Öğretici: Azure Güvenlik Duvarı Manager kullanarak sanal hub'ınızın güvenliğini sağlama

Azure Güvenlik Duvarı Yöneticisi'ni kullanarak özel IP adreslerine, Azure PaaS'a ve İnternet'e yönelik bulut ağ trafiğinizin güvenliğini sağlamak için güvenli sanal hub'lar oluşturabilirsiniz. Güvenlik duvarına trafik yönlendirme otomatiktir, bu nedenle kullanıcı tanımlı yollar (UDR) oluşturmanıza gerek yoktur.

Güvenlik Duvarı Yöneticisi, merkez sanal ağ mimarisini de destekler. Güvenli sanal hub ile hub sanal ağ mimarisi türlerinin karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi mimari seçenekleri nelerdir?

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Merkez-uç mimarisi oluşturma

İlk olarak, sunucularınızı yerleştirebileceğiniz uç sanal ağları oluşturun.

İki uçlu sanal ağ ve alt ağ oluşturma

İki sanal ağın her birinde bir iş yükü sunucusu vardır ve güvenlik duvarı tarafından korunur.

1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

2. Sanal ağ'ı arayın, seçin ve Oluştur'u seçin.

3. Aşağıdaki ayarlarla bir sanal ağ oluşturun:

   Ayar	Value
   Abonelik	Aboneliğinizi seçin
   Kaynak grubu	Yeni oluştur'u seçin, ad olarak fw-manager-rg yazın ve Tamam'ı seçin
   Sanal ağın adı	Uç-01
   Bölge	Doğu ABD

4. İleri'yi ve ardından İleri'yi seçin.

5. Ağ sekmesinde aşağıdaki ayarlarla bir alt ağ oluşturun:

   Ayar	Value
   IPv4 adres alanı ekleme	10.0.0.0/16 (varsayılan)
   Alt ağlar	varsayılan
   Veri Akışı Adı	İş Yükü-01-SN
   Başlangıç adresi	10.0.1.0/24

6. Kaydet, Gözden Geçir ve oluştur'u ve ardından Oluştur'u seçin.

fw-manager-rg kaynak grubunda benzer bir sanal ağ oluşturmak için bu yordamı yineleyin:

Güvenli sanal hub oluşturma

Güvenlik Duvarı Yöneticisi'nı kullanarak güvenli sanal hub'ınızı oluşturun.

1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

2. Arama kutusuna Güvenlik Duvarı Yöneticisi yazın ve Güvenlik Duvarı Yöneticisi'ni seçin.

3. Güvenlik Duvarı Yöneticisi sayfasında Dağıtımlar'ın altında Sanal hub'lar'ı seçin.

4. Güvenlik Duvarı Yöneticisi'ne | Sanal hub'lar sayfasında Yeni güvenli sanal hub oluştur'u seçin.

5. Yeni güvenli sanal hub oluştur sayfasında aşağıdaki bilgileri girin:

   Ayar	Value
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	fw-manager-rg öğesini seçin
   Bölge	Doğu ABD
   Güvenli sanal hub adı	Hub-01
   Hub adres alanı	10.2.0.0/16

6. Yeni vWAN'ı seçin.

   Ayar	Value
   Yeni sanal WAN adı	Vwan-01
   Tür	Standart
   Güvenilen Güvenlik İş Ortaklarını etkinleştirmek için VPN ağ geçidini dahil etme	Onay kutusunu temiz bırakın.

7. İleri: Azure Güvenlik Duvarı'i seçin.

8. Varsayılan Azure Güvenlik DuvarıEtkin ayarını kabul edin.

9. Azure Güvenlik Duvarı katman için Standart'ı seçin.

10. İstediğiniz Kullanılabilirlik Alanları birleşimini seçin.

