Makalemin bundan önceki bölümlerinde temel kavramlardan bahsetmiştim, bu bölümde ise artık portal üzerinden kullanım detaylarını göreceğiz. Özellikle temel bir senaryo üzerinden Azure Firewall kullanımın göreceğiz.
Resim1
Temel senaryomuz yukarıdaki gibi olup aşağıdaki adımları tanımlayacağız.
- Set up a test network environment
- Deploy a firewall
- Create a default route
- Configure an application rule to allow access to www.google.com
- Configure a network rule to allow access to external DNS servers
- Configure a NAT rule to allow a remote desktop to the test server
- Test the firewall
Bunu sizde uygulamak istiyorsanız bir azure hesabınızın olması gerekmektedir.
Öncelikle network oluşturmamız gerekiyor ancak yeni bir azure hesabı üzerinde özellikle bu konuyu pekiştirmek için bu uygulamaya özel ya da yine kendi yapınızda Azure Firewall için ayrı bir kaynak grubu yani bilinen ismi ile resource group oluşturmamız gerekiyor.
https://portal.azure.com üzerinden önce yeni bir resource group oluşturuyoruz;
Resim2
Resim3
Sahip olduğunuz üyeliği, ardından kaynak grubu için anlamlı bir isim ve kurmak istediğiniz veri merkezi bölgesini seçiyorsunuz.
Bu işlem çok kısa bir sürede tamamlanır,
Resim4
Hızlıca Go to resource group bölümüne tıklayarak aşağıdaki gibi kaynak grubuna geçiş yapabilirsiniz.
Resim5
Gördüğünüz gibi henüz bir kaynak yok. İlk kaynağımız bir Vnet oluşturmak olacaktır. Bunun için Create resources bölümüne tıklıyoruz.
Resim6
Çıkan arama menüsünden sol bölümde Networking seçimini yapıp sonra hemen sağ bölümden Virtual network kaynağını seçiyoruz.
Resim7
İlk ekranda hali hazırda seçili üyeliğimiz ve kaynak grubumuzu görüyorsunuz, kaynak grubu içerisindeki kaynakları farklı veri merkezlerinde seçebiliyorsunuz ancak ben bunu da aynı veri merkezi bölgesinde oluşturmak için yine West Europe seçiyorum ve bir isim veriyorum. Sizde kendinize göre bir isim verebilirsiniz. Alt bölümden veya üst bölümdeki linkten IP Addresses bölümüne geçiyoruz.
Resim8
Burada kendi mevcut yapınız için örnek ip aralıklarını seçebilirsiniz, ben IPv4 adres aralığı için 10.0.0.0/16 yazmak istedim, ama gördüğünüz gibi başka bir vnet ile çakıştığı için sizde de böyle bir durum yaşanabilir. Bu nedenle eğer mevcut vnet önemli değil ise silebilir veya bu vnet için farklı bir network kullanabilirsiniz.
Ben test için açtığım vnet’ i sildim ve aşağıdaki gibi ilerliyorum.
Resim9
Öncelikle IPv4 Address space bölümüne istediğiniz ip aralığını belirtiyorsunuz. Ben 10.0.0.0/16 tanımladım. Daha sonra Subnet bölümüne geliyorum ve Default subnet üzerine tıklıyorum, bu durumda sağ bölümde yeni bir ekran açılır ve bu açılan bölümde isim olarak “AzureFirewallSubnet” ve Address range bölümüne 10.0.1.0/26 yazıyorum ve save diyorum.
Ek olarak bir subnet daha oluşturuyorum, ismi Workload-SN, adres aralığı ise 10.0.2.0/24
Ve Vnet tanımlama işlemini bitiriyorum.
Şimdi sıra sanal makine oluşturmaya geldi, bu bölümü hızlı geçiyorum malum herkesin bildiğini düşünüyorum.
Resim10
Bu konuyu bilenler için tek önemli detay Public inbound ports none olarak işaretledim. Bilmeyenler içinde diğer makalelerimizden veya aynı resimdeki gibi seçimleri yapabilirsiniz.
Resim11
Bu bölümü varsayılan olarak geçebilirsiniz.
