Share via

البرنامج التعليمي: نشر جدار حماية Azure وسياسته وتكوينها باستخدام مدخل Microsoft Azure

  • مقالة

التحكم في الوصول إلى الشبكة الصادرة جزء هام من خطة أمان الشبكة بشكل عام. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو قد تحتاج إلى تحديد عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك التحكم في الوصول إلى شبكة الاتصال الصادرة من شبكة فرعية Azure هي باستخدام جدار حماية Azure وسياسة جدار الحماية. باستخدام Azure جدار الحماية ونهج جدار الحماية، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه حركة مرور الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

لهذا البرنامج التعليمي، يمكنك إنشاء VNet واحد مبسطة مع اثنتين من الشبكات الفرعية لنشر سهل.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

البنية الأساسية للشبكة التعليمية

بالنسبة إلى عمليات توزيع الإنتاج، يوصى بإنشاء نموذج المحور والدولاب، حيث يكون جدار الحماية في VNet الخاص به. خوادم حمل العمل هي في VNets منظر في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إعداد بيئة شبكة اختبار
  • نشر جدار حماية ونهج جدار حماية
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول إلى www.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إعداد الشبكة

أولاً، إنشاء مجموعة موارد لاحتواء الموارد اللازمة لتوزيع جدار الحماية. ثم إنشاء VNet والشبكات الفرعية وخادم اختبار.

قم بإنشاء مجموعة موارد

تحتوي مجموعة الموارد على كافة الموارد الخاصة بالبرنامج التعليمي.

  1. تسجيل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩.

  2. في قائمة مدخل Microsoft Azure، حدد مجموعات الموارد أو ابحث عن مجموعات الموارد وحددها من أي صفحة، ثم حدد إضافة. أدخل أو حدد القيم التالية:

    إعداد القيمة
    الاشتراك حدد اشتراكك في Azure.
    مجموعة الموارد: أدخل Test-FW-RG.
    المنطقة حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.

  3. حدد Review + create.

  4. حدد Create.

إنشاء شبكة افتراضية

سيكون لشبكة VNet شبكتان فرعيتان.

ملاحظة

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Networking.

  3. البحث عن Virtual network وتحديدها.

  4. حدد إنشاء، ثم أدخل القيم التالية أو حددها:

    إعداد القيمة
    الاشتراك حدد اشتراكك في Azure.
    مجموعة الموارد: حدد Test-FW-RG.
    الاسم أدخل Test-FW-VN.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.

  5. حدد Next: IP addresses.

  6. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.

  7. في Subnet، حدد default.

  8. لأجل Subnet name غير الاسم إلى AzureFirewallSubnet. جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية يجب أن يكون AzureFirewallSubnet.

  9. لأجل Address range، اكتب 10.0.1.0/26.

  10. حدد ⁧⁩حفظ⁧⁩.

    بعد ذلك، إنشاء شبكة فرعية لخادم حمل العمل.

  11. حدد Add subnet.

  12. لأجل Subnet name، اكتب Workload-SN.

  13. بالنسبة لـ "Subnet address range"، اكتب "10.0.2.0/24".

  14. حدد ⁧⁩إضافة⁧⁩.

  15. حدد Review + create.

  16. حدد Create.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Windows Server 2019 Datacenter.

  3. أدخل هذه القيم للجهاز الظاهري أو حددها:

    إعداد القيمة
    الاشتراك حدد اشتراكك في Azure.
    مجموعة الموارد: حدد Test-FW-RG.
    اسم الجهاز الظاهري أدخل Srv-Work.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    اسم المستخدم أدخل اسم المستخدم.
    كلمة المرور أدخل كلمة مرور.

  4. في Inbound port rules، Public inbound ports، حدد None.

  5. قبول الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  11. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

  12. بعد اكتمال النشر حدد المورد Srv-Work ثم لاحظ عنوان IP الخاص للاستخدام لاحقاً.

نشر جدار الحماية والنهج

نشر جدار الحماية في VNet.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. اكتب firewall في مربع البحث واضغط على Enter.

  3. حدد Firewall ثم حدد إنشاء.

  4. في صفحة "Create a Firewall "، استخدم الجدول التالي لتكوين جدار الحماية:

    إعداد القيمة
    الاشتراك حدد اشتراكك في Azure.
    مجموعة الموارد: حدد Test-FW-RG.
    الاسم أدخل Test-FW01.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    إدارة جدار الحماية حدد استخدام نهج جدار الحماية لإدارة جدار الحماية هذا.
    نهج جدار الحماية حدد Add new، وأدخل fw-test-pol.
    حدد نفس المنطقة التي استخدمتها سابقا.
    اختر شبكة ظاهرية حدد Use existing، ثم حدد Test-FW-VN.
    عنوان IP العام حدد إضافة جديد، وأدخل fw-pipللاسم.

  5. قبول الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  7. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد Test-FW-RG، وحدد جدار الحماية Test-FW01.

  8. لاحظ عنواني IP الخاص والعام لجدار الحماية. ستستخدم هذه العناوين لاحقاً.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في القائمة المدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.

