Öğretici: Web Uygulaması Güvenlik Duvarı ile uygulama ağ geçidi oluşturma Azure portal

  • Makale
  • Okumak için 8 dakika

Bu öğreticide, Web Uygulaması Güvenlik Duvarı (WAF Azure portal ile Application Gateway oluşturmak için Application Gateway nasıl kullanabileceğiniz açıktır. WAF, uygulamanızı korumak için OWASP kurallarını kullanır. Bu kurallar SQL ekleme, siteler arası betik saldırıları ve oturum ele geçirme gibi saldırılara karşı korumayı içerir. Uygulama ağ geçidini oluşturdukta, doğru şekilde çalışa olduğundan emin olmak için test edin. Bu Azure Application Gateway, bağlantı noktalarına dinleyici ataarak, kurallar oluşturarak ve arka uç havuzuna kaynak ekleyerek uygulama web trafiğini belirli kaynaklara yönlendirebilirsiniz. Kolaylık olması açısından bu öğreticide genel ön uç IP'sini kullanarak basit bir kurulum, bu uygulama ağ geçidinde tek bir site barındırmak için temel dinleyici, arka uç havuzu için kullanılan iki sanal makine ve temel bir istek yönlendirme kuralı kullanılmaktadır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • WAF etkinken bir uygulama ağ geçidi oluşturma
  • Arka uç sunucuları olarak kullanılan sanal makineleri oluşturma
  • Bir depolama hesabı oluşturma ve tanılamaları yapılandırma
  • Uygulama ağ geçidini test etme

Web uygulaması güvenlik duvarı örneği

Not

Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Azure'da oturum açma

https://portal.azure.com adresinden Azure portalında oturum açın.

Uygulama ağ geçidi oluşturma

  1. Uygulamanın sol menüsünde Kaynak oluştur'Azure portal. Yeni penceresi görüntülenir.

  2. Ağ'ı seçin ve Application Gateway listesinden Ağ İletişimi'ne tıklayın.

Temel Bilgiler sekmesi

  1. Temel Bilgiler sekmesinde, aşağıdaki uygulama ağ geçidi ayarları için şu değerleri girin:

    • Kaynak grubu: Kaynak grubu için myResourceGroupAG öğesini seçin. Yoksa Yeni oluştur'a seçerek oluşturun.

    • Uygulama ağ geçidi adı: Uygulama ağ geçidinin adı olarak myAppGateway girin.

    • Katman: WAF V2'yi seçin.

      Yeni uygulama ağ geçidi oluşturma: Temel Bilgiler

  2. Azure'ın, sizin oluşturdukları kaynaklar arasında iletişim kurması için bir sanal ağ gerekir. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı kullanabilirsiniz. Bu örnekte, uygulama ağ geçidini oluşturmak için aynı anda yeni bir sanal ağ oluşturabilirsiniz. Application Gateway örnekleri ayrı alt ağlarda oluşturulur. Bu örnekte biri uygulama ağ geçidi, diğeri de arka uç sunucuları için olmak için iki alt ağ oluşturabilirsiniz.

    Sanal ağı yapılandır altında Yeni oluştur'a seçerek yeni bir sanal ağ oluşturun. Açılan Sanal ağ oluştur penceresinde, sanal ağı ve iki alt ağı oluşturmak için aşağıdaki değerleri girin:

    • Ad: Sanal ağın adı olarak myVNet girin.

    • Alt ağ adı (Application Gateway alt ağ): Alt ağlar kılavuzunda Default adlı bir alt ağ görüntülenir. Bu alt ağın adını myAGSubnet olarak değiştirme.
      Uygulama ağ geçidi alt ağı yalnızca uygulama ağ geçitlerini içerebilir. Diğer kaynaklara izin verilmez.

    • Alt ağ adı (arka uç sunucusu alt ağı): Alt ağlar ızgaranın ikinci satırına Alt ağ adı sütununa myBackendSubnet girin.

    • Adres aralığı (arka uç sunucusu alt ağı): Subnets Grid'in ikinci satırına myAGSubnet adres aralığıyla çakışmadan bir adres aralığı girin. Örneğin, myAGSubnet adres aralığı 10.21.0.0/24 ise myBackendSubnet adres aralığı olarak 10.21.1.0/24 girin.

    Tamam'ı seçerek Sanal ağ oluştur penceresini kapatın ve sanal ağ ayarlarını kaydedin.

