توزيع وتكوين Azure Firewall Basic والنهج باستخدام مدخل Microsoft Azure

  • مقالة

يوفر Azure Firewall Basic الحماية الأساسية التي يحتاجها عملاء SMB بنقطة سعر معقولة. يوصى بهذا الحل لبيئات عملاء SMB مع متطلبات معدل نقل أقل من 250 ميغابت في الثانية. يوصى بنشر SKU القياسي للبيئات التي تتضمن متطلبات معدل نقل أكثر من 250 ميغابت في الثانية وSKU Premium للحماية المتقدمة من التهديدات.

تعد تصفية حركة مرور الشبكة والتطبيق جزءا مهما من خطة أمان الشبكة الشاملة. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو قد تحتاج إلى تحديد عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك من خلالها التحكم في الوصول إلى الشبكة الواردة والصادرة من شبكة Azure الفرعية هي باستخدام Azure Firewall ونهج جدار الحماية. باستخدام Azure جدار الحماية ونهج جدار الحماية، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.
  • قواعد DNAT لترجمة حركة مرور الإنترنت الواردة وتصفيتها إلى الشبكات الفرعية الخاصة بك.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه حركة مرور الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

لهذا الكيفية، يمكنك إنشاء شبكة ظاهرية واحدة مبسطة مع ثلاث شبكات فرعية لتسهيل النشر. يحتوي Firewall Basic على متطلبات إلزامية ليتم تكوينها باستخدام NIC للإدارة.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • AzureFirewallManagementSubnet - لنسبة استخدام الشبكة لإدارة الخدمة.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

ملاحظة

نظرا لأن Azure Firewall Basic يحتوي على حركة مرور محدودة مقارنة ب Azure Firewall Standard أو Premium SKU، فإنه يتطلب من AzureFirewallManagementSubnet فصل نسبة استخدام الشبكة للعملاء عن حركة مرور إدارة Microsoft لضمان عدم حدوث أي اضطرابات عليها. حركة مرور الإدارة هذه مطلوبة للتحديثات واتصالات المقاييس الصحية التي تحدث تلقائيا من وإلى Microsoft فقط. لا يسمح بأي اتصالات أخرى على عنوان IP هذا.

بالنسبة إلى عمليات توزيع الإنتاج، يوصى بإنشاء نموذج المحور والدولاب، حيث يكون جدار الحماية في VNet الخاص به. خوادم حمل العمل هي في VNets منظر في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

في هذه الكيفية، ستتعلم كيفية:

  • إعداد بيئة شبكة اختبار
  • توزيع جدار حماية أساسي ونهج جدار حماية أساسي
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول إلى www.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

إذا لم يكن لديك اشتراك في Azure، فأنشئ free account قبل البدء.

قم بإنشاء مجموعة موارد

تحتوي مجموعة الموارد على جميع الموارد للكيفية.

  1. تسجيل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩.
  2. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. ثم حدد "Create".
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. لأجل Resource group name، أدخل Test-FW-RG.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
  6. حدد Review + create.
  7. حدد Create.

نشر جدار الحماية والنهج

انشر جدار الحماية وأنشئ البنية الأساسية للشبكة المقترنة.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. اكتب firewall في مربع البحث واضغط على Enter.

  3. حدد Firewall ثم حدد إنشاء.

  4. في صفحة "Create a Firewall "، استخدم الجدول التالي لتكوين جدار الحماية:

    إعداد القيمة
    الاشتراك <اشتراكك>
    مجموعة الموارد Test-FW-RG
    الاسم Test-FW01
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا
    طبقة جدار الحماية أساسي
    إدارة جدار الحماية Use a Firewall Policy to manage this firewall
    نهج جدار الحماية أضف الجديد:
    fw-test-pol
    منطقتك المحددة
    يجب أن يكون مستوى النهج افتراضيا إلى Basic
    اختر شبكة ظاهرية Create new
    الاسم: Test-FW-VN
    مساحة العنوان: 10.0.0.0/16
    مساحة عنوان الشبكة الفرعية: 10.0.0.0/26
    عنوان IP العام أضف الجديد:
    الاسم: fw-pip
    الإدارة - مساحة عنوان الشبكة الفرعية 10.0.1.0/26
    إدارة عنوان IP العام إضافة جديد
    fw-mgmt-pip

  5. قبول الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  7. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد Test-FW-RG، وحدد جدار الحماية Test-FW01.

  8. لاحظ عناوين IP الخاصة والعامة لجدار الحماية (fw-pip). ستستخدم هذه العناوين لاحقاً.

إنشاء شبكة فرعية لخادم حمل العمل

بعد ذلك، إنشاء شبكة فرعية لخادم حمل العمل.

  1. انتقل إلى مجموعة موارد Test-FW-RG وحدد الشبكة الظاهرية Test-FW-VN .
  2. حدد الشبكات الفرعية.
  3. حدد الشبكة الفرعية.
  4. لأجل Subnet name، اكتب Workload-SN.
  5. بالنسبة لـ "Subnet address range"، اكتب "10.0.2.0/24".
  6. حدد ⁧⁩حفظ⁧⁩.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Windows Server 2019 Datacenter.

  3. أدخل هذه القيم للجهاز الظاهري:

    إعداد القيمة
    مجموعة الموارد Test-FW-RG
    اسم الجهاز الظاهري Srv-Work
    المنطقة نفس السابقة
    صورة مركز بيانات خادم ويندوز 2019
    اسم مستخدم المسؤول اكتب اسم مستخدم
    كلمة المرور إضافة كلمة مرور

  4. في Inbound port rules، Public inbound ports، حدد None.

  5. قبول الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. قم باختيار Next: Monitoring.

  11. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  12. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

  13. بعد اكتمال النشر حدد المورد Srv-Work ثم لاحظ عنوان IP الخاص للاستخدام لاحقاً.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في القائمة المدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.
  2. ضمن الشبكات، حدد Route tables.
  3. حدد Create.
  4. بالنسبة لـ "Subscription"، حدد اشتراكك.
  5. لأجل Resource group، حدد Test-FW-RG.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. لأجل Name، اكتب Firewall-route.
  8. حدد Review + create.
  9. حدد Create.

بعد اكتمال التوزيع، حدد ⁧⁩Go to resource⁧⁩.

  1. في صفحة توجيه جدار الحماية، حدد Subnets ثم حدد Associate.

  2. حدد Virtual network>Test-FW-VN.

  3. لأجل Subnet، حدد Workload-SN. تأكد من تحديد الشبكة الفرعية Workload-SN لهذا التوجيه فقط،‏ وإلا فلن يعمل جدار الحماية بشكل صحيح.

  4. حدد "OK".

  5. حدد Routes ثم حدد Add.

  6. لأجل Route name، اكتب fw-dg.

  7. بالنسبة إلىAddress prefix destination، حدد IP Addresses.

  8. بالنسبة إلى Destination IP addresses/CIDR ranges، اكتب 0.0.0.0/0.

  9. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  10. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

  11. حدد ⁧⁩إضافة⁧⁩.

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح Test-FW-RG، وحدد نهج جدار الحماية fw-test-pol.
  2. حدد Application rules.
  3. حدد Add a rule collection.
  4. لأجل Name، اكتب App-Coll01.
  5. لأجل Priority، اكتب 200.
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. في Rules، لأجل Name، اكتب Allow-Google.
  8. لأجل Source type، حدد IP address.
  9. بالنسبة لـ " Source"، اكتب " 10.0.2.0/24".
  10. لأجل Protocol:port، اكتب http, https.
  11. لأجل Destination Type، حدد FQDN.
  12. لأجل Destination، اكتب www.google.com
  13. حدد ⁧⁩إضافة⁧⁩.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد Network rules.
  2. حدد Add a rule collection.
  3. لأجل Name، اكتب Net-Coll01.
  4. لأجل Priority، اكتب 200.
  5. بالنسبة لـ Rule collection action، اختر Allow.
  6. لأجل Rule collection group، اكتب DefaultNetworkRuleCollectionGroup.
  7. في Rules، لأجل Name، اكتب Allow-DNS.
  8. لأجل Source type، حدد IP address.
  9. لأجل Source، اكتب 10.0.2.0/24.
  10. لأجل Protocol، حدد UDP.
  11. لأجل Destination Ports، اكتب 53.
  12. لأجل Destination type، حدد IP address.
  13. لأجل Destination، اكتب 209.244.0.3,209.244.0.4.
    هذه هي خوادم DNS العامة التي تديرها المستوى 3.
  14. حدد ⁧⁩إضافة⁧⁩.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Work من خلال جدار الحماية.

  1. حدد DNAT rules.
  2. حدد Add a rule collection.
  3. بالنسبة إلى الاسم، حدد rdp.
  4. بالنسبة إلى الأولوية، اكتب 200.
  5. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
  6. ضمن قواعد، بالنسبة لـ الاسم، اكتب rdp-nat.
  7. بالنسبة إلى نوع المصدر، حدد عنوان IP.
  8. بالنسبة إلى المصدر، اكتب *.
  9. بالنسبة لـ Protocol، اختر TCP.
  10. بالنسبة لـ "Destination Ports"، اكتب "3389".
  11. بالنسبة لـ Destination Type، أدخل IP Address.
  12. بالنسبة إلى الوجهة، اكتب عنوان IP العام لجدار الحماية (fw-pip).
  13. لأجل Translated address، اكتب عنوان IP الخاص Srv-work.
  14. بالنسبة إلى المدخل المترجم، اكتب 3389.
  15. حدد ⁧⁩إضافة⁧⁩.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار في هذه الكيفية، قم بتكوين عناوين DNS الأساسية والثانوية للخادم. هذا ليس مطلباً عاماً لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. اكتب 209.244.0.3 في مربع النص Add DNS server و209.244.0.4 في مربع النص التالي.
  6. حدد ⁧⁩حفظ⁧⁩.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. قم بتوصيل سطح مكتب بعيد بعنوان IP العام لجدار الحماية (fw-pip) وسجل الدخول إلى الجهاز الظاهري Srv-Work .

  2. افتح Internet Explorer واذهب إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. انتقل إلى http://www.microsoft.com.

    يجب أن يتم حظرك بواسطة جدار الحماية.

إذن الآن، تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك توصيل سطح مكتب بعيد بجهاز ظاهري Srv-Work.
  • يمكنك التصفح إلى FQDN المسموح به ولكن ليس إلى أي آخرين.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لمزيد من الاختبار، أو إذا لم تعد هناك حاجة إليها، فاحذف مجموعة موارد Test-FW-RG لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

توزيع وتكوين Azure Firewall Premium