında yönlendirir.Azure routes traffic between subnets by default. Bunun yerine, alt ağlar arasındaki trafiği, örneğin, güvenlik duvarı olarak görev yapan bir VM aracılığıyla yönlendirmeyi seçebilirsiniz.You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example. Yönlendirme tablosu oluşturma hakkında bilgi edinmek için sonraki öğreticiye geçin.To learn how to create a route table, advance to the next tutorial.