مراجعة Azure Well-Architected Framework - Azure Firewall
توفر هذه المقالة توصيات معمارية لجدار حماية Azure. تستند الإرشادات إلى الركائز الخمس للتميز المعماري:
- الموثوقية
- الأمان
- تحسين التكلفة
- التميز التشغيلي
- كفاءة الأداء
نفترض أن لديك معرفة عملية بجدار حماية Azure وأنك على دراية جيدة بميزاته. لمزيد من المعلومات، راجع نظرة عامة على جدار حماية Azure.
المتطلبات الأساسية
- يمكن أن يساعد فهم ركائز Azure Well-Architected Framework في إنتاج بنية سحابية عالية الجودة ومستقرة وفعالة. راجع حمل العمل الخاص بك باستخدام تقييم مراجعة إطار عمل جيد التصميم .
- استخدم بنية مرجعية لمراجعة الاعتبارات استنادا إلى الإرشادات الواردة في هذه المقالة. ابدأ بتطبيق ويب متصلب بالشبكة مع اتصال خاص بمخازن بيانات PaaSوتنفيذ شبكة مختلطة آمنة.
الموثوقية
لمعرفة كيفية دعم Azure Firewall لأحمال العمل بشكل موثوق، راجع المقالات التالية:
- مقدمة حول Azure Firewall
- التشغيل السريع: توزيع جدار حماية Azure مع مناطق التوفر
- قم بتكوين جدار حماية Azure Firewall في مركز WAN الظاهري
قائمة مراجعة التصميم
أثناء تحديد خيارات التصميم لجدار حماية Azure، راجع مبادئ التصميم للموثوقية.
- توزيع Azure Firewall في الشبكات الظاهرية للمركز أو كجزء من مراكز Azure Virtual WAN.
- الاستفادة من مرونة مناطق التوفر.
- إنشاء بنية نهج جدار حماية Azure.
- راجع قائمة المشاكل المعروفة.
- مراقبة حالة حماية جدار حماية Azure.
ملاحظة
هناك اختلافات في توفر خدمات الشبكة بين نموذج Hub & Spoke التقليدي ومراكز Virtual WAN الآمنة المدارة. على سبيل المثال، في مركز Virtual WAN، لا يمكن أخذ عنوان IP العام لجدار حماية Azure من بادئة IP عامة ولا يمكن تمكين حماية DDoS. يجب أن يأخذ اختيار نموذج أو آخر في الاعتبار المتطلبات عبر جميع الركائز الخمس لإطار عمل Well-Architected.
التوصيات
استكشف جدول التوصيات التالي لتحسين تكوين جدار حماية Azure للموثوقية.
| التوصية | الميزة |
|---|---|
| استخدم Azure Firewall Manager مع Hub & Spokes التقليدية أو تخطيطات شبكة Azure Virtual WAN لنشر مثيلات Azure Firewall وإدارتها. | إنشاء بنيات مركزية ومتعنية بسهولة مع خدمات الأمان الأصلية لإدارة نسبة استخدام الشبكة وحمايتها. لمزيد من المعلومات حول طبولوجيا الشبكة، راجع وثائق Azure Cloud Adoption Framework . |
| إنشاء نهج جدار حماية Azure للتحكم في وضع الأمان عبر بيئات الشبكة العمومية. تعيين نهج لجميع مثيلات Azure Firewall. | يمكن ترتيب نهج جدار حماية Azure في بنية هرمية لتراكب نهج أساسي مركزي. السماح للنهج الدقيقة بتلبية متطلبات مناطق معينة. تفويض نهج جدار الحماية التزايدية إلى فرق الأمان المحلية من خلال التحكم في الوصول المستند إلى الدور (RBAC). بعض الإعدادات محددة لكل مثيل، على سبيل المثال قواعد DNAT وتكوين DNS، ثم قد تكون هناك حاجة إلى نهج متخصصة متعددة. |
| ترحيل قواعد Azure Firewall الكلاسيكية إلى نهج Azure Firewall Manager لعمليات التوزيع الحالية. | بالنسبة لعمليات التوزيع الحالية، قم بترحيل قواعد Azure Firewall إلى نهج Azure Firewall Manager. استخدم Azure Firewall Manager لإدارة جدران الحماية والنهج مركزيا. لمزيد من المعلومات، راجع الترحيل إلى Azure Firewall Premium. |
| راجع قائمة المشكلات المعروفة لجدار حماية Azure. | تحتفظ مجموعة منتجات جدار حماية Azure بقائمة محدثة من المشكلات المعروفة في هذا الموقع. تحتوي هذه القائمة على معلومات مهمة تتعلق بسلوك التصميم حسب التصميم، والإصلاحات قيد الإنشاء، وقيود النظام الأساسي، جنبا إلى جنب مع الحلول البديلة المحتملة أو التخفيف من المخاطر. |
| تأكد من التزام نهج جدار حماية Azure بحدود وتوصيات Azure Firewall. | هناك حدود على بنية النهج، بما في ذلك أعداد القواعد ومجموعات مجموعات القواعد، وحجم النهج الإجمالي، ووجهات المصدر/الهدف. تأكد من إنشاء نهجك والبقاء خلف الحدود الموثقة. |
| توزيع جدار حماية Azure عبر مناطق توفر متعددة لاتفاقية مستوى الخدمة الأعلى (SLA). | يوفر جدار حماية Azure اتفاقيات مستوى الخدمة مختلفة عند توزيعها في منطقة توفر واحدة وعند توزيعها في مناطق متعددة. لمزيد من المعلومات، راجع اتفاقية مستوى الخدمة لجدار حماية Azure Firewall. للحصول على معلومات حول جميع اتفاقيات مستوى الخدمة ل Azure، راجع ملخص اتفاقية مستوى الخدمة لخدمات Azure. |
| في البيئات متعددة المناطق، قم بتوزيع مثيل Azure Firewall لكل منطقة. | بالنسبة لبنى Hub & Spokes التقليدية، يتم شرح التفاصيل متعددة المناطق في هذه المقالة. بالنسبة إلى المراكز الظاهرية الآمنة (Azure Virtual WAN)، يجب تكوين هدف التوجيه والنهج لتأمين الاتصالات بين المراكز والفرع إلى الفرع. بالنسبة لأحمال العمل المصممة لتكون مقاومة للفشل ومتسامحة مع الأخطاء، تذكر مراعاة مثيلات جدار حماية Azure وشبكة Azure الظاهرية كموارد إقليمية. |
| مراقبة مقاييس جدار حماية Azure وحالة صحة الموارد . | مراقبة مؤشر المقاييس الرئيسية لحالة صحة جدار حماية Azure عن كثب مثل معدل النقلوحالة حماية جدار الحمايةواستخدام منفذ SNAT ومقاييس فحص زمن الانتقال AZFW . بالإضافة إلى ذلك، يتكامل Azure Firewall الآن مع Azure Resource Health. باستخدام التحقق من صحة موارد جدار حماية Azure، يمكنك الآن عرض الحالة الصحية لجدار حماية Azure الخاص بك ومعالجة مشكلات الخدمة التي قد تؤثر على مورد Azure Firewall. |
"Azure Advisor" يساعد على ضمان استمرارية التطبيقات ذات الأهمية الحيوية للأعمال وتحسينها. راجع توصيات Azure Advisor.
الأمان
الأمان هو أحد أهم جوانب أي تصميم. Azure Firewall هي خدمة أمان جدار حماية ذكية توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure.
قائمة مراجعة التصميم
أثناء تحديد خيارات التصميم لجدار حماية Azure، راجع مبادئ التصميم للأمان.
- حدد ما إذا كنت بحاجة إلى نفق إجباري.
- إنشاء قواعد للنهج استنادا إلى معايير الوصول الأقل امتيازا.
- الاستفادة من التحليل الذكي للمخاطر.
- تمكين وكيل DNS لجدار حماية Azure.
- توجيه نسبة استخدام الشبكة من خلال Azure Firewall.
- حدد ما إذا كنت تريد استخدام موفري أمان الجهات الخارجية كخدمة (SECaaS).
- حماية عناوين IP العامة لجدار حماية Azure باستخدام DDoS.
التوصيات
استكشف جدول التوصيات التالي لتحسين تكوين جدار حماية Azure للأمان.
| التوصية | الميزة |
|---|---|
| إذا لزم توجيه جميع نسبة استخدام الشبكة المرتبطة بالإنترنت إلى قفزة تالية معينة بدلا من الانتقال مباشرة إلى الإنترنت، فكون جدار حماية Azure في وضع النفق القسري (لا ينطبق على Azure Virtual WAN). | يجب أن يكون لدى Azure Firewall اتصال مباشر بالإنترنت. إذا تعلم AzureFirewallSubnet مسارا افتراضيا إلى شبكتك المحلية عبر بروتوكول بوابة الحدود، فيجب عليك تكوين جدار حماية Azure في وضع النفق القسري. باستخدام ميزة التوجيه النفقي القسري، ستحتاج إلى مساحة عنوان /26 أخرى للشبكة الفرعية لإدارة جدار حماية Azure. أنت مطالب بتسمية AzureFirewallManagementSubnet. إذا كان هذا مثيل Azure Firewall موجود لا يمكن إعادة تكوينه في وضع النفق القسري، فقم بإنشاء UDR بمسار 0.0.0.0/0. تعيين قيمة NextHopTypeكإنترنت. قم بإقرانه ب AzureFirewallSubnet للحفاظ على الاتصال بالإنترنت. |
| قم بتعيين عنوان IP العام إلى None لنشر مستوى بيانات خاص بالكامل عند تكوين Azure Firewall في وضع النفق القسري (لا ينطبق على Azure Virtual WAN). | عند نشر مثيل Azure Firewall جديد، إذا قمت بتمكين وضع التوجيه النفقي القسري، يمكنك تعيين عنوان IP العام إلى None لنشر مستوى بيانات خاص بالكامل. ومع ذلك، لا يزال مستوى الإدارة يتطلب عنوان IP عاما لأغراض الإدارة فقط. لن تستخدم نسبة استخدام الشبكة الداخلية من الشبكات الظاهرية والأماكن المحلية عنوان IP العام هذا. لمزيد من المعلومات حول التوجيه النفقي القسري، راجع التوجيه النفقي القسري لجدار حماية Azure. |
| إنشاء قواعد لنهج جدار الحماية استنادا إلى معايير الوصول الأقل امتيازا. | يمكن ترتيب نهج جدار حماية Azure في بنية هرمية لتراكب نهج أساسي مركزي. السماح للنهج الدقيقة بتلبية متطلبات مناطق محددة. يمكن أن يحتوي كل نهج على مجموعات مختلفة من قواعد DNAT والشبكة والتطبيق ذات الأولوية المحددة والإجراءات وترتيب المعالجة. قم بإنشاء القواعد الخاصة بك استنادا إلى مبدأ الوصول الأقل امتيازا ثقة معدومة. يتم شرح كيفية معالجة القواعد في هذه المقالة. |
| تمكين التحليل الذكي للمخاطر على جدار حماية Azure في وضع التنبيه والرفض . | يمكن تمكين التصفية المستندة إلى تحليل ذكي للمخاطر لجدار الحماية الذي تستخدمه لتنبيه نسبة انتقال البيانات من مجالات وعناوين IP غير معروفة وإليها ورفضها. تصدر المجالات وعناوين الـ IP من موجز معلومات التحليل الذكي للمخاطر من Microsoft. يقوم Intelligent Security Graph بصلاحيات التحليل الذكي للمخاطر من Microsoft ويستخدم من قبل خدمات متعددة، بما في ذلك Microsoft Defender للسحابة. |
| تمكين IDPS في وضع التنبيه أو التنبيه والرفض . | IDPS هي واحدة من أقوى ميزات أمان Azure Firewall (Premium) ويجب تمكينها. استنادا إلى متطلبات الأمان والتطبيق، والنظر في تأثير الأداء (راجع قسم التكلفة أدناه)، يمكن تحديد أوضاع التنبيه أو التنبيه والرفض . |
| تمكين تكوين وكيل Azure Firewall (DNS ). | يؤدي تمكين هذه الميزة إلى توجيه العملاء في VNets إلى Azure Firewall كخادم DNS. سيحمي البنية الأساسية الداخلية ل DNS التي لن يتم الوصول إليها وعرضها مباشرة. يجب أيضا تكوين جدار حماية Azure لاستخدام DNS المخصص الذي سيتم استخدامه لإعادة توجيه استعلامات DNS. |
| تكوين المسارات المعرفة من قبل المستخدم (UDR) لفرض نسبة استخدام الشبكة من خلال Azure Firewall. | في بنية Hub & Spokes التقليدية، قم بتكوين UDRs لفرض نسبة استخدام الشبكة من خلال جدار حماية Azure للاتصال SpoketoSpokeSpoketoInternetو وSpoketoHybrid. في Azure Virtual WAN، بدلا من ذلك، قم بتكوين هدف التوجيه والنهج لإعادة توجيه نسبة استخدام الشبكة الخاصة و/أو الإنترنت من خلال مثيل Azure Firewall المدمج في المركز. |
| تقييد استخدام عناوين IP العامة المرتبطة مباشرة بالأجهزة الظاهرية | لمنع تجاوز نسبة استخدام الشبكة لجدار الحماية، يجب تقييد اقتران عناوين IP العامة بواجهات شبكة الجهاز الظاهري. في نموذج Azure Cloud Adoption Framework (CAF)، يتم تعيين نهج Azure محدد لمجموعة إدارة CORP. |
| إذا لم يكن من الممكن تطبيق UDR، ولا يلزم سوى إعادة توجيه حركة مرور الويب، ففكر في استخدام جدار حماية Azure كوكيل صريح | مع تمكين ميزة الوكيل الصريحة على المسار الصادر، يمكنك تكوين إعداد وكيل على تطبيق الويب المرسل (مثل مستعرض الويب) مع Azure Firewall الذي تم تكوينه كوكيل. ونتيجة لذلك، ستصل نسبة استخدام الشبكة على الويب إلى عنوان IP الخاص بجدار الحماية وبالتالي الخروج مباشرة من جدار الحماية دون استخدام UDR. تسهل هذه الميزة أيضا استخدام جدران حماية متعددة دون تعديل مسارات الشبكة الموجودة. |
| قم بتكوين موفري أمان برامج الجهات الخارجية المعتمدين كخدمة (SaaS) داخل Firewall Manager إذا كنت تريد استخدام هذه الحلول لحماية الاتصالات الصادرة. | يمكنك استخدام عروض SECaaS المألوفة والأفضل في سلالة الجهات الخارجية لحماية الوصول إلى الإنترنت للمستخدمين. يتطلب هذا السيناريو Azure Virtual WAN مع بوابة S2S VPN في المركز، حيث يستخدم نفق IPSec للاتصال بالبنية الأساسية للموفر. قد يفرض موفرو SECaaS رسوم ترخيص إضافية ويحدون من معدل النقل على اتصالات IPSec. توجد حلول بديلة مثل ZScaler Cloud Connector وقد تكون أكثر ملاءمة. |
| استخدم تصفية اسم المجال المؤهل بالكامل (FQDN) في قواعد الشبكة. | يمكنك استخدام FQDN استنادا إلى دقة DNS في Azure Firewall ونهج جدار الحماية. تسمح لك هذه الإمكانية بتصفية نسبة استخدام الشبكة الناتجة باستخدام أي بروتوكول TCP/UDP (بما فيها NTP وSSH وRDP وغير ذلك). يجب تمكين تكوين وكيل DNS لجدار حماية Azure لاستخدام FQDNs في قواعد الشبكة. لمعرفة كيفية عملها، راجع تصفية Azure Firewall FQDN في قواعد الشبكة. |
| استخدم علامات الخدمة في قواعد الشبكة لتمكين الوصول الانتقائي إلى خدمات Microsoft معينة. | تمثل علامة الخدمة مجموعة من بادئات عناوين "IP" للمساعدة في تقليل التعقيد لإنشاء قاعدة الأمان. باستخدام علامات الخدمة في قواعد الشبكة، من الممكن تمكين الوصول الصادر إلى خدمات معينة في Azure وDynamics Office 365 دون فتح نطاقات واسعة من عناوين IP. سيحافظ Azure تلقائيا على التعيين بين هذه العلامات وعناوين IP الأساسية التي تستخدمها كل خدمة. يتم سرد قائمة علامات الخدمة المتوفرة لجدار حماية Azure هنا: Az Firewall Service Tags. |
| استخدم علامات FQDN في قواعد التطبيق لتمكين الوصول الانتقائي إلى خدمات Microsoft معينة. | تمثل علامة FQDN مجموعة من أسماء المجالات المؤهلة بالكامل (FQDNs) المقترنة بخدمات Microsoft المعروفة. يمكنك استخدام علامة FQDN في قواعد التطبيق للسماح بنسبة استخدام الشبكة الصادرة المطلوبة من خلال جدار الحماية لبعض خدمات Azure المحددة Office 365 Windows 365 وIntune. |
| استخدم Azure Firewall Manager لإنشاء خطة حماية DDoS وإقرانها بشبكتك الظاهرية المركزية (لا ينطبق على Azure Virtual WAN). | توفر خطة حماية DDoS ميزات تخفيف محسنة للدفاع عن جدار الحماية الخاص بك من هجمات DDoS. Azure Firewall Manager هي أداة متكاملة لإنشاء البنية الأساسية لجدار الحماية وخطط حماية DDoS. لمزيد من المعلومات، راجع تكوين خطة حماية Azure DDoS باستخدام Azure Firewall Manager. |
| استخدم PKI للمؤسسات لإنشاء شهادات لفحص TLS. | باستخدام Azure Firewall Premium، إذا تم استخدام ميزة فحص TLS ، فمن المستحسن الاستفادة من مرجع مصدق داخلي للمؤسسات (CA) لبيئة الإنتاج. يجب استخدام الشهادات الموقعة ذاتيا لأغراض الاختبار/PoC فقط. |
| مراجعة دليل تكوين Zero-Trust لجدار حماية Azure وبوابة التطبيق | إذا كانت متطلبات الأمان الخاصة بك تتطلب تنفيذ نهج Zero-Trust لتطبيقات الويب (الفحص والتشفير)، فمن المستحسن اتباع هذا الدليل. في هذا المستند، سيتم شرح كيفية دمج Azure Firewall وApplication Gateway معا، في كل من سيناريوهات Hub & Spoke و Virtual WAN التقليدية. |
"Azure Advisor" يساعد على ضمان استمرارية التطبيقات ذات الأهمية الحيوية للأعمال وتحسينها. راجع توصيات Azure Advisor.
تعريفات السياسة
يجب ألا تحتوي واجهات الشبكة على عناوين IP عامة. يرفض هذا النهج واجهات شبكة الاتصال التي تم تهيئتها باستخدام بروتوكول إنترنت عام تسمح عناوين بروتوكول الإنترنت العامة لموارد الإنترنت بالاتصال بالموارد الواردة إلى Azure، وموارد Azure للاتصال بالإنترنت.
يجب توجيه جميع حركة مرور الإنترنت عبر Azure Firewall المنشور. وقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. حماية الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية الجيل التالي المدعوم.
يجب أن يتيح نهج جدار حماية Azure فحص TLS ضمن قواعد التطبيق. يُوصى بتمكين فحص TLS لجميع قواعد التطبيق للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect.
يجب أن يقوم Azure Firewall Premium بتكوين شهادة وسيطة صالحة لتمكين فحص TLS. تكوين شهادة وسيطة صالحة وتمكين فحص Azure Firewall Premium TLS للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect.
يجب أن تكون قائمة تجاوز نظام الكشف عن التسلل والوقاية (IDPS) فارغة في Firewall Policy Premium. تسمح لك قائمة تجاوز نظام الكشف عن التسلل والوقاية منه (IDPS) بعدم تصفية نسبة استخدام الشبكة إلى أي من عناوين IP والنطاقات والشبكات الفرعية المحددة في قائمة التجاوز. ومع ذلك، يوصى بتمكين IDPS لجميع تدفقات نسبة استخدام الشبكة لتحديد التهديدات المعروفة بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps-signature.
يجب أن يتيح Firewall Policy Premium جميع قواعد توقيع IDPS لمراقبة جميع تدفقات نسبة استخدام الشبكة الواردة والصادرة. يوصى بتمكين جميع قواعد توقيع نظام الكشف عن التسلل والوقاية منه (IDPS) لتحديد التهديدات المعروفة في تدفقات نسبة استخدام الشبكة بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps.
يجب أن يقوم Firewall Policy Premium بتمكين نظام الكشف عن الاختراق والوقاية منه (IDPS). يتيح لك تمكين نظام الكشف عن التسلل والوقاية منه (IDPS) مراقبة شبكتك للأنشطة الضارة وتسجيل معلومات حول هذا النشاط والإبلاغ عنه ومحاولة حظره اختياريا. لمعرفة المزيد حول نظام الكشف عن التسلل والوقاية منه (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps.
يجب أن يقوم الاشتراك بتكوين Azure Firewall Premium لتوفير طبقة إضافية من الحماية. يوفر Azure Firewall Premium حماية متقدمة من التهديدات تلبي احتياجات البيئات شديدة الحساسية والمنظمة. انشر Azure Firewall Premium على اشتراكك وتأكد من حماية جميع نسبة استخدام الشبكة للخدمة بواسطة Azure Firewall Premium. لمعرفة المزيد حول Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-premium.
يتم سرد جميع تعريفات النهج المضمنة المتعلقة بشبكات Azure في النهج المضمنة - الشبكة.
تحسين التكلفة
يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية.
قائمة مراجعة التصميم
أثناء تحديد خيارات التصميم لجدار حماية Azure، راجع مبادئ التصميم لتحسين التكلفة.
- حدد Azure Firewall SKU لنشره.
- حدد ما إذا كانت بعض المثيلات لا تحتاج إلى تخصيص دائم على مدار الساعة و7 مرات.
- حدد المكان الذي يمكنك فيه تحسين استخدام جدار الحماية عبر أحمال العمل.
- مراقبة وتحسين استخدام مثيلات جدار الحماية لتحديد فعالية التكلفة.
- مراجعة وتحسين عدد عناوين IP العامة المطلوبة والنهج المستخدمة.
- مراجعة متطلبات التسجيل وتقدير التكلفة والتحكم بمرور الوقت.
التوصيات
استكشف جدول التوصيات التالي لتحسين تكوين جدار حماية Azure لتحسين التكلفة.
| التوصية | الميزة |
|---|---|
| انشر Azure Firewall SKU المناسب. | يمكن توزيع Azure Firewall في ثلاث وحدات SKU مختلفة: BasicوStandardوPremium. يوصى باستخدام Azure Firewall Premium لتأمين التطبيقات الحساسة للغاية (مثل معالجة الدفع). يوصى باستخدام Azure Firewall Standard للعملاء الذين يبحثون عن جدار حماية الطبقة 3-الطبقة 7 ويحتاجون إلى مقياس تلقائي للتعامل مع فترات ذروة نسبة استخدام الشبكة التي تصل إلى 30 جيجابت في الثانية. يوصى باستخدام Azure Firewall Basic لعملاء SMB الذين لديهم احتياجات معدل نقل تبلغ 250 ميغابت في الثانية. إذا لزم الأمر، يمكن الرجوع إلى إصدار أقدم أو الترقية بين Standard وPremium كما هو موثق هنا. لمزيد من المعلومات، راجع اختيار Azure Firewall SKU المناسب لتلبية احتياجاتك. |
| أوقف عمليات توزيع Azure Firewall التي لا تحتاج إلى التشغيل على مدار الساعة و7 مرات. | قد يكون لديك بيئات تطوير أو اختبار تستخدم فقط خلال ساعات العمل. لمزيد من المعلومات، راجع إلغاء تخصيص جدار حماية Azure وتخصيصه. |
| شارك نفس مثيل Azure Firewall عبر أحمال عمل متعددة وشبكات Azure الظاهرية. | يمكنك استخدام مثيل مركزي لجدار حماية Azure في الشبكة الظاهرية للمركز أو مركز أمان Virtual WAN ومشاركة نفس جدار الحماية عبر العديد من الشبكات الظاهرية المحورية المتصلة بنفس المركز من نفس المنطقة. تأكد من عدم وجود حركة مرور غير متوقعة عبر المناطق كجزء من تخطيط الشبكة المحوري. |
| مراجعة نسبة استخدام الشبكة التي تتم معالجتها بواسطة Azure Firewall بانتظام والبحث عن تحسينات حمل العمل الأصلية | يظهر سجل Top Flows (المعروف في الصناعة باسم Fat Flows)، أهم الاتصالات التي تساهم في أعلى معدل نقل من خلال جدار الحماية. يوصى بمراجعة نسبة استخدام الشبكة التي تتم معالجتها بواسطة جدار حماية Azure بانتظام والبحث عن التحسينات المحتملة لتقليل مقدار نسبة استخدام الشبكة التي تجتاز جدار الحماية. |
| راجع مثيلات Azure Firewall غير المستخدمة بشكل جيد. تحديد عمليات توزيع جدار حماية Azure غير المستخدمة وحذفها. | لتحديد عمليات توزيع Azure Firewall غير المستخدمة، ابدأ بتحليل مقاييس المراقبة وUDRs المقترنة بالشبكات الفرعية التي تشير إلى IP الخاص بجدار الحماية. اجمع هذه المعلومات مع عمليات التحقق الأخرى، مثل ما إذا كان مثيل Azure Firewall الخاص بك يحتوي على أي قواعد (كلاسيكية) ل NAT والشبكة والتطبيق، أو حتى إذا تم تكوين إعداد وكيل DNS إلى معطل، ومع وثائق داخلية حول بيئتك وعمليات النشر. يمكنك الكشف عن عمليات التوزيع الفعالة من حيث التكلفة بمرور الوقت. لمزيد من المعلومات حول مراقبة السجلات والمقاييس، راجع مراقبة سجلات ومقاييس Azure Firewallواستخدام منفذ SNAT. |
| استخدم Azure Firewall Manager وسياساته لتقليل التكاليف التشغيلية وزيادة الكفاءة وتقليل النفقات العامة للإدارة. | راجع نُهج Firewall Manager وعمليات الربط والتوارث بعناية. تتم فوترة النُهج بناءً على اقترانات جدار الحماية. يكون النهج المزود باقتران جدار حماية واحد أو دونه مجانياً. يتم إصدار فاتورة بنهج ذات اقترانات متعددة لجدار الحماية بسعر ثابت. لمزيد من المعلومات، راجع التسعير - Azure Firewall Manager. |
| حذف عناوين IP العامة غير المستخدمة. | تحقق من استخدام جميع عناوين IP العامة المقترنة. إذا لم تكن قيد الاستخدام، فافصلها واحذفها. تقييم استخدام منفذ SNAT قبل إزالة أي عناوين IP. ستستخدم فقط عدد عناوين IP العامة التي يحتاجها جدار الحماية الخاص بك. لمزيد من المعلومات، راجع مراقبة سجلات ومقاييس Azure Firewallواستخدام منفذ SNAT. |
| مراجعة متطلبات التسجيل. | يتمتع Azure Firewall بالقدرة على تسجيل بيانات التعريف بشكل شامل لجميع نسبة استخدام الشبكة التي يراها، إلى مساحات عمل Log Analytics أو التخزين أو حلول الجهات الخارجية من خلال مراكز الأحداث. ومع ذلك، تتحمل جميع حلول التسجيل تكاليف معالجة البيانات وتخزينها. في أحجام كبيرة جدا يمكن أن تكون هذه التكاليف كبيرة، يجب النظر في نهج فعال من حيث التكلفة وبديل لتحليلات السجل وتقدير التكلفة. ضع في اعتبارك ما إذا كان مطلوبا تسجيل بيانات تعريف نسبة استخدام الشبكة لجميع فئات التسجيل وتعديلها في إعدادات التشخيص إذا لزم الأمر. |
لمزيد من الاقتراحات، راجع قائمة اختيار مراجعة التصميم لتحسين التكلفة.
"Azure Advisor" يساعد على ضمان استمرارية التطبيقات ذات الأهمية الحيوية للأعمال وتحسينها. راجع توصيات Azure Advisor.
التميز التشغيلي
والرصد والتشخيص أمران حاسمان. يمكنك قياس إحصائيات الأداء ومقاييسه لاستكشاف المشكلات وإصلاحها بسرعة.
قائمة مراجعة التصميم
أثناء تحديد خيارات التصميم لجدار حماية Azure، راجع مبادئ التصميم للتميز التشغيلي.
- الحفاظ على المخزون والنسخ الاحتياطي لتكوين Azure Firewall والنهج.
- الاستفادة من سجلات التشخيص لمراقبة جدار الحماية واستكشاف الأخطاء وإصلاحها.
- الاستفادة من مصنف مراقبة جدار حماية Azure.
- راجع تحليلات النهج وتحليلاتك بانتظام.
- دمج Azure Firewall مع Microsoft Defender للسحابة وMicrosoft Sentinel.
التوصيات
استكشف جدول التوصيات التالي لتحسين تكوين جدار حماية Azure للتميز التشغيلي.
| التوصية | الميزة |
|---|---|
| لا تستخدم جدار حماية Azure للتحكم في نسبة استخدام الشبكة داخل الشبكة الظاهرية. | يجب استخدام Azure Firewall للتحكم في نسبة استخدام الشبكة عبر الشبكات الظاهرية، بين الشبكات الظاهرية والشبكات المحلية، وحركة المرور الصادرة إلى الإنترنت وحركة المرور الواردة غير HTTP/s. للتحكم في نسبة استخدام الشبكة داخل الشبكة الظاهرية، يوصى باستخدام مجموعات أمان الشبكة. |
| الاحتفاظ بنسخ احتياطية منتظمة من البيانات الاصطناعية لنهج Azure. | إذا تم استخدام نهج البنية الأساسية كتعليمية (IaC) للحفاظ على جدار حماية Azure وجميع التبعيات، فيجب أن يكون النسخ الاحتياطي وتعيين إصدار نهج جدار حماية Azure في مكانه بالفعل. إذا لم يكن الأمر كما هو، يمكن نشر آلية مصاحبة تستند إلى Logic App خارجي لأتمتة وتوفير حل فعال. |
| تمكين سجلات التشخيص لجدار حماية Azure. | سجلات التشخيص هي مكون رئيسي للعديد من أدوات واستراتيجيات المراقبة لجدار حماية Azure ويجب تمكينها. يمكنك مراقبة جدار حماية Azure باستخدام سجلات أو مصنفات جدار الحماية. يمكنك أيضا استخدام سجلات النشاط لعمليات التدقيق على موارد Azure Firewall. |
| استخدم تنسيق سجلات جدار الحماية المنظم . | سجلات جدار الحماية المنظمة هي نوع من بيانات السجل التي يتم تنظيمها بتنسيق جديد محدد. يستخدمون مخططا محددا مسبقا لهيكلة بيانات السجل بطريقة تجعل من السهل البحث والتصفية والتحليل. تستند أحدث أدوات المراقبة إلى هذا النوع من السجلات وبالتالي غالبا ما يكون شرطا مسبقا. استخدم تنسيق سجلات التشخيص السابق فقط إذا كانت هناك أداة موجودة مع شرط مسبق على ذلك. لا تقم بتمكين تنسيقي التسجيل في نفس الوقت. |
| استخدم مصنف مراقبة جدار حماية Azure المضمن. | تتضمن تجربة مدخل Azure Firewall الآن مصنفا جديدا ضمن واجهة مستخدم قسم المراقبة ، وليس هناك حاجة إلى تثبيت منفصل. باستخدام مصنف جدار حماية Azure، يمكنك استخراج رؤى قيمة من أحداث Azure Firewall، والتعمق في قواعد التطبيق والشبكة، وفحص الإحصائيات المتعلقة بأنشطة جدار الحماية عبر عناوين URL والمنافذ والعناوين. |
| مراقبة المقاييس الرئيسية وإنشاء تنبيهات لمؤشرات استخدام سعة جدار حماية Azure. | يجب إنشاء تنبيهات لمراقبة معدل النقل على الأقل وحالة حماية جدار الحمايةواستخدام منفذ SNAT ومقاييس فحص زمن انتقال AZFW . للحصول على معلومات حول سجلات المراقبة والمقاييس، راجع مراقبة سجلات ومقاييس Azure Firewall. |
| تكوين تكامل Azure Firewall مع Microsoft Defender للسحابةوMicrosoft Sentinel. | إذا كانت هذه الأدوات متوفرة في البيئة، فمن المستحسن الاستفادة من التكامل مع Microsoft Defender لحلول السحابةوMicrosoft Sentinel. باستخدام Microsoft Defender لتكامل السحابة، يمكنك تصور الحالة المتكاملة للبنية الأساسية للشبكة وأمان الشبكة في مكان واحد، بما في ذلك أمان شبكة Azure عبر جميع الشبكات الظاهرية ومراكز ظاهرية منتشرة عبر مناطق مختلفة في Azure. يوفر التكامل مع Microsoft Sentinel إمكانات الكشف عن التهديدات والوقاية منها. |
| راجع لوحة معلومات تحليلات النهج بانتظام لتحديد المشكلات المحتملة. | تحليلات النهج هي ميزة جديدة توفر رؤى حول تأثير نهج Azure Firewall. يساعدك على تحديد المشكلات المحتملة (الوصول إلى حدود النهج، وقواعد الاستخدام المنخفضة، والقواعد المكررة، والقواعد العامة جدا، وتوصية استخدام مجموعات IP) في النهج الخاصة بك ويوفر توصيات لتحسين وضع الأمان وأداء معالجة القواعد. |
| تعرف على استعلامات KQL (لغة استعلام Kusto) للسماح بالتحليل السريع واستكشاف الأخطاء وإصلاحها باستخدام سجلات Azure Firewall. | يتم توفير نماذج استعلامات لجدار حماية Azure. سيمكنك ذلك من تحديد ما يحدث داخل جدار الحماية الخاص بك بسرعة والتحقق لمعرفة القاعدة التي تم تشغيلها، أو القاعدة التي تسمح/تحظر الطلب. |
"Azure Advisor" يساعد على ضمان استمرارية التطبيقات ذات الأهمية الحيوية للأعمال وتحسينها. راجع توصيات Azure Advisor.
كفاءة الأداء
كفاءة الأداء هي قدرة حمل العمل الخاص بك على التوسع لتلبية المتطلبات التي يضعها المستخدمون عليه بكفاءة.
قائمة مراجعة التصميم
أثناء تحديد خيارات التصميم لجدار حماية Azure، راجع مبادئ التصميم لكفاءة الأداء.
- مراجعة قواعد جدار الحماية وتحسينها بانتظام.
- راجع متطلبات النهج وفرصه لتلخيص نطاقات IP وقائمة عناوين URL.
- تقييم متطلبات منفذ SNAT.
- خطط لاختبارات التحميل لاختبار أداء التحجيم التلقائي في بيئتك.
- لا تقم بتمكين أدوات التشخيص والتسجيل إذا لم يكن مطلوبا.
التوصيات
استكشف جدول التوصيات التالي لتحسين تكوين جدار حماية Azure لكفاءة الأداء.
| التوصية | الميزة |
|---|---|
| استخدم لوحة معلومات تحليلات النهج لتحديد التحسينات المحتملة لنهج جدار الحماية. | تحليلات النهج هي ميزة جديدة توفر رؤى حول تأثير نهج Azure Firewall. يساعدك على تحديد المشكلات المحتملة (الوصول إلى حدود النهج، وقواعد الاستخدام المنخفضة، والقواعد المكررة، والقواعد العامة جدا، وتوصية استخدام مجموعات IP) في النهج الخاصة بك ويوفر توصيات لتحسين وضع الأمان وأداء معالجة القواعد. |
| بالنسبة لنهج جدار الحماية مع مجموعات القواعد الكبيرة، ضع القواعد الأكثر استخداما في وقت مبكر من المجموعة لتحسين زمن الانتقال. | تتم معالجة القواعد استنادا إلى نوع القاعدة والتوارث وأولوية مجموعة مجموعة القواعد وأولوية مجموعة القواعد. تتم معالجة مجموعات القواعد ذات الأولوية القصوى أولاً. داخل مجموعة قواعد، تتم معالجة مجموعات القواعد ذات الأولوية القصوى أولا. سيؤدي وضع القواعد الأكثر استخداما أعلى في مجموعة القواعد إلى تحسين زمن انتقال المعالجة. يتم شرح كيفية معالجة القواعد وتقييمها في هذه المقالة. |
| استخدم مجموعات IP لتلخيص نطاقات عناوين IP. | يمكنك استخدام مجموعات IP لتلخيص نطاقات IP، بحيث لا تتجاوز حد قواعد الشبكة الفريدة المصدر/الوجهة. لكل قاعدة، يقوم Azure بضرب المنافذ حسب عناوين IP. لذلك، إذا كان لديك قاعدة واحدة مع أربعة نطاقات عناوين IP وخمسة منافذ، فستستهلك 20 قاعدة شبكة. يتم التعامل مع مجموعة IP كعنوان واحد لغرض إنشاء قواعد الشبكة. |
| ضع في اعتبارك فئات الويب للسماح بالوصول الصادر أو رفضه بشكل مجمع. | بدلا من إنشاء قائمة طويلة من مواقع الإنترنت العامة وصيانتها بشكل صريح، ضع في اعتبارك استخدام فئات ويب جدار حماية Azure. ستصنف هذه الميزة محتوى الويب ديناميكيا وستسمح بإنشاء قواعد تطبيق مضغوطة. |
| تقييم تأثير أداء IDPS في وضع التنبيه والرفض . | إذا كان جدار حماية Azure مطلوبا للعمل في وضع IDPSتنبيه ورفض، ففكر بعناية في تأثير الأداء كما هو موثق في هذه الصفحة. |
