Öğretici: Ağ güvenlik grubunu kullanarak ağ trafiğini filtreleme Azure portal

Bir sanal ağ alt ağına gelen ve giden ağ trafiğini filtrelemek için bir ağ güvenlik grubu kullanabilirsiniz.

Ağ güvenlik grupları, ağ trafiğini IP adresi, bağlantı noktası ve protokole göre filtreleyen güvenlik kuralları içerir. Güvenlik kuralları bir alt ağda dağıtılmış kaynaklara uygulanır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Ağ güvenlik grubu ve güvenlik kuralları oluşturma
  • Bir sanal ağ oluşturma ve ağ güvenlik grubunu alt ağ ile ilişkilendirme
  • Sanal makineleri (VM) bir alt ağa dağıtma
  • Trafik filtrelerini test etme

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

  • Azure aboneliği.

Azure'da oturum açma

https://portal.azure.com adresinden Azure portalında oturum açın.

Sanal ağ oluşturma

  1. Portalın sol üst köşesinden Kaynak oluştur'a tıklayın.

  2. Arama kutusuna Sanal Ağ yazın. Arama sonuçlarında Sanal Ağ'ı seçin.

  3. Sanal Ağ sayfasında Oluştur'a tıklayın.

  4. Sanal ağ oluştur'da Temel Bilgiler sekmesine şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    myResourceGroup girin.
    Tamam’ı seçin.
    Örnek ayrıntıları
    Name myVNet yazın.
    Bölge (ABD) seçeneğini Doğu ABD.
  5. Gözden geçir + oluştur sekmesini veya sayfanın alt kısmında mavi renkli Gözden geçir + oluştur düğmesini seçin.

  6. Oluştur’u seçin.

Uygulama güvenlik grupları oluşturma

Uygulama güvenlik grubu, web sunucuları gibi benzer işlevlere sahip sunucuları birlikte gruplandırmanızı sağlar.

  1. Portalın sol üst köşesinden Kaynak oluştur'a tıklayın.

  2. Arama kutusuna Uygulama güvenlik grubu yazın. Arama sonuçlarında Uygulama güvenlik grubu'nda öğesini seçin.

  3. Uygulama güvenlik grubu sayfasında Oluştur'a tıklayın.

  4. Uygulama güvenlik grubu oluştur'da Temel Bilgiler sekmesine şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myAsgWebServers girin.
    Bölge (ABD) seçeneğini Doğu ABD.
  5. Gözden geçir + oluştur sekmesini veya sayfanın alt kısmında mavi renkli Gözden geçir + oluştur düğmesini seçin.

  6. Oluştur’u seçin.

  7. Aşağıdaki değerleri belirterek 4. adımı tekrarlayın:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myAsgMgmtServers girin.
    Bölge (ABD) seçeneğini Doğu ABD.
  8. Gözden geçir + oluştur sekmesini veya sayfanın alt kısmında mavi renkli Gözden geçir + oluştur düğmesini seçin.

  9. Oluştur’u seçin.

Ağ güvenlik grubu oluşturma

Ağ güvenlik grubu, sanal ağ ağınıza gelen ağ trafiğinin güvenliğini sağlar.

  1. Portalın sol üst köşesinden Kaynak oluştur'a tıklayın.

  2. Arama kutusuna Ağ güvenlik grubu yazın. Arama sonuçlarında Ağ güvenlik grubu'nda öğesini seçin.

  3. Ağ güvenlik grubu sayfasında Oluştur'a tıklayın.

  4. güvenlik grubu oluştur'da Temel Bilgiler sekmesine şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myNSG girin.
    Konum (ABD) seçeneğini Doğu ABD.
  5. Gözden geçir + oluştur sekmesini veya sayfanın alt kısmında mavi renkli Gözden geçir + oluştur düğmesini seçin.

  6. Oluştur’u seçin.

Ağ güvenlik grubunu alt ağ ile ilişkilendirme

Bu bölümde, ağ güvenlik grubunu daha önce oluşturduğum sanal ağın alt ağıyla ilişkilendirmek için kullanılır.

  1. Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myNsg yazmaya başlayın. Arama sonuçlarında myNsg görüntülendiğinde bunu seçin.

  2. myNSG'nin genel bakış sayfasında, 'de Alt ağlar'ı Ayarlar.

  3. Aşağıdaki Ayarlar İşle'yi seçin:

    NSG'yi alt ağ ile ilişkilendirme.

  4. Alt ağı ilişkilendirme altında Sanal ağ'ı ve ardından myVNet'i seçin.

  5. Alt ağ'ı, varsayılan 'ı ve ardından Tamam'ı seçin.

Güvenlik kuralları oluşturma

  1. myNSG Ayarlar içinde Gelen güvenlik kuralları'ı seçin.

  2. Gelen güvenlik kuralları'nın altında+ Ekle'yi seçin:

    Gelen güvenlik kuralı ekleyin.

  3. 80 ve 443 numaralı bağlantı noktalarına myAsgWebServers uygulama güvenlik grubu için izin veren bir güvenlik kuralı oluşturun. Gelen güvenlik kuralı ekle alanına aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Kaynak Varsayılan olarak Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları (*) varsayılan olarak bırakın
    Hedef Uygulama güvenlik grubu'nda öğesini seçin.
    Hedef uygulama güvenlik grubu myAsgWebServers öğesini seçin.
    Hizmet Varsayılan Özel 'i bırakın.
    Hedef bağlantı noktası aralıkları 80.443 girin.
    Protokol TCP’yi seçin.
    Eylem Varsayılan İzin Ver olarak bırakın.
    Öncelik Varsayılan değeri 100 olarak bırakın.
    Name Allow-Web-All girin.

    Gelen güvenlik kuralı.

  4. Aşağıdaki değerleri kullanarak 2. adımı yeniden tamamlayın:

    Ayar Değer
    Kaynak Varsayılan olarak Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları (*) varsayılan olarak bırakın
    Hedef Uygulama güvenlik grubu'nda öğesini seçin.
    Hedef uygulama güvenlik grubu myAsgMgmtServers öğesini seçin.
    Hizmet Varsayılan Özel 'i bırakın.
    Hedef bağlantı noktası aralıkları 3389 girin.
    Protokol Herhangi birini seçin.
    Eylem Varsayılan İzin Ver olarak bırakın.
    Öncelik Varsayılan değeri 110 olarak bırakın.
    Name Allow-RDP-All girin.

    Dikkat

    Bu makalede RDP (bağlantı noktası 3389), myAsgMgmtServers uygulama güvenlik grubuna atanan VM için İnternet'te açıklanmıştır.

    Üretim ortamlarında 3389 bağlantı noktasını İnternet'e ifşa etmek yerine VPN, özel ağ bağlantısı veya ağ bağlantısı kullanarak yönetmek istediğiniz Azure kaynaklarına bağlanmanız Azure Bastion.

    Daha fazla bilgi Azure Bastion için bkz. Azure Bastion?.

1 ile 3 arası adımları tamamladıktan sonra, oluşturduğunuz kuralları gözden geçirin. Listeniz aşağıdaki örnekteki listeye benzer şekilde görünür:

Güvenlik kuralları.

Sanal makineler oluşturma

Sanal ağ üzerinde iki sanal makine oluşturun.

Birinci sanal makineyi oluşturma

  1. Portalın sol üst köşesinden Kaynak oluştur'a tıklayın.

  2. İşlem'i ve ardından Sanal makine'yi seçin.

  3. Sanal makine oluştur'da Temel Bilgiler sekmesine şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Sanal makine adı myVMWeb girin.
    Bölge (ABD) seçeneğini Doğu ABD.
    Kullanılabilirlik seçenekleri Varsayılan olarak yedeklilik gerekmez' olarak bırakın.
    Görüntü Windows Server 2019 Datacenter - 1. Nesil'i seçin.
    Azure Spot örneği Varsayılan işaretini kaldırın.
    Boyut Öğesini Standard_D2s_V3.
    Yönetici hesabı
    Kullanıcı adı Kullanıcı adı girin.
    Parola Parola girin.
    Parolayı onayla Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin.
  4. sekmesini seçin.

  5. sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Ağ arabirimi
    Sanal ağ Myvnet' i seçin.
    Alt ağ Varsayılan (10.0.0.0/24) seçeneğini belirleyin.
    Genel IP Varsayılan olarak yeni bir genel IP bırakın.
    NIC ağ güvenlik grubu Hiçbiri seçeneğini belirtin.
  6. Gözden geçir + oluştur sekmesini seçin veya sayfanın altındaki mavi gözden geçir + oluştur düğmesini seçin.

  7. Oluştur’u seçin.

İkinci sanal makineyi oluşturma

1-7 adımını yeniden deneyin, ancak adım 3 ' te VM 'yi Myvmmgmt olarak adlandırın. Sanal makinenin dağıtılması birkaç dakika sürer.

VM dağıtılana kadar sonraki adıma devam etmeyin.

Ağ arabirimlerini ASG ile ilişkilendirme

Portal VM'leri oluştururken, her VM için bir ağ arabirimi oluşturur ve ağ arabirimini VM'ye bağlar.

Her VM'nin ağ arabirimini daha önce oluşturduğunuz uygulama güvenlik gruplarından birine ekleyin:

  1. Portalın üst kısmındaki kaynakları, hizmetleri ve belgeleri arayın kutusuna myvmweb yazmaya başlayın. Arama sonuçlarında Myvmweb sanal makinesi göründüğünde seçin.

  2. Ayarlar ağ iletişimi' ni seçin.

  3. Uygulama güvenlik grupları sekmesini seçin ve ardından uygulama güvenlik gruplarını Yapılandır' ı seçin.

    Uygulama güvenlik gruplarını yapılandırın.

  4. Uygulama güvenlik gruplarını yapılandırma bölümünde Myasgwebservers' ı seçin. Kaydet’i seçin.

    Uygulama güvenlik grupları ' nı seçin.

  5. 1 ve 2. adımları tekrar tamamlayarak, Myvmmgmt sanal makinesini arayarak ve Myasgmgmtservers ASG ' sini seçin.

Trafik filtrelerini test etme

  1. myvmmgmt sanal makinesine Bağlan. Portalın üst kısmındaki arama kutusuna Myvmmgmt yazın. Arama sonuçlarında Myvmmgmt göründüğünde seçin. Bağlan düğmesini seçin.

  2. RDP dosyasını indir’i seçin.

  3. İndirilen rdp dosyasını açın ve Bağlan'ı seçin. Sanal makine oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

  4. Tamam’ı seçin.

  5. Bağlantı işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet veya devam et' i seçin.

    Bağlantı noktası 3389 ' e internet 'ten Myasgmgmtservers uygulama güvenlik grubuna izin verildiğinden bağlantı başarılı olur.

    Myvmmgmt için ağ arabirimi Myasgmgmtservers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

  6. Myvmmgmt üzerinde bir PowerShell oturumu açın. aşağıdaki örneği kullanarak myvmweb 'e Bağlan:

    mstsc /v:myVmWeb
    

    Aynı ağdaki sanal makineler varsayılan olarak herhangi bir bağlantı noktası üzerinden iletişim kurabildiğinden, Myvmmgmt Ile myvmweb arasındaki RDP bağlantısı başarılı olur.

    İnternet 'ten Myvmweb sanal makinesine RDP bağlantısı oluşturamazsınız. Myasgwebservers güvenlik kuralı, internet 'ten gelen bağlantı noktası 3389 ' e giden bağlantıları engeller. Internet 'ten gelen trafik varsayılan olarak tüm kaynaklara reddedilir.

  7. Microsoft IIS 'yi Myvmweb sanal makinesine yüklemek Için, myvmweb sanal makinesindeki bir PowerShell oturumundan aşağıdaki komutu girin:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. IIS yüklemesi tamamlandıktan sonra, Myvmweb sanal makinesi ile bağlantıyı kesin, bu, sizi myvmmgmt sanal makine Uzak Masaüstü bağlantısında bırakır.

  9. Myvmmgmt sanal makinesi ile bağlantısını kesin.

  10. Azure portal en üstündeki kaynakları, hizmetleri ve belgeleri arayın kutusuna myvmweb 'i bilgisayarınızdan yazmaya başlayın. Arama sonuçlarında Myvmweb göründüğünde seçin. VM'nizin Genel IP adresini not alın. Aşağıdaki örnekte gösterilen adres 23.96.39.113 'dir, ancak adresiniz farklıdır:

    Genel IP adresi.

  11. Internet 'ten Myvmweb Web sunucusuna erişebildiğinizden emin olmak için, bilgisayarınızda bir internet tarayıcısı açın ve konumuna gidin http://<public-ip-address-from-previous-step> .

80 numaralı bağlantı noktasına Internet 'ten Myasgwebservers uygulama güvenlik grubuna ızın verildiğinden IIS karşılama ekranını görürsünüz.

Myvmweb için bağlı ağ arabirimi Myasgwebservers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:

  1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.
  2. Kaynak grubunu sil'i seçin.
  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Bir ağ güvenlik grubu oluşturdunuz ve bir sanal ağ alt ağıyla ilişkilendirildi.
  • Web ve yönetim için uygulama güvenlik grupları oluşturuldu.
  • İki sanal makine oluşturuldu.
  • Uygulama güvenlik grubu ağ filtrelemesi test edildi.

Ağ güvenlik grupları hakkında daha fazla bilgi edinmek bkz. Ağ güvenlik grubuna genel bakış ve Ağ güvenlik grubunu yönetme.

Azure, varsayılan olarak trafiği alt ağlar arasında yönlendirir. Bunun yerine, alt ağlar arasındaki trafiği, örneğin, güvenlik duvarı olarak görev yapan bir VM aracılığıyla yönlendirmeyi seçebilirsiniz.

Yönlendirme tablosu oluşturma hakkında bilgi edinmek için sonraki öğreticiye geçin.