Share via

تصفية حركة مرور الإنترنت الواردة باستخدام Azure Firewall DNAT باستخدام مدخل Microsoft Azure

  • مقالة

يمكنك تكوين ترجمة عنوان الشبكة الوجهة لجدار حماية Azure (DNAT) لترجمة حركة مرور الإنترنت الواردة وتصفيتها إلى الشبكات الفرعية الخاصة بك. عند تكوين DNAT، يتم تعيين إجراء مجموعة قواعد NAT على Dnat. يمكن بعد ذلك استخدام كل قاعدة في مجموعة قواعد NAT لترجمة عنوان IP العام لجدار الحماية والمدخل إلى عنوان IP الخاص والمدخل. تضيف قواعد DNAT ضمنياً قاعدة شبكة مقابلة للسماح بحركة البيانات المترجمة. لأسباب أمنية، فإن الطريقة المُوصى بها هي إضافة مصدر إنترنت مُحدد للسماح بوصول DNAT إلى الشبكة وتجنب استخدام أحرف البدل. لمعرفة المزيد عن منطق معالجة قاعدة Azure Firewall، راجع منطق معالجة قاعدة Azure Firewall.

إشعار

تستخدم هذه المقالة قواعد جدار الحماية الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام Firewall Policy. لإكمال هذا الإجراء باستخدام نهج جدار الحماية، راجع البرنامج التعليمي: تصفية حركة مرور الإنترنت الواردة باستخدام نهج Azure Firewall DNAT باستخدام مدخل Microsoft Azure

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء مجموعة موارد

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Resource groups، وحدد Create.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة إلى Resource group، اكتب RG-DNAT-Test.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
  6. حدد "Review + create".
  7. حدد إنشاء.

إعداد بيئة شبكة اختبار

بالنسبة لهذه المقالة، تقوم بإنشاء شبكة VNets ذات نظيرتين:

  • VNet-Hub - جدار الحماية موجود في الشبكة الظاهرية هذه.
  • Workload-SN - خادم عبء العمل موجود في الشبكة الظاهرية هذه.

أنشئ الشبكات الظاهرية أولاً، ثم قم بإقرانها.

إنشاء محور الشبكة الظاهرية

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

  2. ضمن إنشاء الشبكات، حدد Virtual networks.

  3. حدد إنشاء.

  4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

  5. بالنسبة إلى الاسم، اكتب VN-Hub.

  6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.

  7. حدد التالي.

  8. في علامة التبويب الأمان ، حدد التالي.

  9. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.

  10. ضمن Subnets، حدد default.

  11. بالنسبة لقالب الشبكة الفرعية، حدد Azure Firewall.

    جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.

    إشعار

    حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  12. حدد حفظ.

  13. حدد "Review + create".

  14. حدد إنشاء.

إنشاء شبكة Spoke الافتراضية

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".
  2. ضمن إنشاء الشبكات، حدد Virtual networks.
  3. حدد إنشاء.
  4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
  5. بالنسبة إلى الاسم، اكتب VN-Spoke.
  6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. بالنسبة إلى مساحة عنوان IPv4، حرر الافتراضي واكتب 192.168.0.0/16.
  10. ضمن Subnets، حدد default.
  11. بالنسبة إلى نوع اسم الشبكة الفرعية SN-Workload.
  12. بالنسبة إلى عنوان البدء، اكتب 192.168.1.0.
  13. بالنسبة لحجم الشبكة الفرعية، حدد /24.
  14. حدد حفظ.
  15. حدد "Review + create".
  16. حدد إنشاء.

نظير الشبكة الظاهرية

الآن قم بإقران الشبكتين الافتراضيتين.

  1. حدد الشبكة الظاهرية VN-Hub.
  2. ضمن الإعدادات، حدد Peerings.
  3. حدد إضافة.
  4. ضمن هذه الشبكة الظاهرية، بالنسبة إلى Peering link name، اكتب Peer-HubSpoke.
  5. Under الشبكة الظاهرية البعيدة، بالنسبة إلى Peering link name، اكتب Peer-SpokeHub.
  6. حدد VN-Spoke باعتبارها شبكة ظاهرية.
  7. اقبل جميع الإعدادات الافتراضية الأخرى، ثم حدد Add.

إنشاء جهاز ظاهري

أنشئ جهازاً ظاهرياً لحمل العمل، وضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Azure، حدد إنشاء مورد.
  2. ضمن منتجات Marketplace الشائعة، حدد Windows Server 2019 Datacenter.

الأساسيات

  1. بالنسبة لـ "Subscription"، حدد اشتراكك.
  2. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
  3. بالنسبة إلى Virtual machine name، اكتب Srv-Workload.
  4. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  5. اكتب اسم المستخدم وكلمة المرور.
  6. حدد التالي: الأقراص .

الاقراص

  1. حدد Next: Networking.

التواصل الشبكي

  1. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".
  2. ضمن الشبكة الفرعية، حدد SN-Workload.
  3. بالنسبة لـPublic IP، اخترNone.
  4. ضمن المنافذ العامة الواردة، حدد None.
  5. اترك الإعدادات الافتراضية الأخرى وحدد Next: Management.

الإدارة

  1. قم باختيار Next: Monitoring.

رصد

  1. ضمن تشخيصات التمهيد، حدد تعطيل.
  2. حدد "استعراض + إنشاء".

مراجعة + إنشاء

راجع الملخص، ثم حدّد Create. يستغرق هذا بضع دقائق حتى يكتمل.

بعد انتهاء التوزيع، لاحظ عنوان IP الخاص للجهاز الظاهري. يتم استخدامه لاحقا عند تكوين جدار الحماية. حدد اسم الجهاز الظاهري. حدد Overview، وضمن Networking لاحظ عنوان IP الخاص.

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

انشر جدار الحماية

  1. من الصفحة الرئيسية للمدخل، حدد Create a resource.

  2. ابحث عن Firewallثم حدد Firewall.

  3. حدد إنشاء.

  4. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

    الإعداد القيمة‬
    الاشتراك <اشتراكك>
    مجموعة الموارد تحديد RG-DNAT-Test
    الاسم FW-DNAT-test
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا
    جدار الحماية SKU قياسي
    Firewall management استخدام قواعد جدار الحماية (الكلاسيكي) لإدارة جدار الحماية هذا
    اختر شبكة ظاهرية استخدم الموجود: VN-Hub
    عنوان IP العام إضافة جديد، الاسم: fw-pip.

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد إنشاء لإنشاء جدار الحماية.

    يستغرق هذا الأمر بضع دقائق للنشر.

  7. بعد اكتمال النشر، انتقل إلى مجموعة موارد RG-DNAT-Test، وحدد جدار الحماية FW-DNAT-test.

  8. لاحظ عناوين IP الخاصة والعامة لجدار الحماية. ستستخدمها لاحقاً عند إنشاء المسار الافتراضي وقاعدة NAT.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية SN-Workload، يمكنك تكوين المسار الافتراضي الصادر للانتقال عبر جدار الحماية.

هام

لا تحتاج إلى تكوين مسار صريح مرة أخرى إلى جدار الحماية في الشبكة الفرعية الوجهة. Azure Firewall هو خدمة ذات حالة ويعالج الحزم والجلسات تلقائيا. إذا قمت بإنشاء هذا المسار، فستنشئ بيئة توجيه غير متماثلة تقطع منطق جلسة العمل ذات الحالة المناسبة وتؤدي إلى الحزم والاتصالات التي تم إسقاطها.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

  2. ابحث عن جدول التوجيه وحدده.

  3. حدد إنشاء.

  4. بالنسبة لـ "Subscription"، حدد اشتراكك.

  5. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

  6. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.

  7. بالنسبة إلى الاسم، اكتب RT-FWroute.

  8. حدد "Review + create".

  9. حدد إنشاء.

  10. حدد الانتقال إلى المورد.

  11. حدد الشبكات الفرعية، ثم حدد Associate.

  12. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".

  13. ضمن الشبكة الفرعية، حدد SN-Workload.

  14. حدد موافق.

  15. حدد مسارات، ثم حدد إضافة.

  16. بالنسبة إلى اسم المسار، اكتب fw-dg.

  17. بالنسبة إلى Destination type، حدد IP Addresses.

  18. بالنسبة إلى Destination IP addresses/CIDR ranges، اكتب 0.0.0.0/0.

  19. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  20. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

  21. حدد إضافة.

تكوين قاعدة NAT

  1. افتح مجموعة موارد RG-DNAT-Test، وحدد جدار الحماية FW-DNAT-test.
  2. في صفحة FW-DNAT-test، ضمن الإعدادات، حدد Rules (classic).
  3. حدد إضافة مجموعة قواعد NAT.
  4. بالنسبة للاسم " Name"، اكتب " RC-DNAT-01".
  5. لأجل Priority، اكتب 200.
  6. ضمن القواعد، لـ الاسم، اكتب RL-01.
  7. بالنسبة لـ Protocol، اختر TCP.
  8. بالنسبة لـ " Source type"، حدد " IP address".
  9. بالنسبة إلى المصدر، اكتب *.
  10. بالنسبة إلى عناوين الوجهة، اكتب عنوان IP العام لجدار الحماية.
  11. بالنسبة لـ" Destination Ports"، اكتب " 3389".
  12. بالنسبة إلى العنوان المترجم، اكتب عنوان IP الخاص للجهاز الظاهري Srv-Workload.
  13. بالنسبة إلى المدخل المترجم، اكتب 3389.
  14. حدد إضافة.

يستغرق هذا بضع دقائق حتى يكتمل.

اختبار جدار الحماية

  1. قم بتوصيل سطح مكتب بعيد بعنوان IP العام لجدار الحماية. يجب أن تكون متصلاً بالجهاز الظاهري Srv-Workload.
  2. أغلق سطح المكتب البعيد.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لإجراء مزيد من الاختبارات، أو إذا لم تعد هناك حاجة، فاحذف مجموعة موارد RG-DNAT-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

بعد ذلك، يمكنك رصد سجلات جدار حماية Azure.

البرنامج التعليمي: رصد سجلات جدار حماية Azure