Resim12
Burada önemli olan konu Vnet olarak oluşturduğumuz sanal ağın seçili olması ve subnet olarak Workload-SN seçili olmalı. Public ip ise istemiyoruz. Diğer ayarlar varsayılan olarak kalabilir.
Resim13
Bu bölümde ise sadece boot Diagnostics bölümünü disable yapıp artık sanal makineyi oluşturabiliriz.
Şimdi Firewall deploy etmemiz gerekiyor. Yine kaynak oluşturuyoruz.
Resim14
Resim15
Ayarları yukarıdaki gibi yapabilirsiniz. Burada önemli olan mutlaka var olan Vnet’ i seçmeniz gereklidir. Public bir ip olmadığı içinde onu eklememiz şart.
Resim16
Firewall oluştuktan sonra ilgili kaynak sayfasına gidip public ve private ip adreslerini not ediyoruz. İleride kullanacağız.
Not: Public ip için üzerine tıklamak ve açılan sayfadaki ip adresini kayıt etmeniz gereklidir.
Şimdi sıra default route tanımı yapmaya geldi. Workload-SN yani subneti için tüm outbound trafiği firewall üzerinden geçecek şekilde ayarlayacağız. Portal üzerinde All services bölümüne tıklıyoruz. Network altından Route tables bölümüne geliyoruz ve add diyoruz.
Resim17
Yukarıdaki gibi tanımları yapıyoruz.
Resim18
Daha sonra oluşturduğumuz kaynak sayfasına gidiyoruz ve sol menüden Subnets linkine tıklıyoruz, sağ bölümden ise “Associate” linkine tıklıyoruz.
Resim19
Daha sonra yine aynı kaynak içerisinde yine sol menüden Routes linkine tıklıyoruz ve sağ bölümden “Add” butonuna basıyoruz.
Resim20
Karşımıza aşağıdaki gibi bir ekran çıkacaktır.
Resim21
İsim tanımlıyoruz, sonra interneti temsil eden 0.0.0.0/0 ip aralığını giriyoruz, hedefi ve firewall için iç ip adresini tanımlıyoruz. Bu ip adresini firewall tanımladıktan sonra not edin demiştim.
Gelelim şimdi application rule oluşturmaya.
Oluşturduğumuz Firewall kaynak sayfasına geliyoruz.
Resim22
Sol bölümden Settings başlığı altındaki rules bölümüne geliyoruz. Üst bölümdeki Application rule sekmesine geçiyoruz.
Resim23
Yukarıdaki gibi bir kural tanımlıyoruz.
Şimdi de bir tane network rule tanımlayacağız. Bu sefer yine üstteki sekmeden network rule collection sekmesine geliyoruz.
Resim24
Burada göreceğiniz gibi sanal sunucumuzun bağlı olduğu vnet içerisindeki subnet kaynağından gelen ve 209 ile başlayan aslında CenturyLink tarafında işletilen DNS sunucularına UDP 53 nolu port yani DNS portu için izin veriyoruz.
Son olarak sunucu için RDP erişimi açmamız gerektiğini düşünürsek bir DNAT kuralı yazmamız gerekli. İlgili sekmeye gelip aşağıdaki gibi bir kural yazabilirsiniz.
Resim25
Burada da temel olarak adsl modemlerden bile alışkın olduğumuz bir port yönlendirmesi yaptık. Kaynak * yani internet üzerinden herhangi bir istek 51.144.57.51 yani azure firewall dış bacak ip ye TCP 3389 nolu port üzerinden gelir ise onu içeride kurduğumuz sanal sunucu ip adresine 10.0.2.4 yönlendirmek içindir.
Son olarak eğer ortamınızda eğer tanımlı bir DNS yok ise sanal makine için tanımladığımız network kartında DNS hizmeti için aşağıdaki gibi bir tanımlama yapmanız gereklidir.
Resim26
Artık test zamanı, bunun için firewall’ un public ip adresine rdp ile bağlanalım ve browser üzerinde www.cozumpark.com ile www.google.com deneyelim.
Resim28
ÇözümPark açıldı, şimdi google’ ı deneyelim.
Resim28
Evet Azure Firewall tarafından yasaklandığını görüyoruz.
Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.