البرنامج التعليمي: نشر جدار حماية Azure وسياسته وتكوينها باستخدام مدخل Azure

  • مقالة
  • قراءة خلال 7 دقائق

التحكم في الوصول إلى الشبكة الصادرة جزء هام من خطة أمان الشبكة بشكل عام. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو قد تحتاج إلى تحديد عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك التحكم في الوصول إلى شبكة الاتصال الصادرة من شبكة فرعية Azure هي باستخدام جدار حماية Azure وسياسة جدار الحماية. باستخدام Azure جدار الحماية وسياسة جدار الحماية، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه حركة مرور الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

لهذا البرنامج التعليمي، يمكنك إنشاء VNet واحد مبسطة مع اثنتين من الشبكات الفرعية لنشر سهل.

بالنسبة إلى عمليات نشر الإنتاج، يوصى بإنشاء نموذج المحور والدولاب، حيث يكون جدار الحماية في VNet الخاص به. خوادم حمل العمل هي في VNets منظر في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

Tutorial network infrastructure

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إعداد بيئة شبكة اختبار
  • نشر جدار حماية وسياسة جدار حماية
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول إلى www.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إعداد الشبكة

أولاً، إنشاء مجموعة موارد لاحتواء الموارد اللازمة لتوزيع جدار الحماية. ثم إنشاء VNet والشبكات الفرعية وخادم اختبار.

قم بإنشاء مجموعة موارد

تحتوي مجموعة الموارد على كافة الموارد الخاصة بالبرنامج التعليمي.

  1. سجّل الدخول إلى مدخل Azure على https://portal.azure.com.
  2. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. ثم اختر Add.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. لأجل Resource group name، أدخل Test-FW-RG.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
  6. حدد Review + create.
  7. حدد Create.

إنشاء شبكة افتراضية

سيكون لهذا VNet شبكتان فرعيتان.

ملاحظة

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Networking.

  3. البحث عن Virtual network وتحديدها.

  4. حدد Create.

  5. بالنسبة لـ "Subscription"، حدد اشتراكك.

  6. لأجل Resource group، حدد Test-FW-RG.

  7. لأجل Name، اكتب Test-FW-VN.

  8. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.

  9. حدد Next: IP addresses.

  10. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.

  11. في Subnet، حدد default.

  12. لأجل Subnet name غير الاسم إلى AzureFirewallSubnet. جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية يجب أن يكون AzureFirewallSubnet.

  13. لأجل Address range، اكتب 10.0.1.0/26.

  14. حدد ⁧⁩حفظ⁧⁩.

    بعد ذلك، إنشاء شبكة فرعية لخادم حمل العمل.

  15. حدد Add subnet.

  16. لأجل Subnet name، اكتب Workload-SN.

  17. بالنسبة لـ "Subnet address range"، اكتب "10.0.2.0/24".

  18. حدد ⁧⁩إضافة⁧⁩.

  19. حدد Review + create.

  20. حدد Create.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Windows Server 2016 Datacenter.

  3. أدخل هذه القيم للجهاز الظاهري:

    إعداد القيمة
    مجموعة الموارد Test-FW-RG
    اسم الجهاز الظاهري Srv-Work
    المنطقة نفس السابقة
    صورة Windows Server 2016 Datacenter
    اسم مستخدم المسؤول اكتب اسم مستخدم
    كلمة المرور إضافة كلمة مرور

  4. في Inbound port rules، Public inbound ports، حدد None.

  5. قبول الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  11. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

  12. بعد اكتمال النشر حدد المورد Srv-Work ثم لاحظ عنوان IP الخاص للاستخدام لاحقًا.

نشر جدار الحماية والسياسة

نشر جدار الحماية في VNet.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. اكتب firewall في مربع البحث واضغط على Enter.

  3. حدد Firewall ثم حدد إنشاء.

  4. في صفحة إنشاء Firewall، استخدم الجدول التالي لتكوين جدار الحماية:

    إعداد القيمة
    الاشتراك <اشتراكك>
    مجموعة الموارد Test-FW-RG
    الاسم Test-FW01
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا
    إدارة جدار الحماية Use a Firewall Policy to manage this firewall
    نهج جدار الحماية أضف الجديد:
    fw-test-pol
    منطقتك المحددة
    اختر شبكة افتراضية استخدام الموجود: Test-FW-VN
    عنوان IP العام أضف الجديد:
    الاسم: fw-نقطة

  5. قبول الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  7. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد Test-FW-RG، وحدد جدار الحماية Test-FW01.