  2. ضمن الشبكات، حدد Route tables.

  3. حدد إنشاء، ثم أدخل القيم التالية أو حددها:

    إعداد القيمة
    الاشتراك حدد اشتراكك في Azure.
    مجموعة الموارد: حدد Test-FW-RG.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    الاسم أدخل Firewall-route.

  4. حدد Review + create.

  5. حدد Create.

بعد اكتمال التوزيع، حدد ⁧⁩Go to resource⁧⁩.

  1. في صفحة توجيه جدار الحماية، حدد شبكات فرعية ثم حدد اقتران.
  2. حدد Virtual network>Test-FW-VN.
  3. لأجل Subnet، حدد Workload-SN. تأكد من تحديد الشبكة الفرعية Workload-SN لهذا التوجيه فقط،‏ وإلا فلن يعمل جدار الحماية بشكل صحيح.
  4. حدد "OK".
  5. حدد Routes ثم حدد Add.
  6. بالنسبة إلى Route name، أدخل fw-dg.
  7. بالنسبة إلى بادئة العنوان، أدخل 0.0.0.0/0.
  8. بالنسبة إلى Next hop type، حدد Virtual appliance. يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.
  9. بالنسبة إلى عنوان الوثب التالي، أدخل عنوان IP الخاص لجدار الحماية الذي لاحظته سابقا.
  10. حدد "OK".

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح مجموعة موارد Test-FW-RG ، وحدد نهج جدار الحماية fw-test-pol .
  2. حدد Application rules.
  3. حدد Add a rule collection.
  4. بالنسبة إلى الاسم، أدخل App-Coll01.
  5. بالنسبة للأولوية، أدخل 200.
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. ضمن القواعد، للاسم، أدخل Allow-Google.
  8. بالنسبة لـ " Source type"، حدد " IP address".
  9. بالنسبة إلى المصدر، أدخل 10.0.2.0/24.
  10. بالنسبة إلى Protocol:port، أدخل http، https.
  11. لأجل Destination Type، حدد FQDN.
  12. بالنسبة إلى الوجهة، أدخل www.google.com
  13. حدد ⁧⁩إضافة⁧⁩.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد Network rules.
  2. حدد Add a rule collection.
  3. بالنسبة إلى Name، أدخل Net-Coll01.
  4. بالنسبة للأولوية، أدخل 200.
  5. بالنسبة لـ Rule collection action، اختر Allow.
  6. لأجل Rule collection group، اكتب DefaultNetworkRuleCollectionGroup.
  7. ضمن القواعد، للاسم، أدخل Allow-DNS.
  8. لأجل Source type، حدد IP address.
  9. بالنسبة إلى المصدر، أدخل 10.0.2.0/24.
  10. بالنسبة لـ Protocol، اختر UDP.
  11. بالنسبة لمنافذ الوجهة، أدخل 53.
  12. لأجل Destination type، حدد IP address.
  13. بالنسبة إلى الوجهة، أدخل 209.244.0.3,209.244.0.4.
    هذه هي خوادم DNS العامة التي تديرها CenturyLink.
  14. حدد ⁧⁩إضافة⁧⁩.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بجهاز Srv-Work الظاهري من خلال جدار الحماية.

  1. حدد DNAT rules.
  2. حدد Add a rule collection.
  3. بالنسبة إلى Name، أدخل rdp.
  4. بالنسبة للأولوية، أدخل 200.
  5. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
  6. ضمن القواعد، للاسم، أدخل rdp-nat.
  7. بالنسبة لـ " Source type"، حدد " IP address".
  8. بالنسبة للمصدر، أدخل *.
  9. بالنسبة لـ Protocol، اختر TCP.
  10. بالنسبة لـ Destination Ports، أدخل 3389.
  11. بالنسبة لـ Destination Type، أدخل IP Address.
  12. بالنسبة إلى الوجهة، أدخل عنوان IP العام لجدار الحماية.
  13. بالنسبة إلى العنوان المترجم، أدخل عنوان IP الخاص ب Srv-work .
  14. بانسبة لـ Translated port، أدخل 3389.
  15. حدد ⁧⁩إضافة⁧⁩.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار في هذا البرنامج التعليمي،‏ عليك تكوين عناوين DNS الأساسي والثانوي الخادم. هذا ليس مطلبا عاما لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. أدخل 209.244.0.3 في مربع النص Add DNS server و209.244.0.4 في مربع النص التالي.
  6. حدد ⁧⁩حفظ⁧⁩.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. ربط سطح مكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول إلى الجهاز الظاهري Srv-Work.

  2. افتح Internet Explorer واذهب إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. انتقل إلى https://www.microsoft.com.

    يجب أن يتم حظرك بواسطة جدار الحماية.

إذن الآن، تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك التصفح إلى FQDN المسموح به ولكن ليس إلى أي آخرين.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية الخاصة بك من أجل البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة، حذف مجموعة الموارد Test-FW-RG لحذف كافة الموارد المتعلقة بجدار الحماية.

الخطوات التالية

توزيع وتكوين Azure Firewall Premium