مجموعات أمان الشبكات
يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة بين موارد Azure في الشبكة الظاهرية لـ Azure. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح (أو ترفض) نسبة استخدام الشبكة الوارد (أو الصادر) إلى عدة أنواع من موارد Azure. يُمكنك تحديد، لكل قاعدة أمان، مصدر ووجهة ومنفذ وبروتوكول.
توضح هذه المقالة خصائص قاعدة مجموعة أمان الشبكة وقواعد الأمان الافتراضية المطبقة وخصائص القاعدة التي يمكنك تعديلها لإنشاء قاعدة أمان معززة.
قواعد الأمان
تحتوي مجموعة أمان الشبكة على العديد من القواعد حسب الرغبة، ضمن حدود اشتراك Azure. تحدد كل قاعدة الخصائص التالية:
| الخاصية | الشرح |
|---|---|
| الاسم | اسم فريد داخل مجموعة أمان الشبكة. يمكن أن يصل طول الاسم إلى 80 حرفا. يجب أن تبدأ بحرف كلمة، ويجب أن تنتهي بحرف كلمة أو ب '_'. قد يحتوي الاسم على أحرف كلمة أو '.' أو '-' أو '_'. |
| الأولوية | رقم بين 100 و4096. تُعالج القواعد بترتيب الأولوية، إذ تٌعالج الأرقام الأقل قبل الأرقام الأعلى وذلك لأن الأرقام الأقل لها أولوية قُصوى. تتوقف المعالجة بمُجرد تطابق نسبة استخدام الشبكة مع القاعدة. نتيجة لذلك، لا تتم معالجة أي قواعد موجودة بأولويات أقل (أرقام أعلى) والتي لها نفس السمات مثل القواعد ذات الأولويات الأعلى. يتم إعطاء قواعد الأمان الافتراضية ل Azure أعلى رقم مع أدنى أولوية لضمان معالجة القواعد المخصصة دائما أولا. |
| المصدر أو الوجهة | أي منها، أو عنوان IP فردي، كتلة توجيه المجال من دون فئة (CIDR) (10.0.0.0/24 على سبيل المثال) أو علامة الخدمة أو مجموعة أمان التطبيقات. إذا حددت عنواناً لمورد Azure، فحدد عنوان IP الخاص المعين للمورد. تتم معالجة مجموعات أمان الشبكة بعد أن يترجم Azure عنوان IP عامًا إلى عنوان IP خاص لحركة المرور الواردة، وقبل أن يترجم Azure عنوان IP خاصًا إلى عنوان IP عام لحركة مرور صادرة. هناك حاجة إلى قواعد أمان أقل عند تحديد نطاق أو علامة خدمة أو مجموعة تأمين تطبيق. يُشار إلى القدرة على تحديد نطاقات وعناوين IP فردية متعددة (لا يمكنك تحديد عدة علامات خدمة أو مجموعات تطبيق) في قاعدة باسم قواعد الأمان المعززة. لا يمكن إنشاء قواعد الأمان المعززة إلا في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. لا يمكنك تحديد عدة عناوين IP ونطاقات عناوين IP في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. |
| بروتوكول | TCP أو UDP أو ICMP أو ESP أو AH أو أي شيء. بروتوكولات ESP و AH غير متوفرة حاليا عبر مدخل Microsoft Azure ولكن يمكن استخدامها عبر قوالب ARM. |
| الاتجاه | ما إذا كانت القاعدة تنطبق على نسبة الاستخدام الواردة أو الصادرة. |
| نطاق المنفذ | يمكنك تحديد منفذ فردي أو نطاق من المنافذ. على سبيل المثال، يمكنك تحديد 80 أو 10000-10005. ويتيح لك تحديد نطاقات إمكانية إنشاء قواعد أمان أقل. لا يمكن إنشاء قواعد الأمان المعززة إلا في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. لا يمكنك تحديد منافذ متعددة أو نطاقات منافذ في نفس قاعدة الأمان في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. |
| الإجراء | السماح أو الرفض |
يتم تقييم قواعد الأمان وتطبيقها بناءً على المعلومات ذات الخمس مجموعات (المصدر، ومنفذ المصدر، والوجهة، ومنفذ الوجهة، والبروتوكول). لا يمكنك إنشاء قاعدتي أمان بنفس الأولوية والاتجاه. يتم إنشاء سجل تدفق للاتصالات الموجودة. يسمح بالاتصال أو يتم رفضه استناداً إلى حالة اتصال سجل التدفق. يسمح سجل التدفق لمجموعة أمان شبكة بأن تكون إشارة حالة. إذا قمت بتحديد قاعدة أمان صادرة لأي عنوان عبر المنفذ 80، على سبيل المثال، فليس من الضروري تحديد قاعدة أمان واردة للاستجابة لنسبة استخدام الشبكة الصادرة. ما عليك سوى تحديد قاعدة أمان واردة إذا بدأ الاتصال خارجياً. والعكس صحيح أيضاً. إذا تم السماح بنسبة استخدام الشبكة الواردة عبر أحد المنافذ، فليس من الضروري تحديد قاعدة أمان صادرة للاستجابة لنسبة استخدام الشبكة عبر المنفذ.
