توزيع وتكوين جدار حماية Azure باستخدام مدخل Microsoft Azure

  • مقالة
  • قراءة خلال 9 دقائق

التحكم في الوصول إلى الشبكة الصادرة جزء هام من خطة أمان الشبكة بشكل عام. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو قد تحتاج إلى تحديد عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك التحكم في الوصول إلى شبكة الاتصال الصادرة من شبكة فرعية Azure باستخدام Azure Firewall. باستخدام Azure Firewall، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه نسبة استخدام الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

بالنسبة لهذه المقالة، يمكنك إنشاء شبكة VNet فردية مبسطة مع شبكتين فرعيتين لسهولة التوزيع.

بالنسبة إلى عمليات توزيع الإنتاج، يوصى بإنشاء نموذج المحور والدولاب، حيث يكون جدار الحماية في VNet الخاص به. خوادم حمل العمل هي في VNets منظر في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

Network infrastructure

ستتعلم في هذا المقال طريقة إجراء ما يلي:

  • إعداد بيئة شبكة اختبار
  • انشر جدار الحماية
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول إلى www.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

ملاحظة

تستخدم هذه المقالة قواعد جدار الحماية الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام Firewall Policy. لإكمال هذا الإجراء باستخدام نهج جدار الحماية، راجع البرنامج التعليمي: توزيع وتكوين Azure Firewall والنهج باستخدام مدخل Microsoft Azure

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إعداد الشبكة

أولاً، إنشاء مجموعة موارد لاحتواء الموارد اللازمة لتوزيع جدار الحماية. ثم إنشاء VNet والشبكات الفرعية وخادم اختبار.

قم بإنشاء مجموعة موارد

تحتوي مجموعة الموارد على جميع الموارد المستخدمة في هذا الإجراء.

  1. سجّل الدخول إلى مدخل Azure على https://portal.azure.com.
  2. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. ثم اختر Add.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. لأجل Resource group name، أدخل Test-FW-RG.
  5. بالنسبة إلى موقع مجموعة الموارد، حدد موقعاً. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس الموقع.
  6. حدد Review + create.
  7. حدد Create.

إنشاء شبكة افتراضية

سيكون لدى VNet ثلاث شبكات فرعية.

ملاحظة

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Networking>Virtual network.

  3. حدد Create.

  4. بالنسبة لـ "Subscription"، حدد اشتراكك.

  5. لأجل Resource group، حدد Test-FW-RG.

  6. لأجل Name، اكتب Test-FW-VN.

  7. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.

  8. حدد Next: IP addresses.

  9. بالنسبة إلى IPv4 address space، اكتب 10.0.0.0/16.

  10. في Subnet، حدد default.

  11. بالنسبة لـ "Subnet name" اكتب "AzureFirewallSubnet". جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.

  12. لأجل Address range، اكتب 10.0.1.0/26.

  13. حدد ⁧⁩حفظ⁧⁩.

    بعد ذلك، إنشاء شبكة فرعية لخادم حمل العمل.

  14. حدد Add subnet.

  15. لأجل Subnet name، اكتب Workload-SN.

  16. بالنسبة لـ "Subnet address range"، اكتب "10.0.2.0/24".

  17. حدد ⁧⁩إضافة⁧⁩.

  18. حدد Review + create.

  19. حدد Create.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. حدد Windows Server 2016 Datacenter.

  3. أدخل هذه القيم للجهاز الظاهري:

    إعداد القيمة
    مجموعة الموارد Test-FW-RG
    اسم الجهاز الظاهري Srv-Work
    المنطقة نفس السابقة
    صورة Windows Server 2016 Datacenter
    اسم مستخدم المسؤول اكتب اسم مستخدم
    كلمة المرور إضافة كلمة مرور

  4. في Inbound port rules، Public inbound ports، حدد None.

  5. قبول الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  11. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

ملاحظة

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في المجموعة الخلفية لموازن تحميل Azure أساسي داخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

لمزيد من المعلومات، راجع الوصول الصادر الافتراضي في Azure.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند تعيين عنوان IP عام إلى الجهاز الظاهري أو وضع الجهاز الظاهري في التجمع الخلفي لموازن تحميل قياسي، مع أو بدون قواعد صادرة. إذا تم تعيين مورد بوابة ترجمة عنوان شبكة الشبكة الظاهرية Azure (NAT) إلى الشبكة الفرعية للجهاز الظاهري، تعطيل عنوان IP الافتراضي للوصول الصادر.

لا تحتوي الأجهزة الظاهرية التي تم إنشاؤها بواسطة مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن على وصول صادر افتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع استخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

انشر جدار الحماية

توزيع جدار الحماية في VNet.

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.

  2. اكتب firewall في مربع البحث واضغط على Enter.

  3. حدد Firewall ثم حدد إنشاء.

  4. في صفحة إنشاء Firewall، استخدم الجدول التالي لتكوين جدار الحماية:

    إعداد القيمة
    الاشتراك <اشتراكك>
    مجموعة الموارد Test-FW-RG
    الاسم Test-FW01
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا
    إدارة جدار الحماية استخدم قواعد جدار الحماية (كلاسيكي) لإدارة جدار الحماية هذا
    اختر شبكة ظاهرية استخدام الموجود: Test-FW-VN
    عنوان IP العام إضافة جديد
    الاسم: fw-نقطة

  5. قبول الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  7. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد Test-FW-RG، وحدد جدار الحماية Test-FW01.

  8. لاحظ عنواني IP الخاص والعام لجدار الحماية. ستستخدم هذه العناوين لاحقاً.