| تقييم مشكلة استنفاد منفذ SNAT المحتملة. | يدعم Azure Firewall حاليا 2496 منفذا لكل عنوان IP عام لكل مثيل مجموعة مقياس الجهاز الظاهري الخلفية. بشكل افتراضي، هناك مثيلان لمجموعة مقياس الجهاز الظاهري. لذلك، هناك 4992 منفذا لكل عنوان IP وجهة تدفق ومنفذ الوجهة والبروتوكول (TCP أو UDP). يتدرج جدار الحماية إلى 20 مثيلاً كحد أقصى. يمكنك تجاوز الحدود من خلال تكوين عمليات نشر Azure Firewall باستخدام خمسة عناوين IP عامة كحد أدنى لعمليات النشر المعرضة لاستنفاد SNAT. |
| قم بتسخين جدار حماية Azure بشكل صحيح قبل أي اختبار أداء. | إنشاء نسبة استخدام الشبكة الأولية التي ليست جزءا من اختبارات التحميل قبل 20 دقيقة من الاختبار. استخدم إعدادات التشخيص لالتقاط أحداث التوسيع والتقليص. يمكنك استخدام خدمة Azure Load Testing لإنشاء نسبة استخدام الشبكة الأولية. يسمح لمثيل Azure Firewall بتوسيع نطاق مثيلاته إلى الحد الأقصى. |
| تكوين شبكة فرعية لجدار حماية Azure (AzureFirewallSubnet) بمساحة عنوان /26. | Azure Firewall هو توزيع مخصص في شبكتك الظاهرية. داخل شبكتك الظاهرية، يلزم وجود شبكة فرعية مخصصة لمثيل Azure Firewall. يوفر Azure Firewall سعة أكبر أثناء تحجيمه. تضمن مساحة العنوان /26 أن جدار الحماية يحتوي على عناوين IP كافية متاحة لاستيعاب نطاق التوسيع. لا يحتاج جدار حماية Azure Firewall إلى شبكة فرعية أكبر من /26. يجب أن يكون اسم الشبكة الفرعية لجدار حماية Azure هو AzureFirewallSubnet. |
| لا تقم بتمكين التسجيل المتقدم إذا لم يكن مطلوبا | يوفر Azure Firewall بعض قدرات التسجيل المتقدمة التي يمكن أن تكون مكلفة للحفاظ على نشطة دائما. بدلا من ذلك، يجب استخدامها لأغراض استكشاف الأخطاء وإصلاحها فقط، ومحدودة المدة، ثم تعطيلها عندما لا تكون ضرورية. على سبيل المثال، يمكن أن تتسبب أهم التدفقات وسجلات تتبع التدفق باهظة الثمن في الاستخدام المفرط لوحدة المعالجة المركزية والتخزين على البنية الأساسية لجدار حماية Azure. |
"Azure Advisor" يساعد على ضمان استمرارية التطبيقات ذات الأهمية الحيوية للأعمال وتحسينها. راجع توصيات Azure Advisor.
توصيات Azure Advisor
Azure Advisor هو مستشار سحابة متخصص يساعدك على اتباع أفضل الممارسات بهدف تحسين عمليات التوزيع في Azure التي تجريها. لا توجد توصية Azure Firewall Specific Advisor حتى الآن. يمكن تطبيق بعض التوصيات العامة للمساعدة في تحسين الموثوقية والأمان وفعالية التكلفة والأداء والتميز التشغيلي.
- قم بإنشاء تنبيهات حالة الخدمة ليتم إعلامك عندما تؤثر عليك مشاكل Azure
- تأكد من أن لديك إمكانية الوصول إلى خبراء سحابة Azure عندما تحتاج إليها
- تمكين تحليلات حركة المرور لعرض رؤى حول أنماط حركة المرور عبر موارد Azure
- اتبع الإدارة الكافية فقط (مبدأ الامتياز الأقل)
- حماية موارد الشبكة باستخدام Microsoft Defender للسحابة
الموارد الإضافية
- وثائق جدار حماية Azure
- ما هو Azure Firewall Manager؟
- حدود خدمة Azure Firewall والحصص النسبية والقيود
- أساس أمان Azure لـ Azure Firewall
إرشادات Azure Architecture Center
- نظرة عامة علي هيكل Azure Firewall
- استخدام Azure Firewall للمساعدة في حماية نظام مجموعة Azure Kubernetes Service (AKS)
- استخدام Azure Firewall لحماية عمليات توزيع Azure Virtual Desktop (AVD)
- استخدام جدار حماية Azure لحماية Office 365
- طوبولوجيا الشبكة التي تحدث عنها لوحة الوصل في Azure
- شبكة صفر ثقة لتطبيقات الويب مع Azure Firewall وApplication Gateway
- تنفيذ شبكة مختلطة آمنة
- تطبيق ويب متصل بالشبكة مع اتصال خاص بمخازن بيانات PaaS
الخطوة التالية
انشر مثيل Azure Firewall لمعرفة كيفية عمله:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