Öğretici: Azure portalını kullanarak ağ trafiğini bir ağ güvenlik grubuyla filtreleme

  • Makale

Azure sanal ağındaki Azure kaynaklarına gelen ve giden ağ trafiğini filtrelemek için bir ağ güvenlik grubu kullanabilirsiniz.

Ağ güvenlik grupları, ağ trafiğini IP adresi, bağlantı noktası ve protokole göre filtreleyen güvenlik kuralları içerir. Bir ağ güvenlik grubu bir alt ağ ile ilişkilendirildiğinde, bu alt ağda dağıtılan kaynaklara güvenlik kuralları uygulanır.

Diagram of resources created during tutorial.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Ağ güvenlik grubu ve güvenlik kuralları oluşturma
  • Uygulama güvenlik grupları oluşturma
  • Bir sanal ağ oluşturma ve ağ güvenlik grubunu alt ağ ile ilişkilendirme
  • Sanal makineleri dağıtma ve ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirme

Önkoşullar

  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturabilirsiniz.

Azure'da oturum açma

Azure Portal’ında oturum açın.

Sanal ağ oluşturma

Aşağıdaki yordam, bir kaynak alt ağına sahip bir sanal ağ oluşturur.

  1. Portalda Sanal ağlar'ı arayın ve seçin.

  2. Sanal ağlar sayfasında + Oluştur'u seçin.

  3. Sanal ağ oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    Ad alanına test-rg girin.
    Tamam'ı seçin.
    Örnek ayrıntıları
    Veri Akışı Adı vnet-1 girin.
    Bölge Doğu ABD 2’yi seçin.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Güvenlik sekmesine gitmek için İleri'yi seçin.

  5. IP Adresleri sekmesine gitmek için İleri'yi seçin.

  6. Alt ağlar'daki adres alanı kutusunda varsayılan alt ağı seçin.

  7. Alt ağı düzenle bölümünde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Alt ağ ayrıntıları
    Alt ağ şablonu Varsayılan Varsayılan değeri değiştirmeyin.
    Veri Akışı Adı subnet-1 girin.
    Başlangıç adresi Varsayılan değeri 10.0.0.0 olarak bırakın.
    Alt ağ boyutu Varsayılan /24(256 adres) olarak bırakın.

    Screenshot of default subnet rename and configuration.

  8. Kaydet'i seçin.

  9. Ekranın alt kısmındaki Gözden geçir + oluştur'u seçin ve doğrulama başarılı olduğunda Oluştur'u seçin.

Uygulama güvenlik grupları oluşturma

Uygulama güvenlik grubu (ASG' ler), web sunucuları gibi benzer işlevlere sahip sunucuları gruplandırmanıza olanak tanır.

  1. Portalın üst kısmındaki arama kutusuna Uygulama güvenlik grubu yazın. Arama sonuçlarında Uygulama güvenlik grupları'nı seçin.

  2. +Oluştur'u seçin.

  3. Uygulama güvenlik grubu oluştur'un Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Veri Akışı Adı asg-web girin.
    Bölge Doğu ABD 2’yi seçin.

  4. Gözden geçir ve oluştur’u seçin.

  5. +Oluştur'u seçin.

  6. Aşağıdaki değerleri belirterek önceki adımları yineleyin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Veri Akışı Adı asg-mgmt girin.
    Bölge Doğu ABD 2’yi seçin.

  7. Gözden geçir ve oluştur’u seçin.

  8. Oluştur'u belirleyin.

Ağ güvenlik grubu oluşturma

güvenlik grubu (NSG), sanal ağınızdaki ağ trafiğinin güvenliğini sağlar.

  1. Portalın üst kısmındaki arama kutusuna Ağ güvenlik grubu yazın. Arama sonuçlarında Ağ güvenlik grupları'nı seçin.

    Not

    Ağ güvenlik gruplarının arama sonuçlarında Ağ güvenlik grupları (klasik) görebilirsiniz. Ağ güvenlik grupları'ı seçin.

  2. +Oluştur'u seçin.

  3. Ağ güvenlik grubu oluştur'un Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Veri Akışı Adı nsg-1 girin.
    Konum Doğu ABD 2’yi seçin.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur'u belirleyin.

Ağ güvenlik grubunu alt ağ ile ilişkilendirme

Bu bölümde, ağ güvenlik grubunu daha önce oluşturduğunuz sanal ağın alt ağıyla ilişkilendirirsiniz.

  1. Portalın üst kısmındaki arama kutusuna Ağ güvenlik grubu yazın. Arama sonuçlarında Ağ güvenlik grupları'nı seçin.

  2. nsg-1'i seçin.

  3. nsg-1'in Ayarlar bölümünde Alt ağlar'ı seçin.

  4. Alt ağlar sayfasında + İlişkili'yi seçin:

    Screenshot of Associate a network security group to a subnet.

  5. Alt ağı ilişkilendir'in altında Sanal ağ için vnet-1 (test-rg) öğesini seçin.

  6. Alt ağ için subnet-1'i ve ardından Tamam'ı seçin.

Güvenlik kuralları oluşturma

  1. nsg-1'in Ayarlar bölümünden Gelen güvenlik kuralları'nı seçin.

  2. Gelen güvenlik kuralları sayfasında + Ekle'yi seçin.

  3. Asg-web uygulaması güvenlik grubuna 80 ve 443 bağlantı noktalarına izin veren bir güvenlik kuralı oluşturun. Gelen güvenlik kuralı ekle sayfasında aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Source Varsayılan değeri Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları Varsayılan olarak (*) bırakın.
    Hedef Uygulama güvenlik grubu'nun seçin.
    Hedef uygulama güvenlik grupları asg-web'i seçin.
    Hizmet Varsayılan Özel seçeneğini değiştirmeyin.
    Hedef bağlantı noktası aralıkları 80.443 girin.
    Protokol TCP’yi seçin.
    Eylem Varsayılan olarak İzin Ver'i bırakın.
    Öncelik Varsayılan değeri 100 olarak bırakın.
    Veri Akışı Adı Tümüne izin ver yazın.

  4. Ekle'yi seçin.

  5. Önceki adımları aşağıdaki bilgilerle tamamlayın:

    Ayar Değer
    Source Varsayılan değeri Any olarak bırakın.
    Kaynak bağlantı noktası aralıkları Varsayılan olarak (*) bırakın.
    Hedef Uygulama güvenlik grubu'nun seçin.
    Hedef uygulama güvenlik grubu asg-mgmt öğesini seçin.
    Hizmet RDP'yi seçin.
    Eylem Varsayılan olarak İzin Ver'i bırakın.
    Öncelik Varsayılan değeri 110 olarak bırakın.
    Veri Akışı Adı allow-rdp-all girin.

  6. Ekle'yi seçin.

    Dikkat

    Bu makalede, ASP (bağlantı noktası 3389), asg-mgmt uygulama güvenlik grubuna atanan VM için İnternet'te kullanıma sunulur.

    Üretim ortamlarında, 3389 numaralı bağlantı noktasını İnternet'e açmak yerine VPN, özel ağ bağlantısı veya Azure Bastion kullanarak yönetmek istediğiniz Azure kaynaklarına bağlanmanız önerilir.

    Azure Bastion hakkında daha fazla bilgi için bkz . Azure Bastion nedir?.

Sanal makineleri oluşturma

Sanal ağda iki sanal makine (VM) oluşturun.

  1. Portalda Sanal makineler'i arayın ve seçin.

  2. Sanal makineler'de + Oluştur'u ve ardından Azure sanal makinesi'ne tıklayın.

  3. Sanal makine oluştur bölümünde, Temel Bilgiler sekmesinde bu bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Virtual machine name vm-1 girin.
    Bölge (ABD) Doğu ABD 2'yi seçin.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil varsayılanını değiştirmeyin.
    Güvenlik türü Standart'ı seçin.
    Görsel Windows Server 2022 Datacenter - x64 2. Nesil'i seçin.
    Azure Spot örneği Varsayılan olarak işaretlenmemiş olarak bırakın.
    Size Bir boyut seçin.
    Yönetici istrator hesabı
    Username Bir kullanıcı adı girin.
    Parola Bir parola girin.
    Parolayı onaylayın Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Gelen bağlantı noktalarını seçin Hiçbiri seçeneğini belirtin.

  4. İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  5. sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Ağ arabirimi
    Sanal ağ vnet-1'i seçin.
    Alt ağ subnet-1 (10.0.0.0/24) öğesini seçin.
    Genel IP Yeni bir genel IP'nin varsayılanını değiştirmeyin.
    NIC ağ güvenlik grubu Hiçbiri seçeneğini belirtin.

  6. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  7. Oluştur'u belirleyin. VM'nin dağıtılması birkaç dakika sürebilir.

  8. Vm-2 adlı ikinci bir sanal makine oluşturmak için önceki adımları yineleyin.

Ağ arabirimlerini ASG ile ilişkilendirme

VM'leri oluşturduğunuzda, Azure her VM için bir ağ arabirimi oluşturmuş ve vm'ye eklemiş.

Her vm'nin ağ arabirimini daha önce oluşturduğunuz uygulama güvenlik gruplarından birine ekleyin:

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

  2. vm-1'i seçin.

  3. vm-1'in Ayarlar bölümünden Ağ'ı seçin.

