Tüm sektörlerdeki büyük kuruluşlar bulut işlerini ve operasyonlarını genişlettikçe, bulut altyapıları için temel ölçütlerden biri internet üzerinden uygun ölçekte bağlantı kurmaktır. Ancak, büyük ölçekli giden trafiği işlerken karşılaşılan yaygın bir giden bağlantı sorunu, kaynak ağ adresi çevirisi (SNAT) bağlantı noktasının tükenmesidir. İnternet üzerinden aynı hedef uç noktaya her yeni bağlantı kurulduğunda, yeni bir SNAT bağlantı noktası kullanılır. SNAT bağlantı noktası tükenmesi, kullanılabilir tüm SNAT bağlantı noktaları tükendiğinde oluşur. Hizmet sağlayıcısının veri merkezinde barındırılan bir veritabanına erişmek gibi genellikle aynı hedefe çok sayıda bağlantı kurmayı gerektiren ortamlar, SNAT bağlantı noktasının tükenmesine karşı hassastır. İnternete giden bağlantı söz konusu olduğunda, müşterilerin yalnızca SNAT bağlantı noktası tükenmesi gibi potansiyel riskleri değil, aynı zamanda giden trafikleri için güvenliği nasıl sağlayacaklarını da göz önünde bulundurmaları gerekir.

Azure Güvenlik Duvarı, ağ trafiğini filtreleyerek bulut altyapılarını yeni ve gelişmekte olan saldırılara karşı koruyan akıllı bir güvenlik hizmetidir. Azure Güvenlik Duvarı’nı kullanan tüm giden internet trafiği denetlenir, güvenliği sağlanır ve özgün istemci IP adresini gizlemek için SNAT’den geçirilir. Giden bağlantıyı desteklemek için Azure Güvenlik Duvarı, birden çok genel IP ‘yi Azure Güvenlik Duvarı ile ilişkilendirerek ölçeklendirilebilir. Bazı büyük ölçekli ortamlar, büyük ölçekli iş yüklerinin talebini karşılamak için yüzlerce genel IP’nin Güvenlik Duvarı ile el ile ilişkilendirilmesini gerektirebilir ve bu da uzun vadede yönetilmesi zor olabilir. İş ortağı hedeflerinin hedef sitelerinde beyaz listeye eklenebilecek IP sayısı konusunda da genellikle bir sınırı vardır ve bu da Güvenlik Duvarı giden bağlantısının birçok genel IP ile ölçeklendirilmesi gerektiğinde zorluklara neden olabilir. Bu giden bağlantıyı ölçeklendirmeden, müşteriler SNAT bağlantı noktasının tükenmesi nedeniyle giden bağlantı hatalarına karşı daha hassastır.

Ağ adresi çevirisi (NAT) ağ geçidinin devreye girdiği yer burasıdır. NAT ağ geçidi, bağlantıları otomatik olarak ölçeklendirmek ve İnternet’e bağlanmadan önce güvenlik duvarı üzerinden trafiği filtrelemek için bir Azure Güvenlik Duvarı alt ağına kolayca dağıtılabilir. NAT ağ geçidi yalnızca daha az genel IP ile daha büyük bir SNAT bağlantı noktası envanteri sağlamakla kalmaz, aynı zamanda NAT ağ geçidinin benzersiz SNAT bağlantı noktası ayırma yöntemi, dinamik ve büyük ölçekli iş yüklerini işlemek için özel olarak tasarlanmıştır. NAT ağ geçidinin dinamik tahsisi ve SNAT bağlantı noktalarının rastgele seçimi, SNAT bağlantı noktasının tükenmesi riskini önemli ölçüde azaltırken genel IP’lerin genel gider yönetimini de minimumda tutar.

Bu blogda, Azure Güvenlik Duvarı ile NAT Ağ Geçidi’ni kullanmanın avantajlarını ve giden bağlantı için güvenlik ve ölçeklenebilirlik gereksinimlerinizi karşılamak üzere en iyi kuruluma sahip olduğunuzdan emin olmak için her ikisini de mimarinizle tümleştirmeyi keşfedeceğiz.

Azure Güvenlik Duvarı ile NAT Ağ Geçidi kullanmanın avantajları

NAT ağ geçidini Güvenlik Duvarı mimarinize tümleştirmenin en büyük avantajlarından biri, giden bağlantı için sağladığı ölçeklenebilirliktir. SNAT bağlantı noktaları, internet üzerinden yeni bağlantılar kurmanın ve aynı kaynak uç noktadan gelen farklı bağlantıları birbirinden ayırt etmenin önemli bir bileşenidir. NAT ağ geçidi, genel IP başına 64.512 SNAT bağlantı noktası sağlar ve ölçeği 16 genel IP adresi kullanacak şekilde genişletebilir. Bu, 16 genel IP adresiyle ölçeği tamamen genişletildiğinde, NAT ağ geçidinin 1 milyondan fazla SNAT bağlantı noktası sağladığı anlamına gelir. Öte yandan Azure Güvenlik Duvarı, bir sanal makine ölçek kümesindeki sanal makine örneği başına genel IP başına 2.496 SNAT bağlantı noktasını destekler (en az 2 örnek). Bu, ölçeği tamamen genişletildiğinde NAT ağ geçidi ile aynı SNAT bağlantı noktası envanteri hacmine ulaşmak için Güvenlik Duvarı’nın en fazla 200 genel IP gerektirebileceği anlamına gelir. NAT ağ geçidi yalnızca daha az genel IP ile daha fazla SNAT bağlantı noktası sunmakla kalmaz, aynı zamanda bu SNAT bağlantı noktaları isteğe bağlı olarak bir alt ağdaki herhangi bir sanal makineye ayrılır. İsteğe bağlı SNAT bağlantı noktası ayırma, NAT ağ geçidinin SNAT bağlantı noktasının tükenmesi gibi yaygın giden bağlantı sorunları riskini önemli ölçüde nasıl azalttığının anahtarıdır.

NAT ağ geçidi ayrıca, 50 Gbps veri aktarım hızı sağlayan standart bir SKU Azure Güvenlik Duvarı ile uyumlu olarak kullanılabilen giden trafik için 30 Gbps veri aktarım hızı sağlar. Premium SKU Azure Güvenlik Duvarı, 100 Gbps veri aktarım hızı sağlar.

NAT ağ geçidi ile, hiçbir gelen trafik NAT ağ geçidinden geçemediğinden, giden trafiğinizin tamamen güvenli olmasını da sağlayabilirsiniz. Tüm gelen trafik, bulut altyapınızdaki herhangi bir özel kaynağa ulaşmadan önce Azure Güvenlik Duvarı’nda etkinleştirilen güvenlik kurallarına tabidir.

NAT ağ geçidinin Azure Güvenlik Duvarı mimarilerinde sunduğu diğer avantajlar hakkında daha fazla bilgi edinmek için bkz: Azure Güvenlik Duvarı ile NAT ağ geçidi tümleştirmesi.

Azure Güvenlik Duvarı ile NAT Ağ Geçidi’ni kullanmaktan en iyi şekilde yararlanma

Azure Güvenlik Duvarı ile NAT ağ geçidinin nasıl ayarlanacağına ve her ikisini de bulut mimarinizle tümleştirdikten sonra internete ve internetten bağlantının nasıl çalıştığına bir göz atalım.

NAT Ağ Geçidi ve Azure Güvenlik Duvarı ile üretime hazır giden bağlantı

Azure, üretim iş yükleri için Azure Güvenlik Duvarı’nı ve üretim iş yüklerini bir hub ve bağlı bileşen topolojisine ayırmanızı önerir. NAT ağ geçidini bu kuruluma dahil etmek basittir ve yalnızca birkaç kısa adımda yapılabilir. İlk olarak, Azure Güvenlik Duvarı’nı hub sanal ağı (VNet) içindeki bir Azure Güvenlik Duvarı alt ağına dağıtın. NAT ağ geçidini Azure Güvenlik Duvarı Alt Ağı’na ekleyin ve en fazla 16 genel IP adresi ekleyin ve işiniz bitti. NAT ağ geçidi yapılandırıldıktan sonra, Azure Güvenlik Duvarı alt ağından gelen tüm giden trafik için varsayılan yol olur. Bu, bağlı bileşen sanal ağlarından hub vnet’in Azure Güvenlik Duvarı alt ağına yönlendirilen internet üzerinden yönlendirilen trafiğin (0.0.0.0/0 önekine sahip trafik) giden ağa bağlanmak için otomatik olarak NAT ağ geçidini kullanacağı anlamına gelir. NAT ağ geçidi tamamen Azure tarafından yönetildiğinden, NAT ağ geçidi SNAT bağlantı noktalarını ayırır ve giden bağlantı gereksinimlerinizi otomatik olarak karşılayacak şekilde ölçeklendirir. Ek yapılandırma gerekmez.

 

Şekilde, üç sanal makine içeren bağlı bileşen sanal ağının hub sanal ağına eşlendiği bir hub ve bağlı bileşen ağı kurulumunun diyagramı gösterilmektedir. Azure Güvenlik Duvarı ve NAT ağ geçidi, hub sanal ağındaki Azure Güvenlik Duvarı alt ağına eklenir. Diyagramda, bağlı bileşen sanal ağındaki sanal makinelerden gelen trafiğin NAT ağ geçidi üzerinden İnternet'e giden nasıl bağlandığı gösterilmektedir. Dönüş ve gelen trafik, bağlı olan sanal ağdaki sanal makinelere ulaşmadan önce Azure Güvenlik Duvarı üzerinden gönderilir.

Şekil: Azure Güvenlik Duvarı’nı bir hub ve bağlı bileşen topolojisindeki üretim iş yüklerinden ayırın ve hub sanal ağındaki Azure Güvenlik Duvarı alt ağına NAT ağ geçidi ekleyin. Yapılandırıldıktan sonra, bağlı bileşen sanal ağlarınızdan gelen tüm giden trafik NAT ağ geçidi üzerinden yönlendirilir ve tüm dönüş trafiği akış simetrisini korumak için Azure Güvenlik Duvarı Genel IP’sine yönlendirilir.

Azure Güvenlik Duvarı ile NAT Ağ Geçidi’ni ayarlama

İş yüklerinizi Azure Güvenlik Duvarı Alt Ağı’na yönlendirecek ve giden bağlanmak için NAT ağ geçidini kullanacak şekilde ayarladığınızdan emin olmak için şu adımları izleyin:To set up your workloads to route to the Azure Firewall Subnet and use NAT gateway for connect outbound, follow these steps:

  1. Güvenlik duvarınızı kendi sanal ağındaki bir Azure Güvenlik Duvarı alt ağına dağıtın. Bu Hub Vnet olacaktır.
  2. Azure Güvenlik Duvarı alt ağına NAT ağ geçidi ekleyin ve en az bir genel IP adresi ekleyin.
  3. İş yüklerinizi ayrı sanal ağlardaki alt ağlara dağıtın. Bu sanal ağlar sözcü olacak. İş yükünüz için gerektiği kadar bağlı bileşen Vnet’i oluşturun.
  4. Hub ve bağlı bileşen Vnet’leri arasında Vnet eşlemesini ayarlayın.
  5. 0.0.0.0/0 internet trafiğini Azure Güvenlik Duvarı’na yönlendirmek için bağlı bileşen alt ağlarına bir yol ekleyin.
  6. Bağlı bileşen sanal ağlarından İnternet’e giden trafiğe izin vermek için Güvenlik Duvarı ilkesine bir ağ kuralı ekleyin.

NAT ağ geçidini ve Azure Güvenlik Duvarı’nı bir hub ve bağlı bileşen topolojisinde dağıtma hakkında adım adım kılavuz için bu öğreticiye bakın.

NAT ağ geçidi Azure Güvenlik Duvarı Alt Ağı’na dağıtıldıktan sonra, tüm giden trafik NAT ağ geçidi üzerinden yönlendirilir. Normalde, NAT ağ geçidi de herhangi bir dönüş trafiği alır. Ancak, Azure Güvenlik Duvarı’nın varlığında, NAT ağ geçidi yalnızca giden trafik için kullanılır. Tüm gelen ve dönen trafik, trafik akışı simetrisini sağlamak için Azure Güvenlik Duvarı üzerinden yönlendirilir.

SSS

  1. NAT ağ geçidi, Azure Güvenlik Duvarı ile güvenli bir hub sanal ağ mimarisinde kullanılabilir mi?
    1. Hayır, NAT ağ geçidi güvenli hub (vWAN) mimarisinde desteklenmez. Bunun yerine yukarıda açıklandığı gibi bir hub sanal ağ mimarisi kullanılmalıdır.
  2. NAT ağ geçidi, bölgesel olarak yedekli bir Azure Güvenlik Duvarı ile nasıl çalışır?
    1. NAT ağ geçidi, bölgesel veya bölgesel olarak yedekli Azure Güvenlik Duvarı ile kullanılıp kullanılmadığına bakılmaksızın bir sanal ağ için tek bir bölgeden giden bağlantı sağlayabilen bölgesel bir kaynaktır. NAT ağ geçidi ile kullanılabilirlik alanı dağıtımlarınızı optimize etme hakkında daha fazla bilgi edinmek için son blogumuza bakın.

Azure Güvenlik Duvarı ile NAT Ağ Geçidi’nin avantajları

Azure Güvenlik Duvarı’nı kullanarak bulut mimarilerinden İnternet’e giden bağlantı sağlama söz konusu olduğunda, NAT ağ geçidinden başka bir yere bakmayın. Azure Güvenlik Duvarı ile NAT ağ geçidi kullanmanın avantajları şunlardır:The advantage advantage of using NAT gateway with Azure Firewall include:

  1. Basit yapılandırma. NAT ağ geçidini birkaç dakika içinde Azure Güvenlik Duvarı Alt Ağı’na ekleyin ve hemen giden bağlanmaya başlayın. Ek yapılandırma gerekmez.
  2. Tamamen Azure tarafından yönetilir. NAT ağ geçidi tamamen Azure tarafından yönetilir ve iş yükünüzün talebini karşılamak için otomatik olarak ölçeklendirilir.
  3. Daha az statik genel IP gerektirir. NAT ağ geçidi, hedef uç noktalarda kolay beyaz listeye ekleme ve aşağı akış IP filtreleme kurallarının daha kolay yönetilmesine olanak tanıyan 16 adede kadar statik genel IP adresiyle ilişkilendirilebilir.
  4. Giden bağlantı için daha büyük hacimli SNAT bağlantı noktaları sağlar. NAT ağ geçidi, 1 genel IP adresine yapılandırıldığında 16 milyondan fazla SNAT bağlantı noktasına ölçeklendirilebilir.
  5. Dinamik SNAT bağlantı noktası ayırma, SNAT bağlantı noktalarının tam envanterinin iş yükünüzdeki her sanal makine tarafından kullanılabilmesini sağlar. Bu da, diğer SNAT yöntemleriyle yaygın olan SNAT bağlantı noktasının tükenmesi riskini önemli ölçüde azaltmaya yardımcı olur.
  6. Güvenli giden bağlantı. İnternetten gelen trafiğin Azure ağınızdaki özel kaynaklara ulaşmamasını sağlar. Tüm gelen ve yanıt trafiği, Azure Güvenlik Duvarı’ndaki güvenlik kurallarına tabidir.
  7. Daha yüksek veri çıkışı. Standart SKU NAT ağ geçidi, 50 Gbps veri aktarım hızı sağlar. Standart SKU Azure Güvenlik Duvarı, 30 Gbps veri aktarım hızı sağlar.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü