Öğretici: Azure portal kullanarak ağ trafiğini bir ağ güvenlik grubuyla filtreleme

  • Makale
  • Okumak için 7 dakika

Azure sanal ağındaki Azure kaynaklarına gelen ve giden ağ trafiğini filtrelemek için bir ağ güvenlik grubu kullanabilirsiniz.

Ağ güvenlik grupları, ağ trafiğini IP adresi, bağlantı noktası ve protokole göre filtreleyen güvenlik kuralları içerir. Bir ağ güvenlik grubu bir alt ağ ile ilişkilendirildiğinde, bu alt ağda dağıtılan kaynaklara güvenlik kuralları uygulanır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Ağ güvenlik grubu ve güvenlik kuralları oluşturma
  • Uygulama güvenlik grupları oluşturma
  • Bir sanal ağ oluşturma ve ağ güvenlik grubunu alt ağ ile ilişkilendirme
  • Sanal makineleri dağıtma ve ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirme
  • Trafik filtrelerini test etme

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

  • Bir Azure aboneliği

Azure'da oturum açma

Azure Portal’ında oturum açın.

Sanal ağ oluşturma

  1. Azure portal menüsünde + Kaynak> oluştur>Sanal ağı'nı seçin veya portal arama kutusunda Sanal Ağ arayın.

  2. Oluştur’u seçin.

  3. Sanal ağ oluştur'unTemel bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    myResourceGroup girin.
    Tamam'ı seçin.
    Örnek ayrıntıları
    Name myVNet yazın.
    Region Doğu ABD’yi seçin.

  4. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  5. Oluştur’u seçin.

Uygulama güvenlik grupları oluşturma

Uygulama güvenlik grubu (ASG' ler), web sunucuları gibi benzer işlevlere sahip sunucuları birlikte gruplandırmanıza olanak tanır.

  1. Azure portal menüsünde + Kaynak> oluştur>Uygulaması güvenlik grubu'na tıklayın veya portal arama kutusunda Uygulama güvenlik grubu için arama yapın.

  2. Oluştur’u seçin.

  3. Uygulama güvenlik grubu oluşturma işleminin Temel sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myAsgWebServers girin.
    Region (ABD) Doğu ABD'yi seçin.

  4. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  5. Oluştur’u seçin.

  6. Aşağıdaki değerleri belirterek önceki adımları yineleyin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myAsgMgmtServers girin.
    Region (ABD) Doğu ABD'yi seçin.

  7. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  8. Oluştur’u seçin.

Ağ güvenlik grubu oluşturma

Ağ güvenlik grubu (NSG), sanal ağınızdaki ağ trafiğinin güvenliğini sağlar.

  1. Azure portal menüsünde + Kaynak> oluşturAğ Ağı>güvenlik grubu'na tıklayın veya portal arama kutusunda Ağ güvenlik grubu için arama yapın.

  2. Oluştur’u seçin.

  3. Ağ güvenlik grubu oluştur'unTemel bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Name myNSG girin.
    Konum (ABD) Doğu ABD'yi seçin.

  4. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  5. Oluştur’u seçin.

Ağ güvenlik grubunu alt ağ ile ilişkilendirme

Bu bölümde, ağ güvenlik grubunu daha önce oluşturduğunuz sanal ağın alt ağıyla ilişkilendireceksiniz.

  1. Portal arama kutusunda myNsg araması yapın.

  2. myNSG'nin Ayarlar bölümünde Alt Ağlar'ı seçin.

  3. Alt ağlar sayfasında + İlişkili'yi seçin:

    Screenshot of Associate a network security group to a subnet.

  4. Alt ağı ilişkilendir'in altında Sanal ağ için myVNet'i seçin.

  5. Alt ağ için varsayılan'ı ve ardından Tamam'ı seçin.

Güvenlik kuralları oluşturma

  1. myNSG'ninAyarlar bölümünden Gelen güvenlik kuralları'nı seçin.

  2. Gelen güvenlik kuralları sayfasında + Ekle'yi seçin:

    Screenshot of Inbound security rules in a network security group.

