Azure Güvenlik Duvarı Yönetimi NIC

Azure Güvenlik Duvarı Yönetimi NIC'i, güvenlik duvarı yönetim trafiğini müşteri trafiğinden ayırır. Yaklaşan bazı Güvenlik Duvarı özellikleri için yönetim NIC'sini de gerekir. Bu özelliklerden herhangi birini desteklemek için Güvenlik Duvarı Yönetimi NIC'sinin etkinleştirildiği bir Azure Güvenlik Duvarı oluşturmanız veya hizmet kesintisini önlemek için mevcut bir Azure Güvenlik Duvarı etkinleştirmeniz gerekir.

Yönetim NIC'sini etkinleştirdiğinizde ne olur?

Bir Yönetim NIC'sini etkinleştirirseniz, güvenlik duvarı yönetim trafiğini ilişkili genel IP adresiyle AzureFirewallManagementSubnet (minimum alt ağ boyutu /26) üzerinden yönlendirir. Güvenlik duvarının trafiği yönetmesi için bu genel IP adresini atarsınız. Güvenlik duvarının işletimsel amaçları için gereken tüm trafik AzureFirewallManagementSubnet'e eklenir.

Varsayılan olarak, hizmet sistem tarafından sağlanan bir yol tablosunu Yönetim alt ağıyla ilişkilendirir. Bu alt ağda izin verilen tek yol, İnternet'e giden varsayılan bir yoldur ve Ağ geçidi yollarını yay devre dışı bırakılmalıdır. Yanlış yapılandırıldığında hizmet kesintilerine neden olabileceğinden, müşteri yönlendirme tablolarını Yönetim alt ağıyla ilişkilendirmekten kaçının. Yönlendirme tablosunu ilişkilendirirseniz, hizmet kesintilerini önlemek için varsayılan İnternet yolu olduğundan emin olun.

Mevcut güvenlik duvarlarında Yönetim NIC'sini etkinleştirme

Standart ve Premium güvenlik duvarı sürümleri için Güvenlik Duvarı Yönetimi NIC'sinin daha önce gösterildiği gibi oluşturma işlemi sırasında el ile etkinleştirilmesi gerekir, ancak tüm Temel Güvenlik Duvarı sürümleri ve tüm Güvenli Hub güvenlik duvarları her zaman bir Yönetim NIC'sine sahiptir.

Önceden var olan bir güvenlik duvarı için, zorlamalı tüneli desteklemek için güvenlik duvarını durdurmanız ve ardından Güvenlik Duvarı Yönetimi NIC'sini etkinleştirerek yeniden başlatmanız gerekir. Güvenlik duvarını durdurmak/başlatmak, mevcut bir güvenlik duvarını silmeye ve yenisini yeniden dağıtmaya gerek kalmadan Güvenlik Duvarı Yönetimi NIC'sini etkinleştirmek için kullanılabilir. Güvenlik Duvarı Yönetimi NIC'sini etkinleştirmeye çalışırken de dahil olmak üzere kesintileri önlemek için güvenlik duvarını her zaman bakım saatlerinde başlatmanız/durdurmanız gerekir.

Aşağıdaki adımları kullanın:

1. AzureFirewallManagementSubnet Azure portalında öğesini oluşturun ve sanal ağ için uygun IP adresi aralığını kullanın.

   

2. Mevcut güvenlik duvarı genel IP adresiyle aynı özelliklere sahip yeni yönetim genel IP adresini oluşturun: SKU, Katman ve Konum.

   

3. Güvenlik duvarını durdurma

   Güvenlik duvarını durdurmak için Azure Güvenlik Duvarı SSS'deki bilgileri kullanın:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

4. Yönetim genel IP adresi ve alt ağ ile güvenlik duvarını başlatın.

   Bir genel IP adresi ve yönetim genel IP adresi olan bir güvenlik duvarı başlatın:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
   $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
   $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw | Set-AzFirewall
   

   İki genel IP adresi ve yönetim genel IP adresi olan bir güvenlik duvarı başlatın:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
   $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
   $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
   $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
   $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
   $azfw | Set-AzFirewall
   

   Not

   Bir güvenlik duvarını ve genel IP'yi özgün kaynak grubuna ve aboneliğe yeniden dağıtmanız gerekir. Durdurma/başlatma gerçekleştirildiğinde, güvenlik duvarının özel IP adresi alt ağ içinde farklı bir IP adresine değişebilir. Bu, önceden yapılandırılmış yol tablolarının bağlantısını etkileyebilir.

Azure portalında güvenlik duvarını görüntülediğinizde atanan Yönetim genel IP adresini görürsünüz:

Zorlamalı Tünel için Yönetim NIC'siyle Yeni Azure Güvenlik Duvarı Dağıtma

Durdur/Başlat yöntemi yerine yeni bir Azure Güvenlik Duvarı dağıtmayı tercih ediyorsanız, yapılandırmanıza bir Yönetim Alt Ağı ve Yönetim NIC'sini eklediğinizden emin olun.

Önemli Not

• Sanal Ağ Başına Tek Güvenlik Duvarı (VNET): Aynı sanal ağda iki güvenlik duvarı olmadığından, aynı sanal ağı yeniden kullanmak istiyorsanız yeni dağıtımı başlatmadan önce eski güvenlik duvarını silmeniz önerilir.
• Alt Ağ Oluşturma Öncesi: Mevcut bir sanal ağı kullanırken dağıtım sorunlarını önlemek için AzureFirewallManagementSubnet'in önceden oluşturulduğundan emin olun.

Önkoşullar

• AzureFirewallManagementSubnet'i oluşturun:
  • En düşük alt ağ boyutu: /26
  • Örnek: 10.0.1.0/26

Dağıtım Adımları

1. Azure portalında Kaynak Oluşturma'ya gidin.
2. Güvenlik Duvarı'nı arayın ve Oluştur'u seçin.
3. Güvenlik Duvarı Oluştur sayfasında aşağıdaki ayarları yapılandırın:
   • Abonelik: Aboneliğinizi seçin.
   • Kaynak Grubu: Yeni bir kaynak grubu seçin veya oluşturun.
   • Ad: Güvenlik duvarı için bir ad girin.
   • Bölge: Bölgenizi seçin.
   • Güvenlik Duvarı SKU'su: Temel, Standart veya Premium'ı seçin.
   • Sanal Ağ: Yeni bir sanal ağ oluşturun veya mevcut bir ağı kullanın.
     • Adres alanı: örneğin, 10.0.0.0/16
     • AzureFirewallSubnet alt ağı: örneğin, 10.0.0.0/26
   • Genel IP Adresi: Yeni Genel IP ekle
     • Ad: örneğin, FW-PIP
4. Güvenlik Duvarı Yönetimi NIC
   • Güvenlik Duvarı Yönetimi NIC'sini Etkinleştir'i seçin
     • AzureFirewallManagementSubnet alt ağı: örneğin, 10.0.1.0/24
     • Create Management genel IP adresi: örneğin, Mgmt-PIP
5. Güvenlik duvarını doğrulamak ve dağıtmak için Gözden Geçir + Oluştur'u seçin. Bu işlemin dağıtılması birkaç dakika sürer.

İlgili içerik

• Azure Güvenlik Duvarı zorlamalı tüneli