    Yeni uygulama ağ geçidi oluşturma: sanal ağ

  3. Temel sekmesinde diğer ayarlar için varsayılan değerleri kabul edin ve ardından Sonraki: Ön Uçlar'ı seçin.

Ön uçlar sekmesi

  1. Ön Uçlar sekmesinde Ön uç IP adresi türünün Genel olarak ayar olduğunu doğrulayın.
    Ön uç IP'sini kullanım durumuna göre Genel veya Özel olacak şekilde yapılandırabilir. Bu örnekte genel ön uç IP'sini seçeceksiniz.

    Not

    Application Gateway v2 SKU 'SU için yalnızca genel ön uç IP yapılandırması ' nı seçebilirsiniz. Özel ön uç IP yapılandırması şu anda bu v2 SKU 'SU için etkin değil.

  2. Genel IP adresi Için Yeni Ekle ' yı seçin ve genel IP adresi adı Için myagpublicıpaddress girin ve Tamam' ı seçin.

    Yeni uygulama ağ geçidi oluştur: ön uçlar

  3. İleri ' yi seçin: Backenler.

Backends sekmesi

Arka uç havuzu, isteği sunan arka uç sunucularına istekleri yönlendirmek için kullanılır. Arka uç havuzları, NIC 'Ler, sanal makine ölçek kümeleri, genel IP 'Ler, iç IP 'Ler, tam etki alanı adları (FQDN) ve Azure App Service gibi çok kiracılı arka uçlar olabilir. Bu örnekte, uygulama ağ geçidiniz ile boş bir arka uç havuzu oluşturacak ve daha sonra arka uç havuzuna arka uç hedefleri ekleyeceğiz.

  1. Arka uç Havuzu Ekle' yi seçin.

  2. Açılan bir arka uç havuzu ekleyin penceresinde, boş bir arka uç havuzu oluşturmak için aşağıdaki değerleri girin:

    • Ad: arka uç havuzunun adı Için mybackendpool girin.
    • Hedefleri olmayan arka uç Havuzu Ekle: hedefi olmayan bir arka uç havuzu oluşturmak için Evet ' i seçin. Uygulama ağ geçidini oluşturduktan sonra arka uç hedefleri ekleyeceksiniz.

  3. Arka uç havuzu Ekle penceresinde, arka uç havuzu yapılandırmasını kaydetmek ve backends sekmesine dönmek için Ekle ' yi seçin.

    Yeni uygulama ağ geçidi oluştur: arka uçları

  4. Backends sekmesinde İleri: yapılandırma' yı seçin.

Yapılandırma sekmesi

Yapılandırma sekmesinde, bir yönlendirme kuralı kullanarak oluşturduğunuz ön uç ve arka uç havuzunu bağlayacaksınız.

  1. Yönlendirme kuralları sütununda bir yönlendirme kuralı ekle ' yi seçin.

  2. Açılan Yönlendirme kuralı ekle penceresinde Kural adı olarak myRoutingRule girin.

  3. Yönlendirme kuralı için dinleyici gerekir. Yönlendirme kuralı ekle penceresinin Dinleyici sekmesinde dinleyici için aşağıdaki değerleri girin:

    • Dinleyici adı: Dinleyicinin adı olarak myListener girin.

    • Ön uç IP'sini: Ön uç için oluşturduğunuz genel IP'yi seçmek için Genel'i seçin.

      Dinleyici sekmesinde diğer ayarlar için varsayılan değerleri kabul edin, sonra yönlendirme kuralının geri kalanını yapılandırmak için Arka uç hedefleri sekmesini seçin.

    Yeni uygulama ağ geçidi oluşturma: dinleyici

  4. Arka uç hedefleri sekmesinde, Arka uç hedefi için myBackendPool öğesini seçin.

  5. HTTP ayarı için Yeni ekle'yi seçerek yeni bir HTTP ayarı oluşturun. HTTP ayarı yönlendirme kuralının davranışını belirler. Açılan HTTP ayarı ekle penceresinde, HTTP ayar adı olarak myHTTPSetting girin. HTTP ayarı ekle penceresinde diğer ayarlar için varsayılan değerleri kabul edin ve ardından Yönlendirme kuralı ekle penceresine dönmek için Ekle'yi seçin.