إنشاء مسار افتراضي

عند إنشاء مسار للاتصال الصادر والوارد من خلال جدار الحماية ، يكفي مسار افتراضي إلى 0.0.0.0/0 مع عنوان IP الخاص بالجهاز الظاهري كقفزة تالية. سيعتني هذا بأي اتصالات صادرة وواردة للمرور عبر جدار الحماية. على سبيل المثال، إذا كان جدار الحماية يفي بمصافحة TCP ويستجيب لطلب وارد، توجيه الاستجابة إلى عنوان IP الذي أرسل حركة المرور. هذا الأمر مقصود.

ونتيجة لذلك، ليست هناك حاجة لإنشاء UDR إضافية لتضمين نطاق IP AzureFirewallSubnet. قد يؤدي ذلك إلى انقطاع الاتصالات. المسار الافتراضي الأصلي كاف.

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في القائمة المدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.
  2. ضمن الشبكات، حدد Route tables.
  3. حدد ⁧⁩إضافة⁧⁩.
  4. بالنسبة لـ "Subscription"، حدد اشتراكك.
  5. لأجل Resource group، حدد Test-FW-RG.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. لأجل Name، اكتب Firewall-route.
  8. حدد Review + create.
  9. حدد Create.

بعد اكتمال التوزيع، حدد ⁧⁩Go to resource⁧⁩.

  1. في صفحة توجيه جدار الحماية، حدد Subnets ثم حدد Associate.

  2. حدد Virtual network>Test-FW-VN.

  3. لأجل Subnet، حدد Workload-SN. تأكد من تحديد الشبكة الفرعية Workload-SN لهذا التوجيه فقط،‏ وإلا فلن يعمل جدار الحماية بشكل صحيح.

  4. حدد "OK".

  5. حدد Routes ثم حدد Add.

  6. لأجل Route name، اكتب fw-dg.

  7. بالنسبة إلى بادئة العنوان، اكتب 0.0.0.0/0.

  8. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  9. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

  10. حدد "OK".

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح Test-FW-RG، وحدد جدار الحماية Test-FW01.
  2. في صفحة Test-FW01، ضمن الإعدادات، حدد Rules (classic) .
  3. حدد علامة التبويب Application rule collection.
  4. حدد Add application rule collection.
  5. لأجل Name، اكتب App-Coll01.
  6. بالنسبة لـ " Priority"، اكتب " 200".
  7. من أجل الإجراء، حدد Allow.
  8. ضمن القواعد، FQDNs المستهدفة، لـ الاسم، اكتب Allow-Google.
  9. بالنسبة لـ " Source type"، حدد " IP address".
  10. بالنسبة لـ " Source"، اكتب " 10.0.2.0/24".
  11. لأجل Protocol:port، اكتب http, https.
  12. بالنسبة إلى FQDNS المستهدفة، اكتب www.google.com
  13. حدد ⁧⁩إضافة⁧⁩.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد علامة التبويب Network rule collection.

  2. حدد إضافة مجموعة قواعد الشبكة.

  3. لأجل Name، اكتب Net-Coll01.

  4. بالنسبة لـ " Priority"، اكتب " 200".

  5. من أجل الإجراء، حدد Allow.

  6. ضمن القواعد، عناوين IP، لـ الاسم، اكتب Allow-DNS.

  7. بالنسبة لـ Protocol، اختر UDP.

  8. بالنسبة لـ " Source type"، حدد " IP address".

  9. بالنسبة لـ " Source"، اكتب " 10.0.2.0/24".

  10. لأجل Destination type، حدد IP address.

  11. بالنسبة إلى عنوان الوجهة، اكتب 209.244.0.3,209.244.0.4

    هذه هي خوادم DNS العامة التي تديرها CenturyLink.

  12. بالنسبة لـ " Destination Ports"، اكتب " 53".

  13. حدد ⁧⁩إضافة⁧⁩.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Work من خلال جدار الحماية.

  1. حدد علامة التبويب مجموعة قواعد NAT.
  2. حدد إضافة مجموعة قواعد NAT.
  3. بالنسبة إلى Name، حدد rdp.
  4. بالنسبة لـ " Priority"، اكتب " 200".
  5. ضمن قواعد، بالنسبة لـ Name، اكتب rdp-nat.
  6. بالنسبة لـ Protocol، اختر TCP.
  7. بالنسبة لـ " Source type"، حدد " IP address".
  8. بالنسبة إلى Source، اكتب * .
  9. بالنسبة إلى عنوان الوجهة، اكتب عنوان IP العام لجدار الحماية.
  10. بالنسبة لـ " Destination Ports"، اكتب " 3389".
  11. لأجل Translated address، اكتب عنوان IP الخاص Srv-work.
  12. بالنسبة إلى المدخل المترجم، اكتب 3389.
  13. حدد ⁧⁩إضافة⁧⁩.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار، قم بتكوين عناوين DNS الأساسية والثانوية للخادم. هذا ليس مطلباً عاماً لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. اكتب 209.244.0.3 في مربع النص Add DNS server و209.244.0.4 في مربع النص التالي.
  6. حدد ⁧⁩حفظ⁧⁩.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. ربط سطح مكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول إلى الجهاز الظاهري Srv-Work.

  2. افتح Internet Explorer واذهب إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. انتقل إلى https://www.microsoft.com.

    يجب أن يتم حظرك بواسطة جدار الحماية.

حتى الآن كنت قد تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك التصفح إلى FQDN المسموح به ولكن ليس إلى أي آخرين.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لمتابعة الاختبار، أو إذا لم تعد هناك حاجة، فاحذف مجموعة موارد Test-FW-RG لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

البرنامج التعليمي: رصد سجلات جدار حماية Azure