  4. Uygulama güvenlik grupları sekmesini ve ardından Uygulama güvenlik gruplarını yapılandır'ı seçin.

    Screenshot of Configure application security groups.

  5. Uygulama güvenlik gruplarını yapılandırma bölümünde Uygulama güvenlik grupları açılır menüsünde asg-web'ive ardından Kaydet'i seçin.

  6. Uygulama güvenlik grupları açılır menüsünden asg-mgmtöğesini seçerek vm-2 için önceki adımları yineleyin.

Trafik filtrelerini test etme

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

  2. vm-2'yi seçin.

  3. Genel Bakış sayfasında Bağlandüğmesini ve ardından Yerel RDP'yi seçin.

  4. RDP dosyasını indir’i seçin.

  5. İndirilen rdp dosyasını açın ve Bağlan'ı seçin. VM'yi oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

  6. Tamam'ı seçin.

  7. Bağlantı işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet veya Devam'ı seçin.

    İnternet'ten asg-mgmt uygulama güvenlik grubuna gelen trafiğe 3389 numaralı bağlantı noktası üzerinden izin verildiğinden bağlantı başarılı olur.

    vm-2 için ağ arabirimi asg-mgmt uygulama güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

  8. vm-2 üzerinde bir PowerShell oturumu açın. Aşağıdakileri kullanarak vm-1'e Bağlan:

    mstsc /v:vm-1

    Aynı ağdaki sanal makineler varsayılan olarak herhangi bir bağlantı noktası üzerinden birbirleriyle iletişim kurabildiğinden, vm-2'den vm-1'e RDP bağlantısı başarılı olur.

    İnternet'ten vm-1 sanal makinesine RDP bağlantısı oluşturamazsınız. asg-web güvenlik kuralı, 3389 numaralı bağlantı noktasına İnternet'ten gelen bağlantıları engeller. İnternet'ten gelen trafik varsayılan olarak tüm kaynaklara reddedilir.

  9. Microsoft IIS'yi vm-1 sanal makinesine yüklemek için, vm-1 sanal makinesindeki bir PowerShell oturumundan aşağıdaki komutu girin:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  10. IIS yüklemesi tamamlandıktan sonra, sizi vm-2 sanal makinesi uzak masaüstü bağlantısında bırakan vm-1 sanal makinesi bağlantısını kesin.

  11. vm-2 VM bağlantısını kesin.

  12. Portal arama kutusunda vm-1 araması yapın.

  13. vm-1'in Genel Bakış sayfasında, VM'nizin Genel IP adresini not edin. Aşağıdaki örnekte gösterilen adres 20.230.55.178'dir ve adresiniz farklıdır:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  14. vm-1 web sunucusuna İnternet'ten erişebildiğinizden emin olmak için, bilgisayarınızda bir internet tarayıcısı açın ve adresine http://<public-ip-address-from-previous-step>gidin.

İnternet'ten asg-web uygulaması güvenlik grubuna gelen trafiğe bağlantı noktası 80 üzerinden izin verildiğinden IIS varsayılan sayfasını görürsünüz.

vm-1 için eklenen ağ arabirimi asg-web uygulaması güvenlik grubuyla ilişkilendirilir ve bağlantıya izin verir.

Kaynakları temizleme

Oluşturduğunuz kaynakları kullanmayı bitirdiğinizde, kaynak grubunu ve tüm kaynaklarını silebilirsiniz:

  1. Azure portalında Kaynak grupları'nı arayın ve seçin.

  2. Kaynak grupları sayfasında test-rg kaynak grubunu seçin.

  3. test-rg sayfasında Kaynak grubunu sil'i seçin.

  4. Silme işlemini onaylamak için Kaynak grubu adını girin alanına test-rg yazın ve ardından Sil'i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Bir ağ güvenlik grubu oluşturup bunu bir sanal ağ alt ağıyla ilişkilendirdi.
  • Web ve yönetim için uygulama güvenlik grupları oluşturuldu.
  • İki sanal makine oluşturdunuz ve ağ arabirimlerini uygulama güvenlik gruplarıyla ilişkilendirdi.
  • Uygulama güvenlik grubu ağ filtrelemesi test edildi.

Ağ güvenlik grupları hakkında daha fazla bilgi edinmek bkz. Ağ güvenlik grubuna genel bakış ve Ağ güvenlik grubunu yönetme.

Azure, varsayılan olarak trafiği alt ağlar arasında yönlendirir. Bunun yerine, alt ağlar arasındaki trafiği, örneğin, güvenlik duvarı olarak görev yapan bir VM aracılığıyla yönlendirmeyi seçebilirsiniz.

Yönlendirme tablosu oluşturma hakkında bilgi edinmek için sonraki öğreticiye geçin.

Yönlendirme tablosu oluşturma