استخدام فلاتر IP

  • مقالة
  • قراءة خلال 5 دقائق

يعد الأمان جانبا مهما من أي حل لإنترنت الأشياء يعتمد على Azure IoT Hub. في بعض الأحيان تحتاج إلى تحديد عناوين IP التي يمكن للأجهزة الاتصال منها كجزء من تكوين الأمان الخاص بك. تمكنك ميزة عامل تصفية IP من تكوين قواعد لرفض أو قبول حركة المرور من عناوين IPv4 محددة.

متى تستخدم

استخدم عامل تصفية IP لتلقي حركة المرور فقط من نطاق محدد من عناوين IP ورفض كل شيء آخر. على سبيل المثال، أنت تستخدم مركز إنترنت الأشياء الخاص بك مع Azure Express Route لإنشاء اتصالات خاصة بين مركز إنترنت الأشياء والبنية الأساسية المحلية.

الإعداد الافتراضي

للوصول إلى صفحة إعدادات عامل تصفية IP في مركز إنترنت الأشياء، حدد NetworkingPublic>access، ثم اختر نطاقات IP المحددة:

Screenshot showing how to set default IP filter settings.

بشكل افتراضي، تكون شبكة عامل تصفية IP في البوابة الإلكترونية لمركز إنترنت الأشياء فارغة. يعني هذا الإعداد الافتراضي أن الموزع الخاص بك يحظر الاتصالات من جميع عناوين IP. يعادل هذا الإعداد الافتراضي قاعدة تحظر 0.0.0.0/0 نطاق عناوين IP.

إضافة قاعدة فلتر IP أو تحريرها

لإضافة قاعدة فلتر IP، حدد + إضافة قاعدة فلتر IP. لإضافة عنوان IP الخاص بالكمبيوتر بسرعة، انقر فوق إضافة عنوان IP الخاص بالعميل.

Screenshot showing how to add an IP filter rule to an IoT hub.

بعد تحديد إضافة قاعدة عامل تصفية IP، املأ الحقول. يتم ملء هذه الحقول مسبقا لك إذا اخترت إضافة عنوان IP الخاص بالعميل.

Screenshot that shows what to do after adding an IP filter rule.

  • أدخل اسما لقاعدة عامل تصفية IP. يجب أن يكون هذا الاسم سلسلة أبجدية رقمية فريدة وغير حساسة لحالة الأحرف يصل طولها إلى 128 حرفا. يتم قبول الأحرف الأبجدية الرقمية ASCII 7 بت فقط بالإضافة إلى الأحرف الخاصة التالية: - : . + % _ # * ? ! ( ) , = @ ; '.

  • قم بتوفير عنوان IPv4 واحد أو كتلة من عناوين IP في تدوين CIDR. على سبيل المثال، في تدوين CIDR 192.168.100.0/22 يمثل عناوين IPv4 1024 من 192.168.100.0 إلى 192.168.103.255.

بعد ملء الحقول، حدد حفظ لحفظ القاعدة. يظهر لك تنبيه يعلمك بأن التحديث قيد التقدم.

Screenshot that shows notification about saving an IP filter rule.

يتم تعطيل الخيار إضافة عند الوصول إلى الحد الأقصى لقواعد تصفية IP البالغ عددها 10 قواعد.

لتحرير قاعدة موجودة، حدد البيانات التي تريد تغييرها، وقم بإجراء التغيير، ثم حدد حفظ لحفظ تعديلك.

حذف قاعدة عامل تصفية IP

لحذف قاعدة عامل تصفية IP، حدد أيقونة سلة المهملات في هذا الصف، ثم حدد حفظ. تتم إزالة القاعدة ويتم حفظ التغيير.

Screenshot showing how to delete an IoT Hub IP filter rule.

تطبيق قواعد عامل تصفية IP على نقطة النهاية المضمنة المتوافقة مع مركز الأحداث

لتطبيق قواعد عامل تصفية IP على نقطة النهاية المتوافقة مع مركز الأحداث المضمنة، حدد المربع بجوار تطبيق عوامل تصفية IP على نقطة النهاية المضمنة؟، ثم حدد حفظ.

Screenshot showing the toggle for the built-in endpoint.

ملاحظة

لا يتوفر هذا الخيار لمراكز إنترنت الأشياء (F1) المجانية. لتطبيق قواعد عامل تصفية IP على نقطة النهاية المضمنة، استخدم مركز إنترنت الأشياء المدفوع.

من خلال تمكين هذا الخيار، يتم نسخ قواعد عامل تصفية IP إلى نقطة النهاية المضمنة، بحيث يمكن فقط لنطاقات IP الموثوق بها الوصول إليها.

إذا قمت بتعطيل هذا الخيار، فستكون نقطة النهاية المضمنة متاحة لجميع عناوين IP. قد يكون هذا السلوك مفيدا إذا كنت تريد القراءة من نقطة النهاية باستخدام الخدمات ذات عناوين IP المتغيرة مثل Azure Stream Analytics.

كيفية تطبيق قواعد التصفية

يتم تطبيق قواعد عامل تصفية IP على مستوى خدمة IoT Hub. لذلك، تنطبق قواعد عامل تصفية IP على جميع الاتصالات من الأجهزة والتطبيقات الخلفية باستخدام أي بروتوكول مدعوم. يمكنك أيضا اختيار ما إذا كانت نقطة النهاية المتوافقة مع Event Hub المضمنة (وليس عبر سلسلة اتصال IoT Hub) مرتبطة بهذه القواعد.

