Azure Firewall ve Azure Application Gateway Dağıtım Modelleri

Azure Firewall Nedir ?

Azure Firewall, Azure üzerindeki iş yüklerinizi korumak için kullanabileceğiniz, OSI modeli nin(layer 3-4-7) network, transport ve application katmanlarında çalışan, IDSP, TLS Inspection, URL filtering, SNAT, DNAT, DNS Proxy gibi özelliklere sahip bulut tabanlı bir PaaS ağ güvenlik servisidir.  

Azure Application Gateway Nedir ?

Azure Application Gateway, web uygulamalarınıza gelen trafiği yönetmenize olanak tanıyan, OSI modelinin (Layer-7) Application katmanında çalışan, WAF tier ile ekstra güvenlik duvarı özellikleri sunan bir web trafiği yük dengeleyicidir.

Yazının devamında Azure Firewall ve Application Gateway servislerinin Azure üzerinde birlikte kullanılabileceği senaryoları inceleyeniz.

Paralel Azure Firewall ve Application Gateway

Azure Firewall ve Application gateway’in paraler olarak dağıtılması basitliği ve esnekliği sebebi ile en yaygın senaryolardan biridir, Application Gateway WAF tier ile web (http/https) uygulamalarını tehditlere karşı korurken, Azure Firewall ile outbound trafiğini kontrol atlında tutabilir ve diğer iş yüklerini koruyabilirsiniz.

Bu tasarımda internetten gelen web (http/https) trafiği Application Gateway’in Public IP’sine, şirket içi networkten gelen istekler private IP’sine yönlendirilir. Application Gateway’e ulaşan istekler varsayılan Vnet route’ları kullanarak backend’de bulunan web sunuculara ve aynı şekilde web sunuculardan Application Gateway’e yönlendirilir. http\https haricindeki diğer istekler şirket içi yada internetten gelmelerine göre Azure Firewall’a yönlendilir.

Aşağıdaki tablo, bu senaryo için trafik akışlarını özetlemektedir:

Azure Firewall öncesinde Application Gateway

Bu tasarımda gelen web (http\https) trafiği önce Application Gateway (WAF) sonrasında Azure Firewall üzerinden geçer. Azure WAF uygulama katmanında güvenlik sağlarken, Azure Firewall, WAF ile Backend sunucuları arasındaki trafiği denetleyerek merkezi yönetim ve log’lama sağlar. http\https haricindeki diğer istekler şirket içi yada internetten gelmelerine göre Azure Firewall’a yönlendilir. Ayrıca Azure Firewall Premium SKU end-to-end TLS inspection ile WAF ve Firewall trafine IDPS uygulanabilir.

Bu tasarım coğrafi konuma özgü içerik sunmak veya log amaçlı gelen istemci kaynak IP adreslerinin bilinmesi gereken senaryolar için uygundur.

Aşağıdaki tablo, bu senaryo için trafik akışlarını özetlemektedir:

Azure Firewall sonrasında Application Gateway

Bu tasarım Azure Firewall’ın kötü amaçlı trafiği Application Gateway’e ulaşmadan önce filtrelemesine (Intelligence-based filtering)olanak tanır. Bu tasarımın diğer bir artısı Application Gateway inbound ve outbound için aynı Public IP ‘yi kullanmış olur.

Bu tasarımda internetten gelen web (http\https) trafiği Azure Firewall’un Public IP’sine yönlendirliir. Azure Firewall gelen paketleri, Application Gateway’in private IP’sine DNAT (ve SNAT) yapar. Şirket içi ve diğer Vnet’lerden gelen web trafiği UDR ile Azure Firewall üzerinden Application Gateway’in IP’sine yönlendirilmelidir.

Aşağıdaki tablo, bu senaryo için trafik akışlarını özetlemektedir:

Daha fazlası için: https://docs.microsoft.com/en-us/azure/architecture/example-scenario/gateway/firewall-application-gateway

Görüşmek üzere.