    Önemli

    Sanal WAN, hub'ın içinde kullanıma sunulan merkezlerden ve hizmetlerden oluşan bir koleksiyondur. İstediğiniz kadar Sanal WAN dağıtabilirsiniz. Sanal WAN hub'ında VPN, ExpressRoute gibi birden çok hizmet vardır. Bölge Kullanılabilirlik Alanları destekliyorsa, bu hizmetlerin her biri Azure Güvenlik Duvarı dışında Kullanılabilirlik Alanları arasında otomatik olarak dağıtılır. Azure Sanal WAN dayanıklılığıyla uyumlu hale getirmek için tüm kullanılabilir Kullanılabilirlik Alanları seçmeniz gerekir.

11. Genel IP adresi sayısını belirtin metin kutusuna 1 yazın veya mevcut bir genel IP adresini (önizleme) bu güvenlik duvarıyla ilişkilendirin.

12. Güvenlik Duvarı İlkesi'nin altında Varsayılan Reddetme İlkesi'nin seçili olduğundan emin olun. Bu makalenin devamında ayarlarınızı iyileştirebilirsiniz.

13. İleri: Güvenlik İş Ortağı Sağlayıcısı'nı seçin.

14. Varsayılan Güvenilen Güvenlik OrtağıDevre Dışı ayarını kabul edin ve İleri: Gözden geçir + oluştur'u seçin.

15. Oluştur'u belirleyin.

Dağıtım tamamlandıktan sonra güvenlik duvarı genel IP adresini bulabilirsiniz.

1. Güvenlik Duvarı Yöneticisi'ne tıklayın.
2. Sanal hub'lar'ı seçin.
3. hub-01'i seçin.
4. AzureFirewall_Hub-01'i seçin.
5. Daha sonra kullanmak için genel IP adresini not edin.

Merkez-uç sanal ağlarını bağlama

Artık merkez-uç sanal ağlarını eşleyebilirsiniz.

1. fw-manager-rg kaynak grubunu ve ardından Vwan-01 sanal WAN'ını seçin.

2. Bağlantı'nın altında Sanal ağ bağlantıları'nı seçin.

   Ayar	Value
   Bağlantı adı	merkez-uç-01
   Hub'lar	Hub-01
   Kaynak grubu	fw-manager-rg
   Sanal ağ	Uç-01

3. Oluştur'u belirleyin.

4. Spoke-02 sanal ağını aşağıdaki ayarlarla bağlamak için önceki adımları yineleyin:

   Ayar	Value
   Bağlantı adı	merkez-uç-02
   Hub'lar	Hub-01
   Kaynak grubu	fw-manager-rg
   Sanal ağ	Uç-02

Sunucuları dağıtma

1. Azure portalında Kaynak oluştur'u seçin.

2. Popüler listesinden Windows Server 2019 Datacenter'ı seçin.

3. Sanal makine için şu değerleri girin:

   Ayar	Value
   Kaynak grubu	fw-manager-rg
   Virtual machine name	Srv-workload-01
   Bölge	(ABD) Doğu ABD
   Yönetici kullanıcı adı	kullanıcı adı yazın
   Parola	parola yazın

4. Gelen bağlantı noktası kuralları'nın altında, Genel gelen bağlantı noktaları için Yok'a tıklayın.

5. Diğer varsayılanları kabul edin ve İleri: Diskler'i seçin.

6. Disk varsayılanlarını kabul edin ve İleri: Ağ'ı seçin.

7. Sanal ağ için Uç-01'i ve alt ağ için Workload-01-SN'yi seçin.

8. Genel IP için Yok'a tıklayın.

9. Diğer varsayılanları kabul edin ve İleri: Yönetim'i seçin.

10. İleri:İzleme'yi seçin.

11. Önyükleme tanılamasını devre dışı bırakmak için Devre Dışı Bırak'ı seçin.

12. Diğer varsayılanları kabul edin ve Gözden geçir + oluştur'u seçin.

13. Özet sayfasındaki ayarları gözden geçirin ve Oluştur'u seçin.