تتلقى أي محاولة اتصال من عنوان IP غير مسموح به صراحة رمز حالة 401 غير مصرح به ووصفا. لا تذكر رسالة الاستجابة قاعدة IP. يمكن أن يؤدي رفض عناوين IP إلى منع خدمات Azure الأخرى مثل Azure Stream Analytics أو Azure Virtual Machines أو مستكشف الأجهزة في مدخل Azure من التفاعل مع مركز إنترنت الأشياء.

ملاحظة

إذا كان يجب عليك استخدام Azure Stream Analytics (ASA) لقراءة الرسائل من مركز إنترنت الأشياء مع تمكين عامل تصفية IP، فقم بتعطيل الخيار تطبيق عوامل تصفية IP على نقطة النهاية المضمنة ، ثم استخدم الاسم المتوافق مع مركز الحدث ونقطة النهاية لمركز تركيز إنترنت الأشياء لإضافة إدخال دفق مراكز الأحداث يدويا في ASA.

Ordering

قواعد تصفية IP هي قواعد السماح ويتم تطبيقها دون طلب. يسمح فقط لعناوين IP التي تضيفها بالاتصال ب IoT Hub.

على سبيل المثال، إذا كنت تريد قبول العناوين في النطاق 192.168.100.0/22 ورفض كل شيء آخر، فما عليك سوى إضافة قاعدة واحدة في الشبكة مع نطاق 192.168.100.0/22العناوين .

مدخل Azure

يتم تطبيق قواعد عامل تصفية IP أيضا عند استخدام IoT Hub من خلال مدخل Azure. وذلك لأن استدعاءات واجهة برمجة التطبيقات إلى خدمة IoT Hub تتم مباشرة باستخدام المستعرض الخاص بك مع بيانات الاعتماد الخاصة بك، وهو ما يتوافق مع خدمات Azure الأخرى. للوصول إلى IoT Hub باستخدام مدخل Azure عند تمكين عامل تصفية IP، أضف عنوان IP الخاص بالكمبيوتر إلى القائمة المسموح بها.

استرداد عوامل تصفية IP وتحديثها باستخدام Azure CLI

يمكن استرداد فلاتر IP الخاصة ب IoT Hub وتحديثها من خلال Azure CLI.

لاسترداد عوامل تصفية IP الحالية لمركز إنترنت الأشياء، قم بتشغيل:

az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs

سيؤدي ذلك إلى إرجاع كائن JSON حيث يتم سرد عوامل تصفية IP الحالية ضمن المفتاح properties.networkRuleSets :

{
...
    "properties": {
        "networkRuleSets": {
            "defaultAction": "Deny",
            "applyToBuiltInEventHubEndpoint": true,
            "ipRules": [{
                    "filterName": "TrustedFactories",
                    "action": "Allow",
                    "ipMask": "1.2.3.4/5"
                },
                {
                    "filterName": "TrustedDevices",
                    "action": "Allow",
                    "ipMask": "1.1.1.1/1"
                }
            ]
        }
    }
}

لإضافة عامل تصفية IP جديد لمركز إنترنت الأشياء، قم بتشغيل:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules "{\"action\":\"Allow\",\"filterName\":\"TrustedIP\",\"ipMask\":\"192.168.0.1\"}"

لإزالة عامل تصفية IP موجود في مركز إنترنت الأشياء، قم بتشغيل:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules <ipFilterIndexToRemove>

هنا ، <ipFilterIndexToRemove> يجب أن تتوافق مع ترتيب فلاتر IP في IoT Hub properties.networkRuleSets.ipRulesالخاص بك .

استرداد عوامل تصفية IP وتحديثها باستخدام Azure PowerShell

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

يمكن استرداد فلاتر IP الخاصة ب IoT Hub وتعيينها من خلال Azure PowerShell.

# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupNmae> -ResourceName <iotHubName> -ExpandProperties

# Access existing IP filter rules
$iothubResource.Properties.networkRuleSets.ipRules |% { Write-host $_ }

# Construct a new IP filter
$filter = @{'filterName'='TrustedIP'; 'action'='Allow'; 'ipMask'='192.168.0.1'}

# Add your new IP filter rule
$iothubResource.Properties.networkRuleSets.ipRules += $filter

# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.networkRuleSets.ipRules = @($iothubResource.Properties.networkRuleSets.ipRules | Where 'filterName' -ne 'GoodIP')

# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force

تحديث قواعد تصفية IP باستخدام REST

يمكنك أيضا استرداد عامل تصفية IP الخاص ب IoT Hub وتعديله باستخدام نقطة نهاية REST الخاصة بموفر موارد Azure. انظر properties.networkRuleSets في طريقة createorupdate.

مرشح IP (كلاسيكي) التقاعد

تم إيقاف مرشح IP الكلاسيكي. لمعرفة المزيد، راجع عامل تصفية IP الكلاسيكي ل IoT Hub وكيفية الترقية.

الخطوات التالية

لمزيد من استكشاف إمكانات IoT Hub، راجع: