البرنامج التعليمي: دمج بوابة NAT مع Azure Firewall في شبكة مركزية وشبكة محورية للاتصال الصادر

في هذا البرنامج التعليمي، ستتعلم كيفية دمج بوابة NAT مع جدار حماية Azure في شبكة مركزية وشبكة محورية

يوفر جدار حماية Azure 2496 منفذ SNAT لكل عنوان IP عام تم تكوينه لكل مثيل مجموعة مقياس الجهاز الظاهري الخلفي (مثيلين كحد أدنى). يمكنك إقران ما يصل إلى 250 عنوان IP عام بجدار حماية Azure. اعتمادا على متطلبات البنية وأنماط حركة المرور الخاصة بك، قد تحتاج إلى منافذ SNAT أكثر مما يمكن أن يوفره جدار حماية Azure. قد تحتاج أيضا إلى استخدام عدد أقل من عناوين IP العامة مع طلب المزيد من منافذ SNAT. هناك طريقة أفضل للاتصال الصادر وهي استخدام بوابة NAT. توفر بوابة NAT 64512 منفذ SNAT لكل عنوان IP عام ويمكن استخدامها مع ما يصل إلى 16 عنوان IP عاما.

يمكن دمج بوابة NAT مع جدار حماية Azure عن طريق تكوين بوابة NAT مباشرة إلى الشبكة الفرعية لجدار حماية Azure من أجل توفير أسلوب أكثر قابلية للتطوير للاتصال الصادر. بالنسبة إلى عمليات نشر الإنتاج، يوصى بإنشاء شبكة مركزية وشبكة محورية، حيث يوجد جدار الحماية في شبكته الظاهرية الخاصة. خوادم حمل العمل هي شبكات ظاهرية نظيرة في نفس المنطقة مثل الشبكة الظاهرية للمركز حيث يوجد جدار الحماية. في هذا الإعداد المعماري، يمكن أن توفر بوابة NAT اتصالا صادرا من الشبكة الظاهرية المركزية لجميع الشبكات الظاهرية المحورية المتناظرة.

إشعار

بوابة Azure NAT غير مدعومة حاليا في بنيات شبكة المركز الظاهري الآمنة (vWAN). يجب النشر باستخدام بنية شبكة ظاهرية مركزية كما هو موضح في هذا البرنامج التعليمي. لمزيد من المعلومات بشأن خيارات بنية Azure Firewall، راجع ما خيارات بنية Azure Firewall Manager؟.

في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء شبكة ظاهرية للمركز ونشر Azure Firewall وAzure Bastion أثناء النشر
• إنشاء بوابة NAT وربطها بالشبكة الفرعية لجدار الحماية في الشبكة الظاهرية المركزية
• إنشاء شبكة ظاهرية محورية
• إنشاء تناظر شبكة ظاهرية
• إنشاء جدول توجيه للشبكة الظاهرية المحورية
• إنشاء نهج جدار حماية للشبكة الظاهرية للمركز
• إنشاء جهاز ظاهري لاختبار الاتصال الصادر من خلال بوابة NAT

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

إنشاء الشبكة الظاهرية للمركز

تحتوي الشبكة الظاهرية المركزية على الشبكة الفرعية لجدار الحماية المقترنة بجدار حماية Azure وبوابة NAT. استخدم المثال التالي لإنشاء الشبكة الظاهرية للمركز.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في مربع البحث أعلى البوابة، أدخل Virtual network. حدد الشبكات الظاهرية في نتائج البحث.

3. حدد + إنشاء.

4. في علامة التبويب Basics في Create virtual network، أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد إنشاء جديد. أدخل test-rg. حدد موافق.
   تفاصيل المثيل
   الاسم	أدخل vnet-hub.
   المنطقة	حدد (US) جنوب وسط الولايات المتحدة .

5. حدد التالي للمتابعة إلى علامة التبويب الأمان .

6. حدد Enable Bastion في قسم Azure Bastion من علامة التبويب Security .

   يستخدم Azure Bastion المستعرض للاتصال بالأجهزة الظاهرية في شبكتك الظاهرية عبر shell الآمن (SSH) أو بروتوكول سطح المكتب البعيد (RDP) باستخدام عناوين IP الخاصة بها. لا تحتاج الأجهزة الظاهرية إلى عناوين IP عامة أو برامج عميل أو تكوين خاص. لمزيد من المعلومات حول Azure Bastion، راجع Azure Bastion

   إشعار

   يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.

7. أدخل المعلومات التالية أو حددها في Azure Bastion:

   الإعداد	القيمة‬
   اسم مضيف Azure Bastion	أدخل bastion.
   عنوان IP العام ل Azure Bastion	حدد إنشاء عنوان IP عام. أدخل public-ip في Name. حدد موافق.

8. حدد Enable Azure Firewall في قسم Azure Firewall من علامة التبويب Security .

   يُعد Azure Firewall هو خدمة أمان شبكة مدارة تعتمد على مجموعة النظراء تحمي موارد الشبكة الظاهرية لـ Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. لمزيد من المعلومات حول Azure Firewall، راجع Azure Firewall.

9. أدخل المعلومات التالية أو حددها في Azure Firewall:

   الإعداد	القيمة‬
   اسم جدار حماية Azure	أدخل جدار الحماية.
   المستوى	حدد قياسي.
   النهج	حدد إنشاء جديد. أدخل firewall-policy في Name. حدد موافق.
   عنوان IP العام لجدار حماية Azure	حدد إنشاء عنوان IP عام. أدخل public-ip-firewall في Name. حدد موافق.

10. حدد "Review + create".

11. حدد إنشاء.

يستغرق الأمر بضع دقائق حتى يتم نشر مضيف Bastion وجدار الحماية. عند إنشاء الشبكة الظاهرية كجزء من النشر، يمكنك المتابعة إلى الخطوات التالية.

إنشاء بوابة NAT

تعبر جميع حركة مرور الإنترنت الصادرة بوابة NAT إلى الإنترنت. استخدم المثال التالي لإنشاء بوابة NAT لشبكة النظام المحوري وربطها ب AzureFirewallSubnet.

1. في مربع البحث في أعلى المدخل، أدخل «NAT gateway». حدد "NAT gateway" في نتائج البحث.

2. حدد + إنشاء.

3. في علامة التبويب Basics من بوابة Create network address translation (NAT) أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد test-rg.
   تفاصيل المثيل
   اختبار بوابة NAT	أدخل nat-gateway.
   المنطقة	حدد جنوب وسط الولايات المتحدة .
   مناطق التوفّر	حدد منطقة أو بلا منطقة.
   مهلة الخمول TCP (بالدقائق)	اترك القيمة الافتراضية 4.

   لمزيد من المعلومات حول مناطق التوفر، راجع بوابة NAT ومناطق التوفر.

4. حدد التالي: Outbound IP.

5. في عنوان IP الصادر في عناوين IP العامة، حدد إنشاء عنوان IP عام جديد.

6. أدخل public-ip-nat في Name.

7. حدد موافق.

8. حدد Next: Subnet.

9. في Virtual Network ، حدد vnet-hub.

10. حدد AzureFirewallSubnet في اسم الشبكة الفرعية.

11. حدد "Review + create".

12. حدد إنشاء.

إنشاء شبكة ظاهرية محورية

تحتوي الشبكة الظاهرية المحورية على الجهاز الظاهري للاختبار المستخدم لاختبار توجيه حركة مرور الإنترنت إلى بوابة NAT. استخدم المثال التالي لإنشاء شبكة الاتصال المحورية.

1. في مربع البحث أعلى البوابة، أدخل Virtual network. حدد الشبكات الظاهرية في نتائج البحث.

2. حدد + إنشاء.

3. في علامة التبويب Basics في Create virtual network، أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد test-rg.
   تفاصيل المثيل
   الاسم	أدخل vnet-spoke.
   المنطقة	حدد جنوب وسط الولايات المتحدة .

4. حدد التالي للمتابعة إلى علامة التبويب الأمان .

5. حدد التالي للمتابعة إلى علامة التبويب عناوين IP.

6. في علامة التبويب عناوين IP في مساحة عنوان IPv4، حدد سلة المهملات لحذف مساحة العنوان التي يتم ملؤها تلقائيا.

7. في مساحة عنوان IPv4، أدخل 10.1.0.0. اترك الإعداد الافتراضي ل /16 (65536 عنوانا) في تحديد القناع.

8. حدد + إضافة شبكة فرعية.

9. في إضافة شبكة فرعية، أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   تفاصيل الشبكة الفرعية
   قالب الشبكة الفرعية	اترك الافتراضي الافتراضي.
   الاسم	أدخل subnet-private.
   عنوان البدء	أدخل 10.1.0.0.
   حجم الشبكة الفرعية	اترك الإعداد الافتراضي ل /24(256 عنوانا).

10. حدد إضافة.

11. حدد "Review + create".

12. حدد إنشاء.

إنشاء نظير بين المركز والتحدث

يتم استخدام تناظر الشبكة الظاهرية لتوصيل المركز بالمتحدث والمتحدث إلى المركز. استخدم المثال التالي لإنشاء شبكة اتصال ثنائية الاتجاه بين المركز والمتحدث.

1. في مربع البحث أعلى البوابة، أدخل Virtual network. حدد الشبكات الظاهرية في نتائج البحث.

2. حدد vnet-hub.

3. حدد Peerings في الإعدادات.

4. حدد + إضافة.

5. أدخل المعلومات التالية أو حددها في إضافة نظير:

   الإعداد	القيمة‬
   هذه الشبكة الظاهرية
   اسم رابط النظير	أدخل vnet-hub-to-vnet-spoke.
   السماح ل "vnet-hub" بالوصول إلى "vnet-spoke"	اترك الإعداد الافتراضي Selected.
   السماح ل "vnet-hub" بتلقي نسبة استخدام الشبكة التي تمت إعادة توجيهها من "vnet-spoke"	حدد خانة الاختيار.
   السماح للبوابة في "vnet-hub" بإعادة توجيه نسبة استخدام الشبكة إلى "vnet-spoke"	اترك الإعداد الافتراضي غير محدد.
   تمكين "vnet-hub" لاستخدام البوابة البعيدة "vnet-spoke"	اترك الإعداد الافتراضي غير محدد.
   شبكة ظاهرية بعيدة
   اسم رابط النظير	أدخل vnet-spoke-to-vnet-hub.
   نموذج توزيع الشبكة الظاهرية	اترك الإعداد الافتراضي ل Resource manager.
   الاشتراك	حدد Subscription الخاص بك.
   الشبكة الظاهرية	حدد vnet-spoke.
   السماح ل "vnet-spoke" بالوصول إلى "vnet-hub"	اترك الإعداد الافتراضي Selected.
   السماح ل "vnet-spoke" بتلقي نسبة استخدام الشبكة التي تمت إعادة توجيهها من "vnet-hub"	حدد خانة الاختيار.
   السماح للبوابة في "vnet-spoke" بإعادة توجيه نسبة استخدام الشبكة إلى "vnet-hub"	اترك الإعداد الافتراضي غير محدد.
   تمكين "vnet-spoke" لاستخدام البوابة البعيدة "vnet-hub"	اترك الإعداد الافتراضي غير محدد.

6. حدد إضافة.

7. حدد تحديث وتحقق من الاتصال حالةالتناظر.

إنشاء جدول توجيه الشبكة المحورية

يفرض جدول التوجيه جميع حركة المرور التي تغادر الشبكة الظاهرية المحورية إلى الشبكة الظاهرية للمركز. يتم تكوين جدول التوجيه بعنوان IP الخاص لجدار حماية Azure باعتباره الجهاز الظاهري.

الحصول على عنوان IP خاص لجدار الحماية

عنوان IP الخاص بجدار الحماية مطلوب لجدول التوجيه الذي تم إنشاؤه لاحقا في هذه المقالة. استخدم المثال التالي للحصول على عنوان IP الخاص بجدار الحماية.

1. في مربع البحث أعلى المدخل، أدخل Firewall. حدد Firewalls في نتائج البحث.

2. حدد جدار الحماية.

3. في نظرة عامة على جدار الحماية، لاحظ عنوان IP في حقل عنوان IP الخاص بجدار الحماية. عنوان IP في هذا المثال هو 10.0.1.68.

أنشئ جدول توجيه

إنشاء جدول توجيه لفرض جميع نسبة استخدام الشبكة بين المتحدثين والخروج عبر الإنترنت من خلال جدار الحماية في الشبكة الظاهرية للمركز.

1. في مربع البحث أعلى المدخل، أدخل جدول التوجيه. حدد Route tables في نتائج البحث.

2. حدد + إنشاء.

3. في Create Route table أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد test-rg.
   تفاصيل المثيل
   المنطقة	حدد جنوب وسط الولايات المتحدة .
   الاسم	أدخل route-table-spoke.
   Propagate gateway routes	حدد لا.

4. حدد "Review + create".

5. حدد إنشاء.

6. في مربع البحث أعلى المدخل، أدخل جدول التوجيه. حدد Route tables في نتائج البحث.

7. حدد route-table-spoke.

8. في الإعدادات حدد Routes.

9. حدد + Add في Routes.

10. أدخل المعلومات التالية أو حددها في إضافة مسار:

    الإعداد	القيمة‬
    Route name	أدخل route-to-hub.
    نوع الوجهة	حدد IP Addresses.
    عناوين IP الوجهة/نطاقات CIDR	أدخل 0.0.0.0/0.
    نوع القفزة التالية	حدد جهاز ظاهري .
    Next hop address	أدخل 10.0.1.68.

11. حدد إضافة.

12. حدد الشبكات الفرعية في الإعدادات.

13. حدد + مساعد .

14. أدخل المعلومات التالية أو حددها في الشبكة الفرعية Associate:

    الإعداد	القيمة‬
    الشبكة الظاهرية	حدد vnet-spoke (test-rg).
    الشبكة الفرعية	حدد subnet-private.

15. حدد موافق.

تكوين جدار الحماية

يجب السماح بنسبة استخدام الشبكة من خلال المركز من خلال ونهج جدار الحماية وقاعدة الشبكة. استخدم المثال التالي لإنشاء نهج جدار الحماية وقاعدة الشبكة.

تكوين قاعدة الشبكة

1. في مربع البحث أعلى المدخل، أدخل Firewall. حدد Firewall Policies في نتائج البحث.

2. حدد firewall-policy.

3. في الإعدادات حدد قواعد الشبكة.

4. حدد + إضافة مجموعة قواعد.

5. في إضافة مجموعة قواعد، أدخل المعلومات التالية أو حددها:

   الإعداد	القيمة‬
   الاسم	أدخل spoke-to-internet.
   Rule collection type	حدد الشبكة.
   أولوية	أدخل 100.
   Rule collection action	حدد السماح.
   Rule collection group	حدد DefaultNetworkRuleCollectionGroup.
   القواعد
   الاسم	أدخل allow-web.
   نوع المصدر	IP Address.
   المصدر	أدخل 10.1.0.0/24.
   البروتوكول	حدد TCP.
   منافذ الوجهة	أدخل 80,443.
   Destination Type	حدد عنوان IP.
   الوجهة	ادخل*

6. حدد إضافة.

إنشاء جهاز ظاهري للاختبار

يتم استخدام جهاز ظاهري Ubuntu لاختبار حركة مرور الإنترنت الصادرة من خلال بوابة NAT. استخدم المثال التالي لإنشاء جهاز ظاهري Ubuntu.

ينشئ الإجراء التالي جهازا ظاهريا تجريبيا (VM) يسمى vm-spoke في الشبكة الظاهرية.

1. في المدخل، ابحث عن الأجهزة الظاهرية وحددها.

2. في الأجهزة الظاهرية، حدد + إنشاء، ثم جهاز Azure الظاهري.

3. في علامة التبويب أساسيات، قم بإنشاء جهاز ظاهري، وأدخل أو حدد المعلومات التالية:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد test-rg.
   تفاصيل المثيل
   اسم الجهاز الظاهري	أدخل vm-spoke.
   المنطقة	حدد (US) جنوب وسط الولايات المتحدة .
   خيارات التوفر	حدد No infrastructure redundancy required.
   نوع الأمان	اترك الإعداد الافتراضي "Standard".
   Image	حدد Ubuntu Server 22.04 LTS - x64 Gen2.
   بنية الجهاز الظاهري	اترك الإعداد الافتراضي x64.
   الحجم	تحديد الحجم.
   حساب المسؤول
   نوع المصادقة	اختر كلمة السر.
   اسم مستخدم	أدخل azureuser.
   كلمة المرور	إدخال «password».
   تأكيد كلمة المرور	أعد إدخال كلمة المرور.
   قواعد المنفذ الوارد
   المنافذ العامة الواردة	حدد لا شيء.

4. حدد علامة التبويب Networking في أعلى الصفحة.

5. أدخل المعلومات التالية أو حددها في علامة تبويب "Networking":

   الإعداد	القيمة‬
   واجهة الشبكة
   الشبكة الظاهرية	حدد vnet-spoke.
   الشبكة الفرعية	حدد subnet-private (10.1.0.0/24).
   عنوان IP عام	حدد لا شيء.
   المجموعة الأمنية للشبكة NIC	حدد خيارات متقدمة.
   تكوين مجموعة أمان الشبكة	حدد إنشاء جديد. أدخل nsg-1 للاسم. اترك الباقي في الإعدادات الافتراضية وحدد موافق.

6. اترك بقية الإعدادات في الإعدادات الافتراضية وحدد Review + create.

7. راجع الإعدادات وحدد Create.

إشعار

لا تحتاج الأجهزة الظاهرية في شبكة ظاهرية مع مضيف معقل إلى عناوين IP عامة. يوفر Bastion عنوان IP العام، وتستخدم الأجهزة الظاهرية عناوين IP الخاصة للاتصال داخل الشبكة. يمكنك إزالة عناوين IP العامة من أي أجهزة ظاهرية في الشبكات الظاهرية المستضافة الأساسية. لمزيد من المعلومات، راجع فصل عنوان IP عام من جهاز Azure الظاهري.

اختبار بوابة NAT

يمكنك الاتصال بأجهزة Ubuntu الظاهرية التي قمت بإنشائها في الخطوات السابقة للتحقق من أن حركة مرور الإنترنت الصادرة تغادر بوابة NAT.

الحصول على عنوان IP العام لبوابة NAT

احصل على عنوان IP العام لبوابة NAT للتحقق من الخطوات لاحقا في المقالة.

1. في مربع البحث في أعلى المدخل، أدخل «Public IP». حدد "Public IP addresses" في نتائج البحث.

2. حدد public-ip-nat.

3. دون قيمة في عنوان IP. المثال المستخدم في هذه المقالة هو 20.225.88.213.

اختبار بوابة NAT من spoke

1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.

2. حدد vm-spoke.

3. في Operations، حدد Bastion.

4. قم بإدخال اسم المستخدم وكلمة المرور اللذين تم إدخالهما أثناء إنشاء الجهاز الظاهري. حدد اتصال.

5. في موجه bash، أدخل الأمر التالي:

   curl ifconfig.me
   

6. تحقق من أن عنوان IP الذي تم إرجاعه بواسطة الأمر يطابق عنوان IP العام لبوابة NAT.

   azureuser@vm-1:~$ curl ifconfig.me
   20.225.88.213
   

7. أغلق اتصال Bastion ب vm-spoke.

تنظيف الموارد

عند الانتهاء من استخدام الموارد التي قمت بإنشائها، يمكنك حذف مجموعة الموارد وجميع مواردها:

1. في مدخل Azure، ابحث عن مجموعة المواردوحددها.

2. في صفحة Resource groups ، حدد مجموعة موارد test-rg .

3. في صفحة test-rg ، حدد Delete resource group.

4. أدخل test-rg في Enter resource group name لتأكيد الحذف، ثم حدد Delete.

الخطوات التالية

تقدم إلى المقالة التالية لمعرفة كيفية دمج بوابة NAT مع موازن تحميل Azure:

دمج بوابة NAT مع موازن تحميل داخلي