البرنامج التعليمي: تصفية حركة الإنترنت الواردة باستخدام ترجمة عنوان الشبكة الوجهة (DNAT) لنهج Azure Firewall باستخدام مدخل Microsoft Azure

يمكنك تكوين ترجمة عنوان الشبكة الوجهة (DNAT) لنهج Azure Firewall لترجمة حركة الإنترنت الواردة وتصفيتها إلى الشبكات الفرعية. عند تكوين ترجمة عنوان الشبكة الوجهة (DNAT)، يجري تعيين إجراء مجموعة قواعد على DNAT. يمكن بعد ذلك استخدام كل قاعدة في مجموعة قواعد NAT لترجمة عنوان IP العام لجدار الحماية والمدخل إلى عنوان IP الخاص والمدخل. تضيف قواعد DNAT ضمنياً قاعدة شبكة مقابلة للسماح بحركة البيانات المترجمة. لأسباب أمنية، فإن الطريقة المُوصى بها هي إضافة مصدر إنترنت مُحدد للسماح بوصول DNAT إلى الشبكة وتجنب استخدام أحرف البدل. لمعرفة المزيد حول منطق معالجة قاعدة Azure Firewall، راجع منطق معالجة قاعدة Azure Firewall.

في هذا البرنامج التعليمي، تتعلم كيفية:

• إعداد بيئة شبكة اختبار
• نشر جدار الحماية والنهج
• إنشاء مسار افتراضي
• تكوين قاعدة DNAT
• اختبار جدار الحماية

المتطلبات الأساسية

إذا لم يكن لديك اشتراك في Azure، فأنشئ free account قبل البدء.

قم بإنشاء مجموعة موارد

1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.
2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد مجموعات الموارد، وحدد Add.
3. بالنسبة لـ "Subscription"، حدد اشتراكك.
4. بالنسبة إلى Resource group name، اكتب RG-DNAT-Test.
5. بالنسبة إلى المنطقة، حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
6. حدد Review + create.
7. حدد Create.

إعداد بيئة شبكة اختبار

في هذا البرنامج التعليمي، يمكنك إنشاء شبكتين ظاهريتين مقترنتين:

• VNet-Hub - جدار الحماية موجود في الشبكة الظاهرية هذه.
• Workload-SN - خادم عبء العمل موجود في الشبكة الظاهرية هذه.

أنشئ الشبكات الظاهرية أولاً، ثم قم بإقرانها.

إنشاء محور الشبكة الظاهرية

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر All services.

2. ضمن إنشاء الشبكات، حدد Virtual networks.

3. حدد ⁧⁩إضافة⁧⁩.

4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

5. بالنسبة إلى الاسم، اكتب VN-Hub.

6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.

7. حدد "Next: IP addresses".

8. بالنسبة إلى مساحة عنوان IPv4، اقبل الافتراضي 10.0.0.0/16.

9. ضمن اسم الشبكة الفرعية، اختر افتراضي.

10. حرر اسم الشبكة الفرعية واكتب AzureFirewallSubnet".

    جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.

    ملاحظة

    حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

11. بالنسبة لـ "Subnet address range"، اكتب "10.0.1.0/26".

12. حدد ⁧⁩حفظ⁧⁩.

13. حدد Review + create.

14. حدد Create.

إنشاء شبكة Spoke الافتراضية

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر All services.
2. ضمن إنشاء الشبكات، حدد Virtual networks.
3. حدد ⁧⁩إضافة⁧⁩.
4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
5. بالنسبة إلى الاسم، اكتب VN-Spoke.
6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.
7. حدد "Next: IP addresses".
8. بالنسبة إلى مساحة عنوان IPv4، حرر الافتراضي واكتب 192.168.0.0/16.
9. حدد Add subnet.
10. بالنسبة إلى اسم الشبكة الفرعية، اكتب SN-Workload.
11. بالنسبة لـ "Subnet address range"، اكتب "192.168.1.0/24".
12. حدد ⁧⁩إضافة⁧⁩.
13. حدد Review + create.
14. حدد Create.

نظير الشبكة الظاهرية

الآن قم بإقران الشبكتين الافتراضيتين.

1. حدد الشبكة الظاهرية VN-Hub.
2. ضمن الإعدادات، حدد Peerings.
3. حدد ⁧⁩إضافة⁧⁩.
4. ضمن هذه الشبكة الظاهرية، بالنسبة إلى Peering link name، اكتب Peer-HubSpoke.
5. Under الشبكة الظاهرية البعيدة، بالنسبة إلى Peering link name، اكتب Peer-SpokeHub.
6. حدد VN-Spoke باعتبارها شبكة ظاهرية.
7. اقبل جميع الإعدادات الافتراضية الأخرى، ثم حدد Add.

إنشاء جهاز ظاهري

أنشئ جهازاً ظاهرياً لحمل العمل، وضعه في الشبكة الفرعية Workload-SN.

1. من قائمة "مدخل Azure"، حدد Create a resource (إنشاء مورد).
2. ضمن "Popular" ، حدد "Windows Server 2016 Datacenter" .

الأساسيات

1. بالنسبة لـ "Subscription"، حدد اشتراكك.
2. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
3. بالنسبة إلى Virtual machine name، اكتب Srv-Workload.
4. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
5. اكتب اسم المستخدم وكلمة المرور.
6. حدد التالي: الأقراص.

الأقراص

1. حدد Next: Networking.

الشبكات

1. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".
2. ضمن الشبكة الفرعية، حدد SN-Workload.
3. بالنسبة لـPublic IP، اخترNone.
4. ضمن المنافذ العامة الواردة، حدد None.
5. اترك الإعدادات الافتراضية الأخرى وحدد Next: Management.

الإدارة

1. ضمن تشخيصات التمهيد، حدد تعطيل.
2. حدد "استعراض + إنشاء".

مراجعة + إنشاء

راجع الملخص، ثم حدّد Create. سيستغرق ذلك بضع دقائق لإكماله.

بعد انتهاء التوزيع، لاحظ عنوان IP الخاص للجهاز الظاهري. سيتم استخدامه لاحقاً عند تكوين جدار الحماية. حدد اسم الجهاز الظاهري، وضمن إعدادات، حدد الشبكة للعثور على عنوان IP الخاص.

نشر جدار الحماية والنهج

1. من الصفحة الرئيسية للمدخل، حدد إنشاء مورد.

2. ابحث عن Firewallثم حدد Firewall.

3. حدد Create.

4. في صفحة "Create a Firewall "، استخدم الجدول التالي لتكوين جدار الحماية:

   إعداد	القيمة
   الاشتراك	<اشتراكك>
   مجموعة الموارد	تحديد RG-DNAT-Test
   الاسم	FW-DNAT-test
   المنطقة	حدد الموقع نفسه الذي استخدمته سابقًا
   إدارة جدار الحماية	Use a Firewall Policy to manage this firewall
   نهج جدار الحماية	إضافة جديد: fw-dnat-pol منطقتك المحددة
   اختر شبكة ظاهرية	استخدم الموجود: VN-Hub
   عنوان IP العام	إضافة جديد، الاسم: fw-pip.

5. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

6. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

   يستغرق هذا الأمر بضع دقائق للنشر.

7. بعد اكتمال النشر، انتقل إلى مجموعة موارد RG-DNAT-Test، وحدد جدار الحماية FW-DNAT-test.

8. لاحظ عناوين IP الخاصة والعامة لجدار الحماية. ستستخدمها لاحقاً عند إنشاء المسار الافتراضي وقاعدة NAT.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية SN-Workload، يمكنك تكوين المسار الافتراضي الصادر للانتقال عبر جدار الحماية.

هام

لا تحتاج إلى تكوين مسار صريح مرة أخرى إلى جدار الحماية في الشبكة الفرعية الوجهة. Azure Firewall هي خدمة ذات حالة ويعالج الحزم والجلسات تلقائيا. إذا قمت بإنشاء هذا المسار، فستنشئ بيئة توجيه غير متماثلة تقاطع منطق جلسة العمل ذات الحالة الخاصة وتؤدي إلى إسقاط الحزم والاتصالات.

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر All services.

2. ضمن الشبكات، حدد Route tables.

3. حدد ⁧⁩إضافة⁧⁩.

4. بالنسبة لـ "Subscription"، حدد اشتراكك.

5. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.

7. بالنسبة إلى الاسم، اكتب RT-FW-route.

8. حدد Review + create.

9. حدد Create.

10. حدد "Go to resource".

11. حدد الشبكات الفرعية، ثم حدد Associate.

12. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".

13. ضمن الشبكة الفرعية، حدد SN-Workload.

14. حدد "OK".

15. حدد مسارات، ثم حدد إضافة.

16. بالنسبة إلى اسم المسار، اكتب fw-dg.

17. بالنسبة إلى بادئة العنوان، اكتب 0.0.0.0/0.

18. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

19. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

20. حدد "OK".

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Workload من خلال جدار الحماية.

1. افتح مجموعة الموارد RG-DNAT-Test، وحدد نهج جدار الحماية fw-dnat-pol.
2. ضمن الإعدادات، حدد قواعد DNAT.
3. حدد إضافة مجموعة قواعد.
4. بالنسبة إلى الاسم، حدد rdp.
5. بالنسبة إلى الأولوية، اكتب 200.
6. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
7. ضمن قواعد، بالنسبة لـ الاسم، اكتب rdp-nat.
8. بالنسبة إلى نوع المصدر، حدد عنوان IP.
9. بالنسبة إلى المصدر، اكتب *.
10. بالنسبة لـ Protocol، اختر TCP.
11. بالنسبة لـ "Destination Ports"، اكتب "3389".
12. بالنسبة لـ Destination Type، أدخل IP Address.
13. بالنسبة إلى الوجهة، اكتب عنوان IP العام لجدار الحماية.
14. لأجل العنوان المترجم، اكتب عنوان IP الخاص Srv-work.
15. بالنسبة إلى المدخل المترجم، اكتب 3389.
16. حدد ⁧⁩إضافة⁧⁩.

اختبار جدار الحماية

1. قم بتوصيل سطح مكتب بعيد بعنوان IP العام لجدار الحماية. يجب أن تكون متصلاً بالجهاز الظاهري Srv-Workload.
2. أغلق سطح المكتب البعيد.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لديك بالنسبة إلى البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة إلى هذا، فاحذف مجموعة الموارد RG-DNAT-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

توزيع وتكوين Azure Firewall Premium