  3. 80 ve 443 numaralı bağlantı noktalarına myAsgWebServers uygulama güvenlik grubu için izin veren bir güvenlik kuralı oluşturun. Gelen güvenlik kuralı ekle sayfasında şu bilgileri girin veya seçin:

    Ayar Değer
    Kaynak Varsayılan Değer'i Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları Varsayılan (*) olarak bırakın.
    Hedef Uygulama güvenlik grubu'nun seçin.
    Hedef uygulama güvenlik grupları myAsgWebServers öğesini seçin.
    Hizmet Varsayılan Özel seçeneğini değiştirmeyin.
    Hedef bağlantı noktası aralıkları 80.443 girin.
    Protokol TCP’yi seçin.
    Eylem Varsayılan İzin Ver'i değiştirmeyin.
    Öncelik Varsayılan değeri 100 olarak bırakın.
    Name Tümüne Web'e İzin Ver girin.

    Screenshot of Add inbound security rule in a network security group.

  4. Add (Ekle) seçeneğini belirleyin.

  5. Bu bilgileri kullanarak 3-4 arası adımları yeniden tamamlayın:

    Ayar Değer
    Kaynak Varsayılan Değer'i Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları Varsayılan (*) olarak bırakın.
    Hedef Uygulama güvenlik grubu'nun seçin.
    Hedef uygulama güvenlik grubu myAsgMgmtServers öğesini seçin.
    Hizmet Varsayılan Özel seçeneğini değiştirmeyin.
    Hedef bağlantı noktası aralıkları 3389 girin.
    Protokol Herhangi birini seçin.
    Eylem Varsayılan İzin Ver'i değiştirmeyin.
    Öncelik Varsayılan değeri 110 olarak bırakın.
    Name Tümüne RDP'ye İzin Ver girin.

  6. Add (Ekle) seçeneğini belirleyin.

    Dikkat

    Bu makalede, rdp (bağlantı noktası 3389) myAsgMgmtServers uygulama güvenlik grubuna atanan VM için İnternet'te kullanıma sunulur.

    Üretim ortamlarında 3389 numaralı bağlantı noktasını İnternet'e açmak yerine VPN, özel ağ bağlantısı veya Azure Bastion kullanarak yönetmek istediğiniz Azure kaynaklarına bağlanmanız önerilir.

    Azure Bastion hakkında daha fazla bilgi için bkz. Azure Bastion nedir?.

1 ile 3 arası adımları tamamladıktan sonra, oluşturduğunuz kuralları gözden geçirin. Listenize aşağıdaki örnekteki gibi görünmelidir:

Screenshot of Security rules of a network security group.

Sanal makineler oluşturma

Sanal ağda iki sanal makine (VM) oluşturun.

İlk sanal makineyi oluşturma

  1. Azure portal menüsünde + Kaynak> oluşturİşlem>Sanal makinesi'ni seçin veya portal arama kutusunda Sanal makine araması yapın.

  2. Sanal makine oluştur bölümünde, Temel Bilgiler sekmesinde bu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Sanal makine adı myVMWeb girin.
    Region (ABD) Doğu ABD'yi seçin.
    Kullanılabilirlik seçenekleri Varsayılan Olarak Altyapı yedekliliği gerekli değil seçeneğini değiştirmeyin.
    Güvenlik türü Varsayılan Olarak Standart olarak bırakın.
    Görüntü Windows Server 2019 Datacenter - 2. Nesil'i seçin.
    Azure Spot örneği İşaretsiz seçeneğinin varsayılanını değiştirmeyin.
    Boyut Standard_D2s_V3'ı seçin.
    Yönetici hesabı
    Kullanıcı adı Bir kullanıcı adı girin.
    Parola Bir parola girin.
    Parolayı onayla Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Gelen bağlantı noktalarını seçin Hiçbiri seçeneğini belirtin.

  3. sekmesini seçin.

  4. sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Ağ arabirimi
    Sanal ağ myVNet'i seçin.
    Alt ağ Varsayılan (10.0.0.0/24) seçeneğini belirleyin.
    Genel IP Yeni bir genel IP'nin varsayılanını değiştirmeyin.
    NIC ağ güvenlik grubu Hiçbiri seçeneğini belirtin.

  5. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  6. Oluştur’u seçin. VM'nin dağıtılması birkaç dakika sürebilir.

İkinci sanal makineyi oluşturma

1-6 arası adımları yeniden tamamlayın, ancak 2. adımda Sanal makine adı için myVMmgmt girin.

Sonraki bölüme geçmeden önce VM'lerin dağıtımı tamamlanmasını bekleyin.

Ağ arabirimlerini ASG ile ilişkilendirme

VM'leri oluşturduğunuzda, Azure her VM için bir ağ arabirimi oluşturmuş ve vm'ye eklemiş.

