Öğretici: Azure Güvenlik Duvarı Manager kullanarak sanal hub'ınızın güvenliğini sağlama
Azure Güvenlik Duvarı Yöneticisi'ni kullanarak özel IP adreslerine, Azure PaaS'a ve İnternet'e yönelik bulut ağ trafiğinizin güvenliğini sağlamak için güvenli sanal hub'lar oluşturabilirsiniz. Güvenlik duvarına trafik yönlendirme otomatiktir, bu nedenle kullanıcı tanımlı yollar (UDR) oluşturmanıza gerek yoktur.
Güvenlik Duvarı Yöneticisi, merkez sanal ağ mimarisini de destekler. Güvenli sanal hub ile hub sanal ağ mimarisi türlerinin karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi mimari seçenekleri nelerdir?
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Uç sanal ağını oluşturma
- Güvenli bir sanal hub oluşturma
- Merkez-uç sanal ağlarını bağlama
- Trafiği hub'ınıza yönlendirme
- Sunucuları dağıtma
- Güvenlik duvarı ilkesi oluşturma ve hub'ınızın güvenliğini sağlama
- Güvenlik duvarını test etme
Önemli
Bu öğreticideki yordam, yeni bir Azure Sanal WAN güvenli hub oluşturmak için Azure Güvenlik Duvarı Yöneticisi'ni kullanır. Mevcut bir hub'ı yükseltmek için Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz, ancak Azure Güvenlik Duvarı için Azure Kullanılabilirlik Alanları yapılandıramazsınız. Sanal WAN hub'da Azure Güvenlik Duvarı yapılandırma bölümünde açıklandığı gibi Azure portalını kullanarak mevcut bir hub'ı güvenli bir hub'a dönüştürmek de mümkündür. Ancak Azure Güvenlik Duvarı Yöneticisi gibi Kullanılabilirlik Alanları yapılandıramazsınız. Mevcut bir hub'ı yükseltmek ve Azure Güvenlik Duvarı için Kullanılabilirlik Alanları belirtmek için (önerilir), Öğretici: Azure PowerShell kullanarak sanal hub'ınızın güvenliğini sağlama makalesindeki yükseltme yordamını izlemeniz gerekir.
Önkoşullar
Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Merkez-uç mimarisi oluşturma
İlk olarak, sunucularınızı yerleştirebileceğiniz uç sanal ağları oluşturun.
İki uçlu sanal ağ ve alt ağ oluşturma
İki sanal ağın her birinde bir iş yükü sunucusu vardır ve güvenlik duvarı tarafından korunur.
Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
Sanal ağ'ı arayın, seçin ve Oluştur'u seçin.
Aşağıdaki ayarlarla bir sanal ağ oluşturun:
Ayar Value Abonelik Aboneliğinizi seçin Kaynak grubu Yeni oluştur'u seçin, ad olarak fw-manager-rg yazın ve Tamam'ı seçin Sanal ağın adı Uç-01 Bölge Doğu ABD İleri'yi ve ardından İleri'yi seçin.
Ağ sekmesinde aşağıdaki ayarlarla bir alt ağ oluşturun:
Ayar Value IPv4 adres alanı ekleme 10.0.0.0/16 (varsayılan) Alt ağlar varsayılan Veri Akışı Adı İş Yükü-01-SN Başlangıç adresi 10.0.1.0/24 Kaydet, Gözden Geçir ve oluştur'u ve ardından Oluştur'u seçin.
fw-manager-rg kaynak grubunda benzer bir sanal ağ oluşturmak için bu yordamı yineleyin:
Ayar | Değer |
---|---|
Veri Akışı Adı | Uç-02 |
Adres alanı | 10.1.0.0/16 |
Alt ağ adı | İş Yükü-02-SN |
Başlangıç adresi | 10.1.1.0/24 |
Güvenli sanal hub oluşturma
Güvenlik Duvarı Yöneticisi'nı kullanarak güvenli sanal hub'ınızı oluşturun.
Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
Arama kutusuna Güvenlik Duvarı Yöneticisi yazın ve Güvenlik Duvarı Yöneticisi'ni seçin.
Güvenlik Duvarı Yöneticisi sayfasında Dağıtımlar'ın altında Sanal hub'lar'ı seçin.