Srv-Workload-02 adlı başka bir sanal makineyi yapılandırmak için aşağıdaki tabloda yer alan bilgileri kullanın. Yapılandırmanın geri kalanı Srv-workload-01 sanal makinesiyle aynıdır.

Sunucular dağıtıldıktan sonra bir sunucu kaynağı seçin ve Ağ'da her sunucunun özel IP adresini not edin.

Güvenlik duvarı ilkesi oluşturma ve hub'ınızın güvenliğini sağlama

Güvenlik duvarı ilkesi, trafiği bir veya daha fazla Güvenli sanal hub'a yönlendirmek için kural koleksiyonlarını tanımlar. Güvenlik duvarı ilkenizi oluşturur ve ardından hub'ınızın güvenliğini sağlarsınız.

1. Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı ilkeleri seçin.

2. Azure Güvenlik Duvarı İlkesi Oluştur'u seçin.

3. Kaynak grubu için fw-manager-rg öğesini seçin.

4. İlke ayrıntıları'nın altında, İlke-01Ad türü ve Bölge için Doğu ABD'yi seçin.

5. İlke katmanı için Standart'ı seçin.

6. İleri: DNS Ayarları'nı seçin.

7. İleri: TLS İncelemesi'ne tıklayın.

8. İleri: Kurallar'ı seçin.

9. Kurallar sekmesinde Kural koleksiyonu ekle'yi seçin.

10. Kural koleksiyonu ekle sayfasında aşağıdaki bilgileri girin.

    Ayar	Değer
    Veri Akışı Adı	App-RC-01
    Kural koleksiyonu türü	Uygulama
    Öncelik	100
    Kural koleksiyonu eylemi	İzin ver
    Kural Adı	Allow-msft
    Source type	IP adresi
    Kaynak	*
    Protokol	http,https
    Hedef türü	FQDN
    Hedef	*.microsoft.com

11. Ekle'yi seçin.

12. Srv-Workload-01 sanal makinesine uzak masaüstü bağlayabileceğiniz bir DNAT kuralı ekleyin.

13. Kural koleksiyonu ekle'yi seçin ve aşağıdaki bilgileri girin.

    Ayar	Değer
    Veri Akışı Adı	dnat-rdp
    Kural koleksiyonu türü	DNAT
    Öncelik	100
    Kural Adı	rdp'ye izin ver
    Source type	IP adresi
    Kaynak	*
    Protokol	TCP
    Hedef Bağlantı Noktaları	3389
    Hedef	Güvenlik duvarı genel IP adresi daha önce not alınmıştı.
    Çevrilen tür	IP Address
    Çevrilmiş adres	Srv-Workload-01 için özel IP adresi daha önce not alınmıştı.
    Çevrilmiş bağlantı noktası	3389

14. Ekle'yi seçin.

15. Srv-Workload-01'den Srv-Workload-02'ye uzak masaüstü bağlayabileceğiniz bir Ağ kuralı ekleyin.

16. Kural koleksiyonu ekle'yi seçin ve aşağıdaki bilgileri girin.

    Ayar	Değer
    Veri Akışı Adı	vnet-rdp
    Kural koleksiyonu türü	Ağ
    Öncelik	100
    Kural koleksiyonu eylemi	İzin ver
    Kural Adı	Sanal ağa izin ver
    Source type	IP adresi
    Kaynak	*
    Protokol	TCP
    Hedef Bağlantı Noktaları	3389
    Hedef Türü	IP Address
    Hedef	Daha önce not aldığınız Srv-Workload-02 özel IP adresi.

17. Ekle'yi ve ardından İleri: IDPS'yi seçin.

18. IDPS sayfasında İleri: Tehdit Bilgileri'ni seçin

19. Tehdit Bilgileri sayfasında varsayılanları kabul edin ve Gözden Geçir ve Oluştur'u seçin:

20. Seçiminizi onaylamak için gözden geçirin ve oluştur'u seçin.

İlkeyi ilişkilendirme

Güvenlik duvarı ilkesini hub ile ilişkilendirin.

1. Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı İlkeler'i seçin.
2. İlke-01 onay kutusunu seçin.
3. İlişkilendirmeleri yönet, Hub'ları ilişkilendir'i seçin.
4. hub-01'i seçin.
5. Ekle'yi seçin.

Trafiği hub'ınıza yönlendirme

Şimdi ağ trafiğinin güvenlik duvarınız üzerinden yönlendirilmesini sağlamanız gerekir.

1. Güvenlik Duvarı Yöneticisi'nden Sanal hub'lar'ı seçin.

2. Hub-01'i seçin.

3. Ayarlar'ın altında Güvenlik yapılandırması'nı seçin.

4. İnternet trafiği'nin altında Azure Güvenlik Duvarı'ı seçin.

5. Özel trafik'in altında Azure Güvenlik Duvarı yoluyla gönder'i seçin.

   Not

   Bir sanal ağdaki veya şirket içi daldaki özel ağlar için genel IP adresi aralıkları kullanıyorsanız, bu IP adresi ön eklerini açıkça belirtmeniz gerekir. Özel Trafik Ön Ekleri bölümünü seçin ve RFC1918 adres ön eklerinin yanına ekleyin.

6. Hub'lar arası'nın altında Etkin'i seçerek Sanal WAN yönlendirme amacı özelliğini etkinleştirin. Yönlendirme amacı, Sanal WAN Hub'da dağıtılan Azure Güvenlik Duvarı aracılığıyla daldan dala (şirket içi) trafiği yönlendirmek için Sanal WAN yapılandırabileceğiniz mekanizmadır. Yönlendirme amacı özelliğiyle ilişkili önkoşullar ve dikkat edilmesi gerekenler hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın.

7. Kaydet'i seçin.

8. Uyarı iletişim kutusunda Tamam'ı seçin.

9. Hub'lar arası kullanmak için Geçiş iletişim kutusunda Tamam'ı seçin.

   Not

   Rota tablolarının güncelleştirilmiş olması birkaç dakika sürer.

10. İki bağlantının hem İnternet hem de özel trafiğin güvenliğini Azure Güvenlik Duvarı gösterdiğini doğrulayın.

Güvenlik duvarını test etme

Güvenlik duvarı kurallarını test etmek için, Srv-Workload-01'e NATed olan güvenlik duvarı genel IP adresini kullanarak uzak masaüstüne bağlanın. Buradan, uygulama kuralını test etmek için bir tarayıcı kullanın ve ağ kuralını test etmek için uzak masaüstünü Srv-Workload-02'ye bağlayın.

Uygulama kuralını test edin

Şimdi, beklendiği gibi çalıştığını onaylamak için güvenlik duvarı kurallarını test edin.

1. Uzak masaüstünü güvenlik duvarı genel IP adresine bağlayın ve oturum açın.

2. Internet Explorer'ı açın ve https://www.microsoft.com adresine gidin.

3. Internet Explorer güvenlik uyarılarında Tamam Kapat'ı> seçin.

   Microsoft giriş sayfasını görmeniz gerekir.

4. https://www.google.com adresine göz atın.

   Güvenlik duvarı bunu engellemelidir.

Şimdi güvenlik duvarı uygulama kuralının çalıştığını doğruladınız:

• İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.

Ağ kuralını test edin

Şimdi ağ kuralını test edin.

• Srv-Workload-01'den Srv-Workload-02 özel IP adresine bir uzak masaüstü açın.

  Uzak masaüstü Srv-Workload-02'ye bağlanmalıdır.

Şimdi güvenlik duvarı ağ kuralının çalıştığını doğruladınız:

• Uzak masaüstünü başka bir sanal ağda bulunan bir sunucuya bağlayabilirsiniz.

Kaynakları temizleme

Güvenlik duvarı kaynaklarınızı sınamayı bitirdiğinizde fw-manager-rg kaynak grubunu silip güvenlik duvarıyla ilgili tüm kaynakları silin.

Sonraki adımlar