Her vm'nin ağ arabirimini daha önce oluşturduğunuz uygulama güvenlik gruplarından birine ekleyin:

  1. Portal arama kutusunda myVMWeb araması yapın.

  2. myVMWeb VM'nin Ayarlar bölümünden Ağ'ı seçin.

  3. Uygulama güvenlik grupları sekmesini ve ardından Uygulama güvenlik gruplarını yapılandır'ı seçin.

    Screenshot of Configure application security groups.

  4. Uygulama güvenlik gruplarını yapılandırma bölümündemyAsgWebServers öğesini seçin. Kaydet’i seçin.

    Screenshot showing how to associate application security groups to a network interface.

  5. 1. ve 2. adımları tekrar tamamlayın, myVMMgmt sanal makinesini arayın ve myAsgMgmtServers ASG'yi seçin.

Trafik filtrelerini test etme

  1. Portal arama kutusunda myVMWeb araması yapın.

  2. Genel Bakış sayfasında Bağlan düğmesini ve ardından RDP'yi seçin.

  3. RDP dosyasını indir’i seçin.

  4. İndirilen rdp dosyasını açın ve Bağlan'ı seçin. VM'yi oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

  5. Tamam’ı seçin.

  6. Bağlantı işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet'i veya Devam'ı seçin.

    İnternet'ten myAsgMgmtServers uygulama güvenlik grubuna gelen trafiğe 3389 numaralı bağlantı noktası üzerinden izin verildiğinden bağlantı başarılı olur.

    myVMMgmt için ağ arabirimi myAsgMgmtServers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

  7. myVMMgmt üzerinde bir PowerShell oturumu açın. Aşağıdakileri kullanarak myVMWeb'e bağlanın:

    mstsc /v:myVmWeb

    Aynı ağdaki sanal makineler varsayılan olarak herhangi bir bağlantı noktası üzerinden birbirleriyle iletişim kurabileceğinden myVMMgmt'denmyVMWeb'e RDP bağlantısı başarılı olur.

    İnternet'ten myVMWeb sanal makinesine RDP bağlantısı oluşturamazsınız. myAsgWebServers güvenlik kuralı, 3389 numaralı bağlantı noktasına İnternet'ten gelen bağlantıları engeller. İnternet'ten gelen trafik varsayılan olarak tüm kaynaklara reddedilir.

  8. Microsoft IIS'yi myVMWeb sanal makinesine yüklemek için, myVMWeb sanal makinesindeki bir PowerShell oturumundan aşağıdaki komutu girin:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  9. IIS yüklemesi tamamlandıktan sonra myVMWeb sanal makinesiyle bağlantınızı kesin; bu da sizi myVMMgmt sanal makinesi uzak masaüstü bağlantısında bırakır.

  10. myVMMgmt VM bağlantısını kesin.

  11. Portal arama kutusunda myVMWeb araması yapın.

  12. myVMWeb'inGenel Bakış sayfasında VM'nizin Genel IP adresini not edin. Aşağıdaki örnekte gösterilen adres 23.96.39.113'dür, ancak adresiniz farklıdır:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  13. myVMWeb web sunucusuna internetten erişebildiğinizden emin olmak için bilgisayarınızda bir internet tarayıcısı açın ve adresine gidinhttp://<public-ip-address-from-previous-step>.

İnternet'ten myAsgWebServers uygulama güvenlik grubuna gelen trafiğe 80 numaralı bağlantı noktası üzerinden izin verildiğinden IIS varsayılan sayfasını görürsünüz.

myVMWeb için eklenen ağ arabirimi, myAsgWebServers uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:

  1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.
  2. Kaynak grubunu sil'i seçin.
  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Bir ağ güvenlik grubu oluşturup bunu bir sanal ağ alt ağıyla ilişkilendirdi.
  • Web ve yönetim için uygulama güvenlik grupları oluşturuldu.
  • İki sanal makine oluşturuldu ve ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirdi.
  • Uygulama güvenlik grubu ağ filtrelemesi test edildi.

Ağ güvenlik grupları hakkında daha fazla bilgi edinmek bkz. Ağ güvenlik grubuna genel bakış ve Ağ güvenlik grubunu yönetme.

Azure, varsayılan olarak trafiği alt ağlar arasında yönlendirir. Bunun yerine, alt ağlar arasındaki trafiği, örneğin, güvenlik duvarı olarak görev yapan bir VM aracılığıyla yönlendirmeyi seçebilirsiniz.

Yönlendirme tablosu oluşturma hakkında bilgi edinmek için sonraki öğreticiye geçin.

Yönlendirme tablosu oluşturma