Güvenlik Duvarı Yöneticisi'ne | Sanal hub'lar sayfasında Yeni güvenli sanal hub oluştur'u seçin.
Yeni güvenli sanal hub oluştur sayfasında aşağıdaki bilgileri girin:
Ayar Value Abonelik Aboneliğinizi seçin. Kaynak grubu fw-manager-rg öğesini seçin Bölge Doğu ABD Güvenli sanal hub adı Hub-01 Hub adres alanı 10.2.0.0/16 Yeni vWAN'ı seçin.
Ayar Value Yeni sanal WAN adı Vwan-01 Tür Standart Güvenilen Güvenlik İş Ortaklarını etkinleştirmek için VPN ağ geçidini dahil etme Onay kutusunu temiz bırakın. İleri: Azure Güvenlik Duvarı'i seçin.
Varsayılan Azure Güvenlik DuvarıEtkin ayarını kabul edin.
Azure Güvenlik Duvarı katman için Standart'ı seçin.
İstediğiniz Kullanılabilirlik Alanları birleşimini seçin.
Önemli
Sanal WAN, hub'ın içinde kullanıma sunulan merkezlerden ve hizmetlerden oluşan bir koleksiyondur. İstediğiniz kadar Sanal WAN dağıtabilirsiniz. Sanal WAN hub'ında VPN, ExpressRoute gibi birden çok hizmet vardır. Bölge Kullanılabilirlik Alanları destekliyorsa, bu hizmetlerin her biri Azure Güvenlik Duvarı dışında Kullanılabilirlik Alanları arasında otomatik olarak dağıtılır. Azure Sanal WAN dayanıklılığıyla uyumlu hale getirmek için tüm kullanılabilir Kullanılabilirlik Alanları seçmeniz gerekir.
Genel IP adresi sayısını belirtin metin kutusuna 1 yazın veya mevcut bir genel IP adresini (önizleme) bu güvenlik duvarıyla ilişkilendirin.
Güvenlik Duvarı İlkesi'nin altında Varsayılan Reddetme İlkesi'nin seçili olduğundan emin olun. Bu makalenin devamında ayarlarınızı iyileştirebilirsiniz.
İleri: Güvenlik İş Ortağı Sağlayıcısı'nı seçin.
Varsayılan Güvenilen Güvenlik OrtağıDevre Dışı ayarını kabul edin ve İleri: Gözden geçir + oluştur'u seçin.
Oluştur'u belirleyin.
Not
Güvenli bir sanal hub oluşturmak 30 dakika kadar sürebilir.
Dağıtım tamamlandıktan sonra güvenlik duvarı genel IP adresini bulabilirsiniz.
- Güvenlik Duvarı Yöneticisi'ne tıklayın.
- Sanal hub'lar'ı seçin.
- hub-01'i seçin.
- AzureFirewall_Hub-01'i seçin.
- Daha sonra kullanmak için genel IP adresini not edin.
Merkez-uç sanal ağlarını bağlama
Artık merkez-uç sanal ağlarını eşleyebilirsiniz.
fw-manager-rg kaynak grubunu ve ardından Vwan-01 sanal WAN'ını seçin.
Bağlantı'nın altında Sanal ağ bağlantıları'nı seçin.
Ayar Value Bağlantı adı merkez-uç-01 Hub'lar Hub-01 Kaynak grubu fw-manager-rg Sanal ağ Uç-01 Oluştur'u belirleyin.
Spoke-02 sanal ağını aşağıdaki ayarlarla bağlamak için önceki adımları yineleyin:
Ayar Value Bağlantı adı merkez-uç-02 Hub'lar Hub-01 Kaynak grubu fw-manager-rg Sanal ağ Uç-02
Sunucuları dağıtma
Azure portalında Kaynak oluştur'u seçin.
Popüler listesinden Windows Server 2019 Datacenter'ı seçin.
Sanal makine için şu değerleri girin:
Ayar Value Kaynak grubu fw-manager-rg Virtual machine name Srv-workload-01 Bölge (ABD) Doğu ABD Yönetici kullanıcı adı kullanıcı adı yazın Parola parola yazın Gelen bağlantı noktası kuralları'nın altında, Genel gelen bağlantı noktaları için Yok'a tıklayın.
Diğer varsayılanları kabul edin ve İleri: Diskler'i seçin.
Disk varsayılanlarını kabul edin ve İleri: Ağ'ı seçin.
Sanal ağ için Uç-01'i ve alt ağ için Workload-01-SN'yi seçin.
Genel IP için Yok'a tıklayın.
Diğer varsayılanları kabul edin ve İleri: Yönetim'i seçin.
İleri:İzleme'yi seçin.
Önyükleme tanılamasını devre dışı bırakmak için Devre Dışı Bırak'ı seçin.
Diğer varsayılanları kabul edin ve Gözden geçir + oluştur'u seçin.
Özet sayfasındaki ayarları gözden geçirin ve Oluştur'u seçin.
Srv-Workload-02 adlı başka bir sanal makineyi yapılandırmak için aşağıdaki tabloda yer alan bilgileri kullanın. Yapılandırmanın geri kalanı Srv-workload-01 sanal makinesiyle aynıdır.
Ayar | Value |
---|---|
Sanal ağ | Uç-02 |
Alt ağ | İş Yükü-02-SN |
Sunucular dağıtıldıktan sonra bir sunucu kaynağı seçin ve Ağ'da her sunucunun özel IP adresini not edin.
Güvenlik duvarı ilkesi oluşturma ve hub'ınızın güvenliğini sağlama
Güvenlik duvarı ilkesi, trafiği bir veya daha fazla Güvenli sanal hub'a yönlendirmek için kural koleksiyonlarını tanımlar. Güvenlik duvarı ilkenizi oluşturur ve ardından hub'ınızın güvenliğini sağlarsınız.
Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı ilkeleri seçin.
Azure Güvenlik Duvarı İlkesi Oluştur'u seçin.
Kaynak grubu için fw-manager-rg öğesini seçin.
İlke ayrıntıları'nın altında, İlke-01Ad türü ve Bölge için Doğu ABD'yi seçin.
İlke katmanı için Standart'ı seçin.
İleri: DNS Ayarları'nı seçin.
İleri: TLS İncelemesi'ne tıklayın.
İleri: Kurallar'ı seçin.
Kurallar sekmesinde Kural koleksiyonu ekle'yi seçin.
Kural koleksiyonu ekle sayfasında aşağıdaki bilgileri girin.
Ayar Değer Veri Akışı Adı App-RC-01 Kural koleksiyonu türü Uygulama Öncelik 100 Kural koleksiyonu eylemi İzin ver Kural Adı Allow-msft Source type IP adresi Kaynak * Protokol http,https Hedef türü FQDN Hedef *.microsoft.com Ekle'yi seçin.
Srv-Workload-01 sanal makinesine uzak masaüstü bağlayabileceğiniz bir DNAT kuralı ekleyin.
Kural koleksiyonu ekle'yi seçin ve aşağıdaki bilgileri girin.
Ayar Değer Veri Akışı Adı dnat-rdp Kural koleksiyonu türü DNAT Öncelik 100 Kural Adı rdp'ye izin ver Source type IP adresi Kaynak * Protokol TCP Hedef Bağlantı Noktaları 3389 Hedef Güvenlik duvarı genel IP adresi daha önce not alınmıştı. Çevrilen tür IP Address Çevrilmiş adres Srv-Workload-01 için özel IP adresi daha önce not alınmıştı. Çevrilmiş bağlantı noktası 3389 Ekle'yi seçin.
Srv-Workload-01'den Srv-Workload-02'ye uzak masaüstü bağlayabileceğiniz bir Ağ kuralı ekleyin.
Kural koleksiyonu ekle'yi seçin ve aşağıdaki bilgileri girin.
Ayar Değer Veri Akışı Adı vnet-rdp Kural koleksiyonu türü Ağ Öncelik 100 Kural koleksiyonu eylemi İzin ver Kural Adı Sanal ağa izin ver Source type IP adresi Kaynak * Protokol TCP Hedef Bağlantı Noktaları 3389 Hedef Türü IP Address Hedef Daha önce not aldığınız Srv-Workload-02 özel IP adresi. Ekle'yi ve ardından İleri: IDPS'yi seçin.
IDPS sayfasında İleri: Tehdit Bilgileri'ni seçin
Tehdit Bilgileri sayfasında varsayılanları kabul edin ve Gözden Geçir ve Oluştur'u seçin:
Seçiminizi onaylamak için gözden geçirin ve oluştur'u seçin.
