Ağ güvenlik gruplarıyla trafik filtreleme için çözümler tasarlama
Bir Azure sanal ağındaki Azure kaynakları arasındaki trafiği filtrelemek için bir Azure ağ güvenlik grubu kullanabilirsiniz. Ağ güvenlik grupları, farklı Azure kaynaklarına gelen ya da bu kaynaklardan dışarı giden ağ trafiğine izin veren veya bu trafiği reddeden güvenlik kuralları içerir. Her kural için kaynak, hedef, bağlantı noktası ve protokol belirtebilirsiniz.
Bu makalede bir ağ güvenlik grubu kuralının özellikleri, uygulanan varsayılan güvenlik kuralları ve artırılmış güvenlik kuralı oluşturmak için değiştirebileceğiniz kural özellikleri açıklanır.
Güvenlik kuralları
Bir ağ güvenlik grubunda Azure abonelik limitleri dahilinde sıfır veya istenen sayıda kural bulunabilir. Her bir kural aşağıdaki özellikleri belirtir:
| Özellik | Açıklama |
|---|---|
| Adı | Ağ güvenlik grubu içinde benzersiz bir ad. Ad en çok 80 karakter uzunluğunda olabilir. |
| Öncelik | 100 ile 4096 arasında bir rakam. Kurallar öncelik sırasına göre işleme alınır ve düşük rakamlı kurallar daha yüksek önceliğe sahip olduğundan yüksek rakamlı kurallardan önce uygulanır. Trafik bir kuralla eşleştiğinde işlem durur. Sonuç olarak, daha yüksek önceliğe sahip kurallarla aynı özniteliklere sahip düşük önceliklere (daha yüksek sayılara) sahip olan tüm kurallar işlenmez. |
| Kaynak veya hedef | Herhangi biri veya tek bir IP adresi, sınıfsız etki alanı içi yönlendirme (CIDR) bloğu (örneğin, 10.0.0.0/24), hizmet etiketi veya uygulama güvenlik grubu. Bir Azure kaynağı için adres belirtirken kaynağa atanmış olan özel IP adresini belirtmeniz gerekir. Ağ güvenlik grupları, Azure gelen trafik için genel IP adresini özel IP adresine çevirdikten sonra ve giden trafik için özel IP adresini genel IP adreslerine çevirmeden önce işleme alınır. Bir aralık, hizmet etiketi veya uygulama güvenlik grubu belirtirken daha az güvenlik kuralı gerekir. Bir kuralda birden çok ip adresi ve aralığı (birden çok hizmet etiketi veya uygulama grubu belirtemezsiniz) belirtebilme özelliği artırılmış güvenlik kuralları olarak adlandırılır. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir. Klasik dağıtım modeliyle oluşturulan ağ güvenlik gruplarında birden çok IP adresi ve IP adresi aralığı belirtemezsiniz. |
| Protokol | TCP, UDP, ICMP, ESP, AH veya Any. ESP ve AH protokolleri şu anda Azure portalı üzerinden kullanılamaz, ancak ARM şablonları aracılığıyla kullanılabilir. |
| Yön | Kuralın gelen veya giden trafiğe uygulanma seçeneği. |
| Bağlantı noktası aralığı | Tek bir bağlantı noktası veya aralık belirtebilirsiniz. Örneğin 80 veya 10000-10005 değerini kullanabilirsiniz. Aralık belirterek oluşturmanız gereken güvenlik kuralı sayısını azaltabilirsiniz. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir. Klasik dağıtım modeli aracılığıyla oluşturulan ağ güvenlik gruplarında aynı güvenlik kuralında birden çok bağlantı noktası veya bağlantı noktası aralığı belirtemezsiniz. |
| Eylem | İzin ver veya reddet |
Güvenlik kuralları, beş tanımlama grubu (kaynak, kaynak bağlantı noktası, hedef, hedef bağlantı noktası ve protokol) bilgilerine göre değerlendirilir ve uygulanır. Aynı öncelik ve yönde iki güvenlik kuralı oluşturamazsınız. Var olan bağlantılar için bir akış kaydı oluşturulur. Akış kaydının bağlantı durumuna göre iletişime izin verilir veya iletişim reddedilir. Akış kaydı bir ağ güvenlik grubunun durum bilgisine sahip olmasını sağlar. Örneğin 80 numaralı bağlantı noktasından tüm adreslere doğru giden bir güvenlik kuralı belirtirseniz giden trafiğe yanıt olarak bir gelen güvenlik kuralı belirtmeniz gerekli değildir. Yalnızca iletişimin dışarıdan başlatılması halinde bir gelen güvenlik kuralı belirtmeniz gerekir. Bunun tersi de geçerlidir. Gelen trafiğe bir bağlantı noktası üzerinden izin verilmesi halinde bağlantı noktasından geçen trafiğe yanıt olarak bir giden güvenlik belirtmeniz gerekli değildir.
Akışı etkinleştiren bir güvenlik kuralını kaldırdığınızda mevcut bağlantılar kesintiye uğramayabilir. Bağlantılar durdurulduğunda trafik akışları kesintiye uğrar ve en azından birkaç dakika boyunca hiçbir yönde trafik akışı gerçekleşmez.
Ağ güvenlik grubu kurallarının değiştirilmesi yalnızca oluşturulan yeni bağlantıları etkiler. Ağ güvenlik grubunda yeni bir kural oluşturulduğunda veya mevcut bir kural güncelleştirildiğinde, yalnızca yeni akışlar ve yeni bağlantılar için geçerli olur. Mevcut iş akışı bağlantıları yeni kurallarla güncelleştirilmez.
Bir ağ güvenlik grubu içinde sınırlı sayıda güvenlik kuralı oluşturabilirsiniz.