Aracılığıyla paylaş

Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı ilkesi DNAT ile gelen İnternet veya intranet trafiğini filtreleme

  • Makale

Gelen İnternet veya intranet (önizleme) trafiğini alt ağlarınıza çevirmek ve filtrelemek için Azure Güvenlik Duvarı ilkesi Hedef Ağ Adresi Çevirisi (DNAT) yapılandırabilirsiniz. DNAT'yi yapılandırdığınızda kural toplama eylemi DNAT olarak ayarlanır. Ardından NAT kuralı koleksiyonundaki her kural, güvenlik duvarınızı genel veya özel IP adresi ile bağlantı noktasını özel BIR IP adresine ve bağlantı noktasına çevirmek için kullanılabilir. DNAT kuralları, çevrilen trafiğe izin verecek ilgili ağ kuralını örtük olarak ekler. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir kaynak eklemektir. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz: Azure Güvenlik Duvarı kural işleme mantığı.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Test amaçlı ağ ortamı oluşturma
  • Güvenlik duvarı ve ilke dağıtma
  • Varsayılan rota oluşturma
  • DNAT kuralını yapılandırma
  • Güvenlik duvarını test etme

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kaynak grubu oluşturma

  1. Azure Portal’ında oturum açın.
  2. Azure portalı giriş sayfasında Kaynak grupları'nı ve ardından Ekle'yi seçin.
  3. Abonelik için, aboneliğinizi seçin.
  4. Kaynak grubu adı alanına RG-DNAT-Test yazın.
  5. Bölge için bir bölge seçin. Oluşturduğunuz diğer tüm kaynakların aynı bölgede olması gerekir.
  6. Gözden geçir ve oluştur’u seçin.
  7. Oluştur'u belirleyin.

Ağ ortamını oluşturma

Bu öğretici için eşlenen iki sanal ağ oluşturuyorsunuz:

  • VN-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • VN-Spoke - iş yükü sunucusu bu sanal ağ içindedir.

Önce sanal ağları oluşturun, sonra da bunları eşleyin.

Hub sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Sanal ağlar'ı seçin.

  3. Ekle'yi seçin.

  4. Kaynak grubu için RG-DNAT-Test'i seçin.

  5. Ad için VN-Hub yazın.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. İleri: IP Adresleri'ne tıklayın.

  8. IPv4 Adres alanı için varsayılan 10.0.0.0/16'yı kabul edin.

  9. Alt ağ adı'nın altında varsayılan'ı seçin.

  10. Alt ağ adını düzenleyin ve AzureFirewallSubnet yazın.

    Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.

    Not

    AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  11. Alt ağ adres aralığı için 10.0.1.0/26 yazın.

  12. Kaydet'i seçin.

  13. Gözden geçir ve oluştur’u seçin.

  14. Oluştur'u belirleyin.

Uç sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.
  2. Ağ altında Sanal ağlar'ı seçin.
  3. Ekle'yi seçin.
  4. Kaynak grubu için RG-DNAT-Test'i seçin.
  5. Ad için VN-Spoke yazın.
  6. Bölge için daha önce kullandığınız bölgeyi seçin.
  7. İleri: IP Adresleri'ne tıklayın.
  8. IPv4 Adres alanı için varsayılanı düzenleyin ve 192.168.0.0/16 yazın.
  9. Alt ağ ekle'yi seçin.
  10. Alt ağ adı için SN-Workload yazın.
  11. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  12. Ekle'yi seçin.
  13. Gözden geçir ve oluştur’u seçin.
  14. Oluştur'u belirleyin.

Sanal ağları eşleme

Şimdi iki sanal ağı eşleyin.

  1. VN-Hub sanal ağını seçin.
  2. Ayarlar'ın altında Eşlemeler'i seçin.
  3. Ekle'yi seçin.
  4. Bu sanal ağ altında, Eşleme bağlantısı adı için Peer-HubSpoke yazın.
  5. Uzak sanal ağ'ın altında, Eşleme bağlantısı adı için Peer-SpokeHub yazın.
  6. Sanal ağ olarak VN-Spoke’u seçin.
  7. Diğer tüm varsayılan değerleri kabul edin ve ekle'yi seçin.

Sanal makine oluşturun

İş yükü sanal makinesi oluşturun ve bunu SN-Workload alt ağına yerleştirin.

  1. Azure portalı menüsünden, Kaynak oluştur'u seçin.
  2. Popüler'in altında Windows Server 2016 Datacenter'ı seçin.

Temel Bilgiler

  1. Abonelik için, aboneliğinizi seçin.
  2. Kaynak grubu için RG-DNAT-Test'i seçin.
  3. Sanal makine adı için Srv-Workload yazın.
  4. Bölge için daha önce kullandığınız konumu seçin.
  5. Bir kullanıcı adı ve parola girin.
  6. İleri: Diskler'i seçin.

Diskler

  1. İleri: Ağ'ı seçin.

  1. Sanal ağ için VN-Spoke'ı seçin.
  2. Alt ağ için SN-Workload'u seçin.
  3. Genel IP için Yok'a tıklayın.
  4. Genel gelen bağlantı noktaları için Yok'a tıklayın.
  5. Diğer varsayılan ayarları bırakın ve İleri: Yönetim'i seçin.

Yönetim

  1. Önyükleme tanılaması için Devre dışı bırak'ı seçin.
  2. Gözden geçir + Oluştur’u seçin.

Gözden Geçir + Oluştur

Özeti gözden geçirin ve oluştur'u seçin. İşlemin tamamlanması birkaç dakika sürebilir.

Dağıtım bittikten sonra sanal makineyle ilişkili özel IP adresini not alın. Daha sonra güvenlik duvarını yapılandırdığınızda bu adres kullanılacaktır. Sanal makine adını seçin ve Ayarlar'ın altında Ağ'ı seçerek özel IP adresini bulun.

Güvenlik duvarını ve ilkeyi dağıtma

  1. Portal giriş sayfasında Kaynak oluştur'u seçin.

  2. Güvenlik Duvarı'nı arayın ve güvenlik duvarı'nı seçin.

  3. Oluştur'u belirleyin.

  4. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Value
    Abonelik <aboneliğiniz>
    Kaynak grubu RG-DNAT-Test'i seçin
    Veri Akışı Adı FW-DNAT testi
    Bölge Önceden kullandığınız konumu seçin
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanın
    Güvenlik duvarı ilkesi Yeni ekleyin:
    fw-dnat-pol
    seçtiğiniz bölge
    Bir sanal ağ seçin Var olanı kullan: VN-Hub
    Genel IP adresi Yeni ekle, Ad: fw-pip.

  5. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  6. Özeti gözden geçirin ve ardından Oluştur'u seçerek güvenlik duvarını oluşturun.

    Bu işlemin dağıtılması birkaç dakika sürer.

  7. Dağıtım tamamlandıktan sonra RG-DNAT-Test kaynak grubuna gidin ve FW-DNAT-test güvenlik duvarını seçin.

  8. Güvenlik duvarının özel ve genel IP adreslerini not edin. Bunları daha sonra varsayılan yolu ve NAT kuralını oluşturduğunuzda kullanacaksınız.

Varsayılan rota oluşturma

SN-Workload alt ağında varsayılan giden rotayı güvenlik duvarından geçecek şekilde yapılandıracaksınız.

Önemli

Hedef alt ağda güvenlik duvarına yönelik açık bir yol yapılandırmanız gerekmez. Azure Güvenlik Duvarı durum bilgisi olan bir hizmettir ve paketleri ve oturumları otomatik olarak işler. Bu yolu oluşturursanız, durum bilgisi olan oturum mantığını kesintiye uğratır ve bırakılan paketlere ve bağlantılara neden olan asimetrik bir yönlendirme ortamı oluşturursunuz.

  1. Azure portalı giriş sayfasında Tüm hizmetler'i seçin.

  2. Ağ altında Rota tabloları'yı seçin.

  3. Ekle'yi seçin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için RG-DNAT-Test'i seçin.

  6. Bölge için daha önce kullandığınız bölgeyi seçin.

  7. Ad alanına RT-FW-route yazın.

  8. Gözden geçir ve oluştur’u seçin.

  9. Oluştur'u belirleyin.

  10. Kaynağa git’i seçin.

  11. Alt ağlar'ı ve ardından İlişkili'yi seçin.

  12. Sanal ağ için VN-Spoke'ı seçin.

  13. Alt ağ için SN-Workload'u seçin.

  14. Tamam'ı seçin.

  15. Yollar'ı ve ardından Ekle'yi seçin.

  16. Yol adı için fw-dg yazın.

  17. Adres ön eki alanına 0.0.0.0/0 yazın.

  18. Sonraki atlama türü için Sanal gereç'i seçin.

    Azure Güvenlik Duvarı, normalde yönetilen bir hizmettir ancak bu durumda sanal gereç kullanılabilir.

  19. Sonraki atlama adresi alanına önceden not ettiğiniz güvenlik duvarı özel IP adresini yazın.

  20. Tamam'ı seçin.

NAT kuralı yapılandırma

Bu kural, bir uzak masaüstünü güvenlik duvarı üzerinden Srv-Workload sanal makinesine bağlamanıza olanak tanır.

  1. RG-DNAT-Test kaynak grubunu açın ve fw-dnat-pol güvenlik duvarı ilkesini seçin.
  2. Ayarlar'ın altında DNAT kuralları'nı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad alanına rdp yazın.
  5. Öncelik alanına 200 yazın.
  6. Kural koleksiyonu grubu için DefaultDnatRuleCollectionGroup'ı seçin.
  7. Kurallar'ın altında, Ad alanına rdp-nat yazın.
  8. Kaynak türü için IP adresi'ne tıklayın.
  9. Kaynak olarak yazın*.
  10. Protokol alanında TCP'yi seçin.
  11. Hedef Bağlantı Noktaları için 3389 yazın.
  12. Hedef Türü için IP Adresi'ne tıklayın.
  13. Hedef alanına güvenlik duvarı genel veya özel IP adresini yazın.
  14. Çevrilmiş adres için Srv-Workload özel IP adresini yazın.
  15. Çevrilmiş bağlantı noktası için 3389 yazın.
  16. Ekle'yi seçin.

Güvenlik duvarını test etme

  1. Güvenlik duvarı genel IP adresine bir uzak masaüstü bağlayın. Srv-Workload sanal makinesine bağlı olmalısınız.
  2. Uzak masaüstünü kapatın.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse RG-DNAT-Test kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Azure Güvenlik Duvarı Premium'Azure Güvenlik Duvarı dağıtma ve yapılandırma