    Yeni uygulama ağ geçidi oluşturma: HTTP ayarı

  6. Yönlendirme kuralı ekle penceresinde Ekle'yi seçerek yönlendirme kuralını kaydedin ve Yapılandırma sekmesine geri gidin.

    Yeni uygulama ağ geçidi oluşturma: yönlendirme kuralı

  7. Sonraki: Etiketler'i ve ardından Sonraki: Gözden geçir + oluştur'ı seçin.

Gözden geçir + oluştur sekmesi

Gözden geçir ve oluştur sekmesinde ayarları gözden geçirin ve ardından Oluştur'a seçerek sanal ağı, genel IP adresini ve uygulama ağ geçidini oluşturun. Azure'ın uygulama ağ geçidini oluşturması birkaç dakika sürebilir.

Sonraki bölüme ilerlemeden önce dağıtımın başarıyla tamamlana kadar bekleyin.

Arka uç hedefleri ekleme

Bu örnekte, hedef arka uç olarak sanal makineleri kullanasiniz. Mevcut sanal makineleri kullanabilir veya yenilerini oluşturabilirsiniz. Azure'ın uygulama ağ geçidi için arka uç sunucuları olarak kullandığı iki sanal makine oluşturabilirsiniz.

Bunu yapmak için şunları yapacaklar:

  1. Arka uç sunucuları olarak kullanılacak myVM ve myVM2 olmak için iki yeni VM oluşturun.
  2. Uygulama ağ geçidinin başarıyla oluşturulanı doğrulamak için sanal makinelere IIS yükleyin.
  3. Arka uç sunucularını arka uç havuzuna ekleyin.

Sanal makine oluşturma

  1. Kaynak Azure portal Oluştur'a seçin. Yeni penceresi görüntülenir.

  2. Popüler listesinden Windows Server 2019 Datacenter'ı seçin. Sanal makine oluştur sayfası görüntülenir.
    Application Gateway arka uç havuzunda kullanılan herhangi bir sanal makine türüne yönlendirebilirsiniz. Bu örnekte, bir Windows Server 2019 Datacenter kullanırsınız.

  3. Aşağıdaki sanal makine ayarları için Temel Bilgiler sekmesine şu değerleri girin:

    • Kaynak grubu: Kaynak grubu adı olarak myResourceGroupAG öğesini seçin.
    • Sanal makine adı: Sanal makinenin adı olarak myVM girin.
    • Kullanıcı adı: Yönetici kullanıcı adı için bir ad girin.
    • Parola: Yönetici parolası için bir parola girin.
    • Genel gelen bağlantı noktaları: Hiçbiri'ne seçin.

  4. Diğer varsayılanları kabul edin ve ardından İleri: diskler' i seçin.

  5. Diskler sekmesi varsayılan değerlerini kabul edin ve ardından İleri ' yi seçin : ağ.

  6. sekmesinde, sanal ağ için Myvnet öğesinin seçildiğini ve alt ağın mybackendsubnet olarak ayarlandığını doğrulayın.

  7. Genel IP için hiçbiri' ni seçin.

  8. Diğer varsayılanları kabul edin ve ardından İleri: yönetim' i seçin.

  9. Yönetim sekmesinde, önyükleme tanılamayı devre dışı olarak ayarlayın. Diğer varsayılanları kabul edin ve ardından gözden geçir + oluştur' u seçin.

  10. Gözden geçir + oluştur sekmesinde ayarları gözden geçirin, doğrulama hatalarını düzeltin ve ardından Oluştur' u seçin.

  11. Devam etmeden önce sanal makine oluşturma işleminin tamamlanmasını bekleyin.

Test için IIS 'yi yükler

Bu örnekte, yalnızca Azure 'un Application Gateway 'i başarıyla oluşturduğunu doğrulamak için sanal makinelere IIS yüklersiniz.

  1. Azure PowerShellaçın. Bunu yapmak için, Azure portal üst gezinti çubuğundan Cloud Shell ' ı seçin ve ardından açılır listeden PowerShell ' i seçin.

    Özel uzantıyı yükleme

  2. Ortamınız için location parametresini ayarlayın ve ardından aşağıdaki komutu çalıştırarak IIS 'yi sanal makineye yükleyebilirsiniz:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. İkinci bir sanal makine oluşturun ve daha önce tamamladığınız adımları kullanarak IIS 'yi yükleyebilirsiniz. Sanal makine adı ve set-Azvmexgeri cmdlet 'Inin VMName ayarı için myVM2 kullanın.

Arka uç sunucularını arka uç havuzuna Ekle

  1. Tüm kaynaklar' ı ve ardından myappgateway' i seçin.

  2. Sol menüden arka uç havuzları ' nı seçin.

  3. Mybackendpool öğesini seçin.

  4. Hedef türü altında, açılan listeden Sanal makine'yi seçin.

  5. Hedef altında, açılan listeden myVM için ilişkili ağ arabirimini seçin.

  6. myVM2 için yinele.

    Arka uç sunucuları ekleme

  7. Kaydet’i seçin.

  8. Sonraki adıma devam etmeden önce dağıtımın tamamlanır.

Tüm WAF özelleştirmeleri ve ayarları, WAF İlkesi olarak adlandırılan ayrı bir nesnededir. İlke, ilkeniz ile Application Gateway.

Yönetilen Varsayılan Kural Kümesi (DRS) ile temel bir WAF ilkesi oluşturun.

  1. Portalın sol üst kısmında Kaynak oluştur'a seçin. WAF araması, Web Uygulaması Güvenlik Duvarı'nı ve ardından Oluştur'a tıklayın.

  2. WAF ilkesi oluştur sayfasındaki Temel bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin, kalan ayarlar için varsayılan değerleri kabul edin ve gözden geçir + oluştur'a tıklayın:

    Ayar Değer
    İlke: Bölgesel WAF (Application Gateway)
    Abonelik Abonelik adını seçin
    Kaynak grubu myResourceGroupAG öğesini seçin
    İlke adı WAF ilkeniz için benzersiz bir ad yazın.

  3. Sonraki: Yönetilen kurallar'ı seçin.

  4. Varsayılanları kabul edin ve ardından Sonraki: İlke ayarları'ı seçin.

  5. Varsayılanı kabul et ve ardından Sonraki: Özel kurallar'ı seçin.

  6. Sonraki: İlişkile'yi seçin.

  7. Ilişki Ekle ' yi ve ardından Application Gateway' yi seçin.

  8. Web uygulaması güvenlik duvarı ilkesi yapılandırmasını geçerli yapılandırmadan farklı olsa da Uygula onay kutusunu seçin.

  9. Add (Ekle) seçeneğini belirleyin.

    Not

    Zaten bir ilkeye sahip olan Application Gateway (veya dinleyiciye) ilke atarsanız, özgün ilkenin üzerine yazılır ve yeni ilke konur.

  10. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

Uygulama ağ geçidini test etme

Uygulama ağ geçidi oluşturmak için IIS gerekli olmasa da, Azure 'un uygulama ağ geçidini başarıyla oluşturup oluşturmadığını doğrulamak için bu uygulamayı yüklediniz. Uygulama ağ geçidini test etmek için IIS kullanın:

  1. Uygulama ağ geçidinin genel IP adresini genel bakış sayfasında bulabilirsiniz. Uygulama Ağ Geçidi genel IP adresini Kaydet

    Ya da, tüm kaynaklar' ı seçip Arama kutusuna Myagpublicıpaddress girebilir ve arama sonuçlarında bunu seçebilirsiniz. Azure genel bakış SAYFASıNDA genel IP adresini görüntüler.

  2. Genel IP adresini kopyalayıp tarayıcınızın adres çubuğuna yapıştırın.

  3. Yanıtı denetleyin. Geçerli bir yanıt, uygulama ağ geçidinin başarıyla oluşturulduğunu ve arka uca başarıyla bağlanabildiğini doğrular.

    Uygulama ağ geçidini test etme

Kaynakları temizleme

Uygulama ağ geçidiyle oluşturduğunuz kaynaklara artık ihtiyacınız kalmadığında, kaynak grubunu kaldırın. Kaynak grubunu kaldırarak, uygulama ağ geçidini ve ilgili tüm kaynakları da kaldırırsınız.

Kaynak grubunu kaldırmak için:

  1. Azure portal sol menüsünde kaynak grupları' nı seçin.
  2. Kaynak grupları sayfasında, listede myResourceGroupAG araması yapın ve ardından seçin.
  3. Kaynak grubu sayfasında, kaynak grubunu sil' i seçin.
  4. Kaynak grubu adını yazmak için MyResourceGroupAG girin ve Sil' i seçin.

Sonraki adımlar

Web uygulaması güvenlik duvarı hakkında daha fazla bilgi edinin