مشاركة عبر

حماية منافذ الشبكة عالية المخاطر باستخدام قواعد مسؤول الأمان في Azure Virtual Network Manager

  • مقالة

في هذه المقالة، ستتعلم حظر منافذ الشبكة عالية المخاطر باستخدام Azure Virtual Network Manager وقواعد مسؤول الأمان. يمكنك الاطلاع على إنشاء مثيل Azure Virtual Network Manager، وتجميع الشبكات الظاهرية (VNets) مع مجموعات الشبكات، وإنشاء تكوينات مسؤول الأمان ونشرها لمؤسستك. يمكنك نشر قاعدة كتلة عامة للمنافذ عالية المخاطر. ثم تقوم بإنشاء قاعدة استثناء لإدارة VNet لتطبيق معين باستخدام مجموعات أمان الشبكة.

بينما تركز هذه المقالة على منفذ واحد، SSH، يمكنك حماية أي منافذ عالية المخاطر في بيئتك بنفس الخطوات. لمعرفة المزيد، راجع هذه القائمة من المنافذ عالية المخاطر

هام

يتوفر Azure Virtual Network Manager بشكل عام لتكوينات اتصال النظام المحوري وتكوينات الأمان مع قواعد مسؤول الأمان. تظل تكوينات اتصال الشبكة قيد المعاينة.

يجري توفير إصدار المعاينة هذا دون اتفاقية على مستوى الخدمة، ولا نوصي باستخدامه لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

المتطلبات الأساسية

نشر بيئة الشبكة الظاهرية

تحتاج إلى بيئة شبكة ظاهرية تتضمن شبكات ظاهرية يمكن فصلها للسماح بحركة مرور شبكة معينة وحظرها. يمكنك استخدام الجدول التالي أو التكوين الخاص بك للشبكات الظاهرية:

الاسم مساحة العنوان IPv4 الشبكه الفرعيه
vnetA-gen 10.0.0.0/16 الافتراضي - 10.0.0.0/24
vnetB-gen 10.1.0.0/16 الافتراضي - 10.1.0.0/24
vnetC-gen 10.2.0.0/16 الافتراضي - 10.2.0.0/24
vnetD-app 10.3.0.0/16 الافتراضي - 10.3.0.0/24
vnetE-app 10.4.0.0/16 الافتراضي - 10.4.0.0/24
  • ضع جميع الشبكات الظاهرية في نفس الاشتراك والمنطقة ومجموعة الموارد

هل أنت غير متأكد من كيفية إنشاء شبكة ظاهرية؟ تعرف على المزيد في التشغيل السريع: إنشاء شبكة ظاهرية باستخدام مدخل Microsoft Azure.

إنشاء مثيل إدارة شبكة ظاهرية

في هذا القسم، يمكنك نشر مثيل إدارة الشبكة الظاهرية مع ميزة مسؤول الأمان في مؤسستك.

  1. حدد + إنشاء مورد والبحث عن إدارة الشبكة. ثم حدد إنشاء لبدء إعداد إدارة الشبكة الظاهرية Azure.

  2. في علامة التبويب Basics ، أدخل المعلومات لمؤسستك أو حددها:

    لقطة شاشة لصفحة إنشاء أساسيات مدير الشبكة.

    الإعداد القيمة‬
    الاشتراك حدد الاشتراك الذي تريد نشر إدارة الشبكة الظاهرية لـ Azure إليه.
    مجموعة الموارد حدد أو أنشئ مجموعة موارد لتخزين إدارة الشبكة الظاهرية Azure. يستخدم هذا المثال myAVNMResourceGroup التي تم إنشاؤها مسبقا.
    الاسم أدخل اسما لمثيل إدارة الشبكة الظاهرية Azure هذا. يستخدم هذا المثال اسم myAVNM.
    المنطقة حدد المنطقة لهذا التوزيع. يمكن إدارة شبكة الاتصال الظاهري Azure إدارة الشبكات الظاهرية في أي منطقة. المنطقة المحددة هي حيث سيتم نشر مثيل إدارة الشبكة الظاهرية.
    ‏‏الوصف (اختياري) قدم وصفا حول مثيل Virtual Network Manager والمهمة التي يديرها.
    النطاق تحديد النطاق الذي يمكن إدارة شبكة الاتصال الظاهري Azure. يستخدم هذا المثال نطاق مستوى الاشتراك.
    الميزات حدد الميزات التي تريد تمكينها لإدارة الشبكة الظاهرية Azure. الميزات المتوفرةهي الاتصال أو SecurityAdminأو تحديد الكل.
    الاتصال ivity - تمكن القدرة على إنشاء شبكة كاملة أو مركز وطوبولوجيا شبكة محورية بين الشبكات الظاهرية داخل النطاق.
    الأمان مسؤول - تمكين القدرة على إنشاء قواعد أمان الشبكة العمومية.

  3. حدد مراجعة + إنشاء ثم حدد إنشاء بمجرد النجاح في التحقق من الصحة.

  4. حدد Go to resource عند اكتمال النشر ومراجعة تكوين إدارة الشبكة الظاهرية

إنشاء مجموعة شبكة لجميع الشبكات الظاهرية

مع إنشاء مدير الشبكة الظاهرية، يمكنك الآن إنشاء مجموعة شبكة تحتوي على جميع الشبكات الظاهرية في المؤسسة، ويمكنك إضافة جميع الشبكات الظاهرية يدويا.

  1. حدد مجموعات الشبكة، ضمن الإعدادات.
  2. حدد + إنشاء، وأدخل اسمالمجموعة الشبكة، وحدد إضافة.
  3. في صفحة مجموعات الشبكة، حدد مجموعة الشبكة التي أنشأتها.
  4. حدد Add، ضمن Static Membership لإضافة جميع VNets يدويا.
  5. في صفحة إضافة أعضاء ثابتين ، حدد جميع الشبكات الظاهرية التي ترغب في تضمينها، وحدد إضافة. لقطة شاشة لصفحة إضافة أعضاء ثابتين تعرض التحديد اليدوي للشبكات الظاهرية.

إنشاء تكوين مسؤول أمان لجميع الشبكات الظاهرية

حان الوقت لإنشاء قواعد مسؤول الأمان الخاصة بنا ضمن تكوين من أجل تطبيق هذه القواعد على جميع الشبكات الظاهرية داخل مجموعة الشبكة الخاصة بك في وقت واحد. في هذا القسم، يمكنك إنشاء تكوين مسؤول أمان. ثم تقوم بإنشاء مجموعة قواعد وإضافة قواعد لمنافذ عالية المخاطر مثل SSH أو RDP. يرفض هذا التكوين حركة مرور الشبكة إلى كافة الشبكات الظاهرية في مجموعة الشبكة.

  1. ارجع إلى مورد إدارة الشبكة الظاهرية.

  2. حدد Configurations ضمن الإعدادات ثم حدد + Create.

    لقطة شاشة لإضافة تكوين مسؤول أمان.

  3. حدد Security configuration من القائمة المنسدلة.

    لقطة شاشة لإضافة قائمة منسدلة للتكوين.

  4. في علامة التبويب Basics ، أدخل Name لتحديد تكوين الأمان هذا وحدد Next: Rule collections.

    لقطة شاشة لحقل اسم تكوين الأمان.

  5. حدد + إضافة من صفحة إضافة تكوين أمان.

  6. أدخل اسمالتعريف مجموعة القواعد هذه ثم حدد مجموعات الشبكة المستهدفة التي تريد تطبيق مجموعة القواعد عليها. المجموعة المستهدفة هي مجموعة الشبكة التي تحتوي على جميع الشبكات الظاهرية.

    لقطة شاشة لاسم مجموعة القواعد ومجموعات الشبكة المستهدفة.

إضافة قاعدة أمان لرفض نسبة استخدام الشبكة عالية المخاطر

في هذا القسم، يمكنك تعريف قاعدة الأمان لمنع نسبة استخدام الشبكة عالية المخاطر لجميع الشبكات الظاهرية. عند تعيين الأولوية، ضع في اعتبارك قواعد الاستثناء المستقبلية. تعيين الأولوية بحيث يتم تطبيق قواعد الاستثناء على هذه القاعدة.

  1. حدد + Add ضمن Security admin rules.

    لقطة شاشة لإضافة زر قاعدة.

  2. أدخل المعلومات المطلوبة لتعريف قاعدة الأمان، ثم حدد إضافة لإضافة القاعدة إلى مجموعة القواعد.

    لقطة شاشة لإضافة صفحة قواعد.

    الإعداد القيمة‬
    الاسم أدخل اسم قاعدة.
    ‏‏الوصف أدخل وصفا حول القاعدة.
    الاولويه* أدخل قيمة بين 1 و4096 لتحديد أولوية القاعدة. كلما انخفضت القيمة، زادت الأولوية.
    العمل* حدد رفض لحظر نسبة استخدام الشبكة. لمزيد من المعلومات، راجع الإجراء
    الاتجاه* حدد الوارد كما تريد رفض نسبة استخدام الشبكة الواردة باستخدام هذه القاعدة.
    البروتوكول* حدد بروتوكول الشبكة للمنفذ.
    Source
    نوع المصدر حدد نوع المصدر إما لعنوان IP أو علامات الخدمة.
    مصدر عناوين IP يظهر هذا الحقل عند تحديد نوع المصدر لعنوان IP. أدخل عنوان IPv4 أو IPv6 أو نطاق باستخدام رمز CIDR. عند تعريف أكثر من عنوان واحد أو كتل عناوين منفصلة باستخدام فاصلة. اتركه فارغا لهذا المثال.
    علامة خدمة المصدر يظهر هذا الحقل عند تحديد نوع المصدر لعلامة الخدمة. حدد علامة (علامات) الخدمة للخدمات التي تريد تحديدها كمصدر. راجع علامات الخدمة المتوفرة، للحصول على قائمة العلامات المدعومة.
    منفذ المصدر أدخل رقم منفذ واحد أو نطاق منفذ مثل (1024-65535). عند تعريف أكثر من منفذ أو نطاق منفذ واحد، افصلهما باستخدام فاصلة. لتحديد أي منفذ، أدخل *. اتركه فارغا لهذا المثال.
    الوجهه
    نوع الوجهة حدد نوع الوجهة إما لعنوان IP أو علامات الخدمة.
    عناوين IP لموفر الوجهة يظهر هذا الحقل عند تحديد نوع الوجهة لعنوان IP. أدخل عنوان IPv4 أو IPv6 أو نطاق باستخدام رمز CIDR. عند تعريف أكثر من عنوان واحد أو كتل عناوين منفصلة باستخدام فاصلة.
    علامة خدمة الوجهة يظهر هذا الحقل عند تحديد نوع الوجهة لعلامة الخدمة. حدد علامة (علامات) الخدمة للخدمات التي تريد تحديدها كوجهة. راجع علامات الخدمة المتوفرة، للحصول على قائمة العلامات المدعومة.
    منفذ الوجهة أدخل رقم منفذ واحد أو نطاق منفذ مثل (1024-65535). عند تعريف أكثر من منفذ أو نطاق منفذ واحد، افصلهما باستخدام فاصلة. لتحديد أي منفذ، أدخل *. أدخل 3389 لهذا المثال.

  3. كرر الخطوات من 1 إلى 3 مرة أخرى إذا كنت تريد إضافة المزيد من القواعد إلى مجموعة القواعد.

  4. بمجرد أن تكون راضيا عن جميع القواعد التي تريد إنشاؤها، حدد إضافة لإضافة مجموعة القواعد إلى تكوين مسؤول الأمان.

    لقطة شاشة لمجموعة قواعد.

  5. ثم حدد Review + Create and Create لإكمال تكوين الأمان.

نشر تكوين مسؤول أمان لحظر حركة مرور الشبكة

في هذا القسم، تسري القواعد التي تم إنشاؤها عند نشر تكوين مسؤول الأمان.

  1. حدد Deployments ضمن الإعدادات، ثم حدد Deploy configuration.

    لقطة شاشة لنشر زر تكوين.

  2. حدد خانة الاختيار تضمين مسؤول الأمان في حالة هدفك واختر تكوين الأمان الذي أنشأته في القسم الأخير من القائمة المنسدلة. ثم اختر المنطقة (المناطق) التي ترغب في نشر هذا التكوين إليها.

    لقطة شاشة لنشر صفحة تكوين أمان.

  3. حدد Next و Deployلنشر تكوين مسؤول الأمان.

إنشاء مجموعة شبكة لقاعدة استثناء نسبة استخدام الشبكة

مع حظر حركة المرور عبر جميع الشبكات الظاهرية الخاصة بك، تحتاج إلى استثناء للسماح بنسبة استخدام الشبكة إلى شبكات ظاهرية معينة. يمكنك إنشاء مجموعة شبكة اتصال خصيصا للشبكات الظاهرية التي تحتاج إلى الاستبعاد من قاعدة مسؤول الأمان الأخرى.

  1. من مدير الشبكة الظاهرية، حدد مجموعات الشبكة، ضمن الإعدادات.
  2. حدد + Create، وأدخل اسمالمجموعة شبكة التطبيق، وحدد Add.
  3. ضمن تعريف العضوية الديناميكية، حدد تعريف.
  4. أدخل القيم أو حددها للسماح بحركة المرور إلى الشبكة الظاهرية للتطبيق الخاص بك. لقطة شاشة لصفحة تعريف مجموعة الشبكة مع شرط لتحديد الشبكات الظاهرية لعضوية المجموعة.
  5. حدد معاينة الموارد لمراجعة الشبكات الظاهرية الفعالة المضمنة، وحدد إغلاق. لقطة شاشة لصفحة الشبكات الظاهرية الفعالة التي تعرض الشبكات الظاهرية المضمنة ديناميكيا في مجموعة الشبكة.
  6. حدد حفظ.

إنشاء قاعدة ومجموعة مسؤول أمان استثناء نسبة استخدام الشبكة

في هذا القسم، يمكنك إنشاء مجموعة قواعد جديدة وقاعدة مسؤول أمان تسمح بنسبة استخدام الشبكة عالية المخاطر إلى المجموعة الفرعية من الشبكات الظاهرية التي قمت بتعريفها على أنها استثناءات. بعد ذلك، يمكنك إضافته إلى تكوين مسؤول الأمان الحالي.

هام

لكي تسمح قاعدة مسؤول الأمان الخاصة بك بحركة المرور إلى الشبكات الظاهرية للتطبيق الخاص بك، يجب تعيين الأولوية إلى عدد أقل من القواعد الموجودة التي تمنع حركة المرور.

على سبيل المثال، تحتوي قاعدة الشبكة التي تحظر SSH على أولوية 10 بحيث يجب أن يكون لقاعدة السماح أولوية من 1 إلى 9.

  1. من مدير الشبكة الظاهرية، حدد التكوينات وحدد تكوين الأمان الخاص بك.
  2. حدد Rule collections ضمن الإعدادات، ثم حدد + Create لإنشاء مجموعة قواعد جديدة.
  3. في صفحة إضافة مجموعة قواعد، أدخل اسما لمجموعة قواعد التطبيق واختر مجموعة شبكة التطبيق التي أنشأتها.
  4. ضمن Security admin rules، حدد + Add.
  5. أدخل القيم أو حددها للسماح بنسبة استخدام شبكة معينة إلى مجموعة شبكة التطبيق، وحدد إضافة عند اكتمالها.
  6. كرر عملية إضافة قاعدة لكافة نسبة استخدام الشبكة التي تحتاج إلى استثناء.
  7. حدد حفظ عند الانتهاء.

إعادة نشر تكوين مسؤول الأمان مع قاعدة الاستثناء

لتطبيق مجموعة القواعد الجديدة، يمكنك إعادة نشر تكوين مسؤول الأمان الخاص بك نظرا لأنه تم تعديله عن طريق إضافة مجموعة قواعد.

  1. من مدير الشبكة الظاهرية، حدد Configurations.
  2. حدد تكوين مسؤول الأمان وحدد Deploy
  3. في صفحة Deploy Configuration ، حدد جميع المناطق المستهدفة التي تتلقى التوزيع و
  4. حدد Next and Deploy.

الخطوات التالية