İlkeyi ilişkilendirme
Güvenlik duvarı ilkesini hub ile ilişkilendirin.
- Güvenlik Duvarı Yöneticisi'nden Azure Güvenlik Duvarı İlkeler'i seçin.
- İlke-01 onay kutusunu seçin.
- İlişkilendirmeleri yönet, Hub'ları ilişkilendir'i seçin.
- hub-01'i seçin.
- Ekle'yi seçin.
Trafiği hub'ınıza yönlendirme
Şimdi ağ trafiğinin güvenlik duvarınız üzerinden yönlendirilmesini sağlamanız gerekir.
Güvenlik Duvarı Yöneticisi'nden Sanal hub'lar'ı seçin.
Hub-01'i seçin.
Ayarlar'ın altında Güvenlik yapılandırması'nı seçin.
İnternet trafiği'nin altında Azure Güvenlik Duvarı'ı seçin.
Özel trafik'in altında Azure Güvenlik Duvarı yoluyla gönder'i seçin.
Not
Bir sanal ağdaki veya şirket içi daldaki özel ağlar için genel IP adresi aralıkları kullanıyorsanız, bu IP adresi ön eklerini açıkça belirtmeniz gerekir. Özel Trafik Ön Ekleri bölümünü seçin ve RFC1918 adres ön eklerinin yanına ekleyin.
Hub'lar arası'nın altında Etkin'i seçerek Sanal WAN yönlendirme amacı özelliğini etkinleştirin. Yönlendirme amacı, Sanal WAN Hub'da dağıtılan Azure Güvenlik Duvarı aracılığıyla daldan dala (şirket içi) trafiği yönlendirmek için Sanal WAN yapılandırabileceğiniz mekanizmadır. Yönlendirme amacı özelliğiyle ilişkili önkoşullar ve dikkat edilmesi gerekenler hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın.
Kaydet'i seçin.
Uyarı iletişim kutusunda Tamam'ı seçin.
Hub'lar arası kullanmak için Geçiş iletişim kutusunda Tamam'ı seçin.
Not
Rota tablolarının güncelleştirilmiş olması birkaç dakika sürer.
İki bağlantının hem İnternet hem de özel trafiğin güvenliğini Azure Güvenlik Duvarı gösterdiğini doğrulayın.
Güvenlik duvarını test etme
Güvenlik duvarı kurallarını test etmek için, Srv-Workload-01'e NATed olan güvenlik duvarı genel IP adresini kullanarak uzak masaüstüne bağlanın. Buradan, uygulama kuralını test etmek için bir tarayıcı kullanın ve ağ kuralını test etmek için uzak masaüstünü Srv-Workload-02'ye bağlayın.
Uygulama kuralını test edin
Şimdi, beklendiği gibi çalıştığını onaylamak için güvenlik duvarı kurallarını test edin.
Uzak masaüstünü güvenlik duvarı genel IP adresine bağlayın ve oturum açın.
Internet Explorer'ı açın ve
https://www.microsoft.com
adresine gidin.Internet Explorer güvenlik uyarılarında Tamam Kapat'ı> seçin.
Microsoft giriş sayfasını görmeniz gerekir.
https://www.google.com
adresine göz atın.Güvenlik duvarı bunu engellemelidir.
Şimdi güvenlik duvarı uygulama kuralının çalıştığını doğruladınız:
- İzin verilen bir FQDN'ye göz atabilir ancak diğerlerine göz atamazsınız.
Ağ kuralını test edin
Şimdi ağ kuralını test edin.
Srv-Workload-01'den Srv-Workload-02 özel IP adresine bir uzak masaüstü açın.
Uzak masaüstü Srv-Workload-02'ye bağlanmalıdır.
Şimdi güvenlik duvarı ağ kuralının çalıştığını doğruladınız:
- Uzak masaüstünü başka bir sanal ağda bulunan bir sunucuya bağlayabilirsiniz.
Kaynakları temizleme
Güvenlik duvarı kaynaklarınızı sınamayı bitirdiğinizde fw-manager-rg kaynak grubunu silip güvenlik duvarıyla ilgili tüm kaynakları silin.