  8. لاحظ عنواني IP الخاص والعام لجدار الحماية. ستستخدم هذه العناوين لاحقاً.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في القائمة المدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.
  2. ضمن الشبكات، حدد Route tables.
  3. حدد ⁧⁩إضافة⁧⁩.
  4. بالنسبة لـ "Subscription"، حدد اشتراكك.
  5. لأجل Resource group، حدد Test-FW-RG.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. لأجل Name، اكتب Firewall-route.
  8. حدد Review + create.
  9. حدد Create.

بعد اكتمال التوزيع، حدد ⁧⁩Go to resource⁧⁩.

  1. في صفحة توجيه جدار الحماية، حدد Subnets ثم حدد Associate.

  2. حدد Virtual network>Test-FW-VN.

  3. لأجل Subnet، حدد Workload-SN. تأكد من تحديد الشبكة الفرعية Workload-SN لهذا التوجيه فقط،‏ وإلا فلن يعمل جدار الحماية بشكل صحيح.

  4. حدد "OK".

  5. حدد Routes ثم حدد Add.

  6. لأجل Route name، اكتب fw-dg.

  7. بالنسبة إلى بادئة العنوان، اكتب 0.0.0.0/0.

  8. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  9. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

  10. حدد "OK".

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح Test-FW-RG، وحدد نهج جدار الحماية fw-test-pol.
  2. حدد Application rules.
  3. حدد Add a rule collection.
  4. لأجل Name، اكتب App-Coll01.
  5. لأجل Priority، اكتب 200.
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. في Rules، لأجل Name، اكتب Allow-Google.
  8. لأجل Source type، حدد IP address.
  9. بالنسبة لـ " Source"، اكتب " 10.0.2.0/24".
  10. لأجل Protocol:port، اكتب http, https.
  11. لأجل Destination Type، حدد FQDN.
  12. لأجل Destination، اكتب www.google.com
  13. حدد ⁧⁩إضافة⁧⁩.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد Network rules.
  2. حدد Add a rule collection.
  3. لأجل Name، اكتب Net-Coll01.
  4. لأجل Priority، اكتب 200.
  5. بالنسبة لـ Rule collection action، اختر Allow.
  6. لأجل Rule collection group، اكتب DefaultNetworkRuleCollectionGroup.
  7. في Rules، لأجل Name، اكتب Allow-DNS.
  8. لأجل Source type، حدد IP address.
  9. لأجل Source، اكتب 10.0.2.0/24.
  10. لأجل Protocol، حدد UDP.
  11. لأجل Destination Ports، اكتب 53.
  12. لأجل Destination type، حدد IP address.
  13. لأجل Destination، اكتب 209.244.0.3,209.244.0.4.
    هذه هي خوادم DNS العامة التي تديرها CenturyLink.
  14. حدد ⁧⁩إضافة⁧⁩.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Work من خلال جدار الحماية.

  1. حدد DNAT rules.
  2. حدد Add a rule collection.
  3. بالنسبة إلى الاسم، حدد rdp.
  4. بالنسبة إلى الأولوية، اكتب 200.
  5. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
  6. ضمن قواعد، بالنسبة لـ الاسم، اكتب rdp-nat.
  7. بالنسبة إلى نوع المصدر، حدد عنوان IP.
  8. بالنسبة إلى المصدر، اكتب * .
  9. بالنسبة لـ Protocol، اختر TCP.
  10. بالنسبة لـ "Destination Ports"، اكتب "3389".
  11. بالنسبة لـ Destination Type، أدخل IP Address.
  12. لأجل Destination، اكتب عنوان IP العام لجدار الحماية.
  13. لأجل Translated address، اكتب عنوان IP الخاص Srv-work.
  14. بالنسبة إلى المدخل المترجم، اكتب 3389.
  15. حدد ⁧⁩إضافة⁧⁩.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار في هذا البرنامج التعليمي،‏ عليك تكوين عناوين DNS الأساسي والثانوي الخادم. هذا ليس مطلبا عاما لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. اكتب 209.244.0.3 في مربع النص Add DNS server و209.244.0.4 في مربع النص التالي.
  6. حدد ⁧⁩حفظ⁧⁩.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. ربط سطح مكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول إلى الجهاز الظاهري Srv-Work.

  2. افتح Internet Explorer واذهب إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. انتقل إلى https://www.microsoft.com.

    يجب أن يتم حظرك بواسطة جدار الحماية.

حتى الآن كنت قد تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك التصفح إلى FQDN المسموح به ولكن ليس إلى أي آخرين.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية الخاصة بك من أجل البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة، حذف مجموعة الموارد Test-FW-RG لحذف كافة الموارد المتعلقة بجدار الحماية.

الخطوات التالية

توزيع وتكوين Azure Firewall Premium