قد لا تتم مقاطعة الاتصالات الموجودة عند إزالة قاعدة أمان سمحت بالاتصال. سيؤثر تعديل قواعد مجموعة أمان الشبكة على الاتصالات الجديدة فقط. عند إنشاء قاعدة جديدة أو تحديث قاعدة موجودة في مجموعة أمان شبكة اتصال، سيتم تطبيقها فقط على الاتصالات الجديدة. لا تتم إعادة تقييم الاتصالات الموجودة مع القواعد الجديدة.
هناك حدود لعدد قواعد الأمان التي يمكنك إنشاؤها في مجموعة أمان شبكة. للحصول على التفاصيل، راجع حدود Azure.
قواعد الأمان الافتراضية
ينشئ Azure القواعد الافتراضية التالية في كل مجموعة أمان الشبكة التي تقوم بإنشائها:
وارد
AllowVnetInbound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Any | السماح |
AllowAzureLoadBalancerInbound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | السماح |
DenyAllInBound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | Deny |
صادر
AllowVnetOutbound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Any | السماح |
AllowInternetOutbound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | الإنترنت | 0-65535 | Any | السماح |
DenyAllOutBound
| الأولوية | Source | منافذ المصدر | الوجهة | منافذ الوجهة | بروتوكول | الوصول |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | Deny |
في عمودي المصدر والوجهة، تعد VirtualNetwork وAzureLoadBalancer وInternetعلامات خدمة وليست عناوين IP. في عمود البروتوكول، يشمل أي TCP وUDP وICMP. عند إنشاء قاعدة، يمكنك تحديد TCP أو UDP أو ICMP أو أي شيء. يمثل 0.0.0.0/0 في عمودي المصدر والوجهة جميع العناوين. يمكن للعملاء مثل مدخل Microsoft Azure أو Azure CLI أو PowerShell استخدام * أو أي شيء لهذا التعبير.
لا يمكنك إزالة القواعد الافتراضية، ولكن يمكنك تجاوزها بإنشاء قواعد ذات أولويات أعلى.
قواعد الأمان المعززة
تعمل قواعد الأمان المعززة على تبسيط تعريف الأمان للشبكات الظاهرية، ما يسمح لك بتحديد سياسات أمان الشبكة الأكبر والمعقدة بعدد أقل من القواعد. يمكنك دمج منافذ متعددة ونطاقات وعناوين IP صريحة متعددة في قاعدة أمان واحدة مفهومة بسهولة. استخدم القواعد المعززة في حقول المصدر والوجهة والمنفذ الخاصة بقاعدة ما. لتبسيط صيانة تعريف قاعدة الأمان لديك، قم بدمج قواعد الأمان المعززة مع علامات الخدمة أو مجموعات أمان التطبيقات. هناك حدود لعدد العناوين والنطاقات والمنافذ التي يمكنك تحديدها في قاعدة. للحصول على التفاصيل، راجع حدود Azure.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. يساعد على تقليل تعقيد التحديثات المتكررة على قواعد أمان الشبكة.
لمزيد من المعلومات، راجع علامات خدمة Azure. للحصول على مثال حول كيفية استخدام علامة خدمة التخزين لتقييد الوصول إلى الشبكة، راجع تقييد الوصول إلى الشبكة لموارد PaaS.
مجموعات أمان التطبيقات
تتيح لك مجموعات أمان التطبيقات تكوين أمان الشبكة كامتداد طبيعي لهيكل التطبيق، ما يسمح لك بتجميع الأجهزة الظاهرية وتحديد نُهج أمان الشبكة بناءً على تلك المجموعات. يمكنك إعادة استخدام نهج الأمان الخاص بك على نطاق واسع دون الصيانة اليدوية لعناوين IP الصريحة. للتعرف على المزيد، راجع مجموعات أمان التطبيقات.
اعتبارات النظام الأساسي من Azure
بروتوكول الإنترنت الظاهري لعقدة المضيف: يتم توفير خدمات البنية التحتية الأساسية مثل DHCP وDNS وIMDS ومراقبة الصحة من خلال عنواني بروتوكول الإنترنت الظاهريين للمضيف 168.63.129.16 و169.254.169.254. تنتمي عناوين IP هذه إلى Microsoft وهي عناوين IP الظاهرية الوحيدة المستخدمة في كل المناطق لهذا الغرض. بشكل افتراضي، لا تخضع هذه الخدمات لمجموعات أمان الشبكة المكونة ما لم يتم استهدافها بواسطة علامات الخدمة الخاصة بكل خدمة. لتجاوز اتصال البنية الأساسية هذا، يمكنك إنشاء قاعدة أمان لرفض نسبة استخدام الشبكة باستخدام علامات الخدمة التالية على قواعد مجموعة أمان الشبكة: AzurePlatformDNS، AzurePlatformIMDS، AzurePlatformLKM. تعرّف على كيفية تشخيص تصفية نسبة استخدام الشبكة وتشخيص توجيه الشبكة.
الترخيص (خدمة إدارة المفاتيح): يجب ترخيص نسخ Windows التي تعمل في الأجهزة الظاهرية. لضمان الترخيص، يتم إرسال طلب إلى خوادم مضيف خدمة إدارة المفاتيح التي تتعامل مع هذه الاستعلامات. يتم تقديم الطلب الصادر من خلال المنفذ 1688. بالنسبة إلى عمليات التوزيع التي تستخدم تكوين المسار الافتراضي 0.0.0.0/0، سيتم تعطيل قاعدة النظام الأساسي هذه.
الأجهزة الظاهرية في تجمعات متوازنة التحميل: منفذ المصدر ونطاق العناوين المطبقان هما من الكمبيوتر الأصلي، وليس موازن التحميل. منفذ الوجهة ونطاق العناوين مخصصان للكمبيوتر الوجهة، وليس موازن التحميل.
مثيلات خدمة Azure: يتم توزيع مثيلات العديد من خدمات Azure، مثل HDInsight وبيئات خدمات التطبيقات ومجموعات مقاييس الجهاز الظاهري في الشبكات الفرعية للشبكة الظاهرية. للحصول على قائمة كاملة بالخدمات التي يمكنك توزيعها في الشبكات الظاهرية، راجع الشبكة الظاهرية لخدمات Azure. قبل تطبيق مجموعة أمان شبكة على الشبكة الفرعية، تعرف على متطلبات المنفذ لكل خدمة. إذا رفضت المنافذ التي تتطلبها الخدمة، فلن تعمل الخدمة بشكل صحيح.
إرسال بريد إلكتروني صادر: توصي Microsoft بأن تستخدم خدمات ترحيل SMTP المصادق عليها (عادة ما تكون متصلة عبر منفذ TCP 587، ولكن غالباً ما تكون هناك منافذ أخرى أيضاً) لإرسال بريد إلكتروني من أجهزة Azure الظاهرية. تتخصص خدمات ترحيل SMTP في سمعة المرسل، لتقليل احتمال رفض موفري البريد الإلكتروني الخارجيين للرسائل. تتضمن خدمات الترحيل عبر SMTP، على سبيل المثال لا الحصر، Exchange Online Protection وSendGrid. لا يتم تقييد استخدام خدمات ترحيل SMTP بأي حال في Azure، بغض النظر عن نوع اشتراكك.
إذا أنشأت اشتراك Azure الخاص بك قبل 15 نوفمبر 2017، بالإضافة إلى القدرة على استخدام خدمات ترحيل SMTP، يمكنك إرسال بريد إلكتروني مباشرة عبر منفذ TCP 25. إذا أنشأت اشتراكك بعد 15 نوفمبر 2017، فقد لا تتمكن من إرسال بريد إلكتروني مباشرة عبر المنفذ 25. يعتمد سلوك الاتصال الصادر عبر المنفذ 25 على نوع اشتراكك، كما يلي:
اتفاقية Enterprise: بالنسبة إلى الأجهزة الظاهرية التي يتم نشرها في اشتراكات اتفاقية Enterprise القياسية، لن يتم حظر اتصالات SMTP الصادرة على منفذ TCP 25. ومع ذلك، لا يوجد ضمان بأن المجالات الخارجية ستقبل رسائل البريد الإلكتروني الواردة من الأجهزة الظاهرية. إذا تم رفض رسائل البريد الإلكتروني الخاصة بك أو تصفيتها من قبل المجالات الخارجية، فيجب عليك الاتصال بموفري خدمات البريد الإلكتروني للمجالات الخارجية لحل المشكلات. لا يغطي دعم Azure هذه المشاكل.
بالنسبة لاشتراكات اختبار/ تطوير Enterprise، يتم حظر المنفذ 25 بشكل افتراضي. من الممكن إزالة هذه الكتلة. لطلب إزالة الكتلة، انتقل إلى قسم لا يمكن إرسال البريد الإلكتروني (SMTP-Port 25) في صفحة Diagnostic and Solve settings لمورد Azure Virtual Network في مدخل Microsoft Azure وقم بتشغيل التشخيص. سيؤدي هذا إلى استثناء اشتراكات اختبار/ تطوير Enterprise المؤهلة تلقائياً.
بعد استثناء الاشتراك من هذا الحظر وتوقف الأجهزة الظاهرية وإعادة تشغيلها، يتم استثناء جميع الأجهزة الظاهرية التابعة لهذا الاشتراك من العمل. ينطبق الاستثناء على كل من الاشتراك المطلوب وحركة مرور الأجهزة الظاهرية التي يتم توجيهها مباشرةً إلى الإنترنت فقط.
الدفع أولاً بأول: يتم حظر اتصال المنفذ الصادر 25 من كل الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
MSDN وAzure Pass وAzure في Open و Education و Free trial: تم حظر اتصال المنفذ الصادر 25 من جميع الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
موفر خدمة السحابة: يتم حظر اتصال المنفذ الصادر 25 من كل الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
الخطوات التالية
- للتعرف على موارد Azure التي يمكن نشرها في شبكة ظاهرية ولديها مجموعات أمان شبكة مقترنة بها، راجع تكامل الشبكة الظاهرية لخدمات Azure
- لمعرفة كيفية تقييم نسبة استخدام الشبكة باستخدام مجموعات أمان الشبكة، راجع كيفية عمل مجموعات أمان الشبكة.
- إذا كنت لم تقم أبداً بإنشاء مجموعة أمان شبكة، يمكنك إكمال برنامج تعليمي سريع لاكتساب بعض الخبرة في إنشاء واحدة.
- إذا كنت معتاداً على مجموعات أمان الشبكة وتحتاج إلى إدارتها، فراجع إدارة مجموعة أمان شبكة.
- إذا كنت تواجه مشاكل في الاتصال وتحتاج إلى استكشاف أخطاء مجموعات أمان الشبكة وإصلاحها، فراجع تشخيص مشكلة عامل تصفية حركة نسبة استخدام الشبكة على جهاز ظاهري.
- تعرّف على كيفية تمكين سجلات تدفق مجموعة أمان الشبكة لتحليل نسبة استخدام الشبكة من وإلى الموارد التي لديها مجموعة أمان شبكة اتصال مقترَنة.