Microsoft Azure

Azure Portal Üzerinden Azure Firewall Yapılandırılması – Azure Firewall Kural Tanımlama

Hakan Uzuner fotoğrafı Hakan Uzuner Bir e-posta göndermek 19/09/2020
0 3 dakika okuma süresi

Makalemin bundan önceki bölümlerinde temel kavramlardan bahsetmiştim, bu bölümde ise artık portal üzerinden kullanım detaylarını göreceğiz. Özellikle temel bir senaryo üzerinden Azure Firewall kullanımın göreceğiz.

Resim1

Temel senaryomuz yukarıdaki gibi olup aşağıdaki adımları tanımlayacağız.

  • Set up a test network environment
  • Deploy a firewall
  • Create a default route
  • Configure an application rule to allow access to www.google.com
  • Configure a network rule to allow access to external DNS servers
  • Configure a NAT rule to allow a remote desktop to the test server
  • Test the firewall

Bunu sizde uygulamak istiyorsanız bir azure hesabınızın olması gerekmektedir.

Öncelikle network oluşturmamız gerekiyor ancak yeni bir azure hesabı üzerinde özellikle bu konuyu pekiştirmek için bu uygulamaya özel ya da yine kendi yapınızda Azure Firewall için ayrı bir kaynak grubu yani bilinen ismi ile resource group oluşturmamız gerekiyor.

https://portal.azure.com üzerinden önce yeni bir resource group oluşturuyoruz;

Resim2

Resim3

Sahip olduğunuz üyeliği, ardından kaynak grubu için anlamlı bir isim ve kurmak istediğiniz veri merkezi bölgesini seçiyorsunuz.

Bu işlem çok kısa bir sürede tamamlanır,

Resim4

Hızlıca Go to resource group bölümüne tıklayarak aşağıdaki gibi kaynak grubuna geçiş yapabilirsiniz.

Resim5

Gördüğünüz gibi henüz bir kaynak yok. İlk kaynağımız bir Vnet oluşturmak olacaktır. Bunun için Create resources bölümüne tıklıyoruz.

Resim6

Çıkan arama menüsünden sol bölümde Networking seçimini yapıp sonra hemen sağ bölümden Virtual network kaynağını seçiyoruz.

Resim7

İlk ekranda hali hazırda seçili üyeliğimiz ve kaynak grubumuzu görüyorsunuz, kaynak grubu içerisindeki kaynakları farklı veri merkezlerinde seçebiliyorsunuz ancak ben bunu da aynı veri merkezi bölgesinde oluşturmak için yine West Europe seçiyorum ve bir isim veriyorum. Sizde kendinize göre bir isim verebilirsiniz. Alt bölümden veya üst bölümdeki linkten IP Addresses bölümüne geçiyoruz.

Resim8

Burada kendi mevcut yapınız için örnek ip aralıklarını seçebilirsiniz, ben IPv4 adres aralığı için 10.0.0.0/16 yazmak istedim, ama gördüğünüz gibi başka bir vnet ile çakıştığı için sizde de böyle bir durum yaşanabilir. Bu nedenle eğer mevcut vnet önemli değil ise silebilir veya bu vnet için farklı bir network kullanabilirsiniz.

Ben test için açtığım vnet’ i sildim ve aşağıdaki gibi ilerliyorum.

Resim9

Öncelikle IPv4 Address space bölümüne istediğiniz ip aralığını belirtiyorsunuz. Ben 10.0.0.0/16 tanımladım. Daha sonra Subnet bölümüne geliyorum ve Default subnet üzerine tıklıyorum, bu durumda sağ bölümde yeni bir ekran açılır ve bu açılan bölümde isim olarak “AzureFirewallSubnet” ve Address range bölümüne 10.0.1.0/26 yazıyorum ve save diyorum.

Ek olarak bir subnet daha oluşturuyorum, ismi Workload-SN, adres aralığı ise 10.0.2.0/24

Ve Vnet tanımlama işlemini bitiriyorum.

Şimdi sıra sanal makine oluşturmaya geldi, bu bölümü hızlı geçiyorum malum herkesin bildiğini düşünüyorum.

Resim10

Bu konuyu bilenler için tek önemli detay Public inbound ports none olarak işaretledim. Bilmeyenler içinde diğer makalelerimizden veya aynı resimdeki gibi seçimleri yapabilirsiniz.

Resim11

Bu bölümü varsayılan olarak geçebilirsiniz.

Resim12

Burada önemli olan konu Vnet olarak oluşturduğumuz sanal ağın seçili olması ve subnet olarak Workload-SN seçili olmalı. Public ip ise istemiyoruz. Diğer ayarlar varsayılan olarak kalabilir.

Resim13

Bu bölümde ise sadece boot Diagnostics bölümünü disable yapıp artık sanal makineyi oluşturabiliriz.

Şimdi Firewall deploy etmemiz gerekiyor. Yine kaynak oluşturuyoruz.

Resim14

Resim15

Ayarları yukarıdaki gibi yapabilirsiniz. Burada önemli olan mutlaka var olan Vnet’ i seçmeniz gereklidir. Public bir ip olmadığı içinde onu eklememiz şart.

Resim16

Firewall oluştuktan sonra ilgili kaynak sayfasına gidip public ve private ip adreslerini not ediyoruz. İleride kullanacağız.

Not: Public ip için üzerine tıklamak ve açılan sayfadaki ip adresini kayıt etmeniz gereklidir.

Şimdi sıra default route tanımı yapmaya geldi. Workload-SN yani subneti için tüm outbound trafiği firewall üzerinden geçecek şekilde ayarlayacağız. Portal üzerinde All services bölümüne tıklıyoruz. Network altından Route tables bölümüne geliyoruz ve add diyoruz.

Resim17

Yukarıdaki gibi tanımları yapıyoruz.

Resim18

Daha sonra oluşturduğumuz kaynak sayfasına gidiyoruz ve sol menüden Subnets linkine tıklıyoruz, sağ bölümden ise “Associate” linkine tıklıyoruz.

Resim19

Daha sonra yine aynı kaynak içerisinde yine sol menüden Routes linkine tıklıyoruz ve sağ bölümden “Add” butonuna basıyoruz.

Resim20

Karşımıza aşağıdaki gibi bir ekran çıkacaktır.

Resim21

İsim tanımlıyoruz, sonra interneti temsil eden 0.0.0.0/0 ip aralığını giriyoruz, hedefi ve firewall için iç ip adresini tanımlıyoruz. Bu ip adresini firewall tanımladıktan sonra not edin demiştim.

Gelelim şimdi application rule oluşturmaya.

Oluşturduğumuz Firewall kaynak sayfasına geliyoruz.

Resim22

Sol bölümden Settings başlığı altındaki rules bölümüne geliyoruz. Üst bölümdeki Application rule sekmesine geçiyoruz.

Resim23

Yukarıdaki gibi bir kural tanımlıyoruz.

Şimdi de bir tane network rule tanımlayacağız. Bu sefer yine üstteki sekmeden network rule collection sekmesine geliyoruz.

Resim24

Burada göreceğiniz gibi sanal sunucumuzun bağlı olduğu vnet içerisindeki subnet kaynağından gelen ve 209 ile başlayan aslında CenturyLink tarafında işletilen DNS sunucularına UDP 53 nolu port yani DNS portu için izin veriyoruz.

Son olarak sunucu için RDP erişimi açmamız gerektiğini düşünürsek bir DNAT kuralı yazmamız gerekli. İlgili sekmeye gelip aşağıdaki gibi bir kural yazabilirsiniz.

Resim25

Burada da temel olarak adsl modemlerden bile alışkın olduğumuz bir port yönlendirmesi yaptık. Kaynak * yani internet üzerinden herhangi bir istek 51.144.57.51 yani azure firewall dış bacak ip ye TCP 3389 nolu port üzerinden gelir ise onu içeride kurduğumuz sanal sunucu ip adresine 10.0.2.4 yönlendirmek içindir.

Son olarak eğer ortamınızda eğer tanımlı bir DNS yok ise sanal makine için tanımladığımız network kartında DNS hizmeti için aşağıdaki gibi bir tanımlama yapmanız gereklidir.

Resim26

Artık test zamanı, bunun için firewall’ un public ip adresine rdp ile bağlanalım ve browser üzerinde www.cozumpark.com ile www.google.com deneyelim.

Resim28

ÇözümPark açıldı, şimdi google’ ı deneyelim.

Resim28

Evet Azure Firewall tarafından yasaklandığını görüyoruz.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

Hakan Uzuner fotoğrafı Hakan Uzuner Bir e-posta göndermek 19/09/2020
0 3 dakika okuma süresi
Hakan Uzuner fotoğrafı

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Microsoft Azure’da Maliyet Optimizasyonu

15/04/2024

Azure Dev/Test Planlarına Göz Atalım

27/12/2023

Azure CLI ile Azure Aboneliklerini İptal Etme

11/12/2023

Azure AI ile kod seviyesinde performans iyileştirmek

04/12/2023

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu