مجموعات أمان الشبكة
يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة من موارد Azure وإليها في الشبكة الظاهرية لـ Azure. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح (أو ترفض) نسبة استخدام الشبكة الوارد (أو الصادر) إلى عدة أنواع من موارد Azure. يُمكنك تحديد، لكل قاعدة أمان، مصدر ووجهة ومنفذ وبروتوكول.
توضح هذه المقالة خصائص قاعدة مجموعة أمان شبكة وقواعد الأمان الافتراضية التي يتم تطبيقها وخصائص القاعدة التي يمكنك تعديلها لإنشاء قاعدة أمان معززة.
قواعد الأمان
تحتوي مجموعة أمان الشبكة على قواعد الأمان التي تحتاجها بقدر ما ترغب به، أو قد لا تحتوي على أي قاعدة أمان، وذلك ضمن حدود اشتراك Azure. تحدد كل قاعدة الخصائص التالية:
| الخاصية | التوضيح |
|---|---|
| الاسم | اسم فريد داخل مجموعة أمان الشبكة. |
| أولوية | رقم بين 100 و4096. تُعالج القواعد بترتيب الأولوية، إذ تٌعالج الأرقام الأقل قبل الأرقام الأعلى وذلك لأن الأرقام الأقل لها أولوية قُصوى. تتوقف المعالجة بمُجرد تطابق نسبة استخدام الشبكة مع القاعدة. ونتيجة لذلك، لا تتم معالجة أية قواعد موجودة ذات أولويات أقل (أرقام أعلى) والتي لها نفس سمات القواعد ذات الأولويات القُصوى. |
| المصدر أو الوجهة | أي منها، أو عنوان IP فردي، كتلة توجيه المجال من دون فئة (CIDR) (10.0.0.0/24 على سبيل المثال) أو علامة الخدمة أو مجموعة أمان التطبيقات. إذا حددت عنواناً لمورد Azure، فحدد عنوان IP الخاص المعين للمورد. تتم معالجة مجموعات أمان الشبكة بعد أن يترجم Azure عنوان IP عامًا إلى عنوان IP خاص لحركة المرور الواردة، وقبل أن يترجم Azure عنوان IP خاصًا إلى عنوان IP عام لحركة مرور صادرة. إن تحديد نطاق، أو علامة خدمة، أو مجموعة أمان التطبيق، يمكّنك من إنشاء قواعد أمان أقل. يُشار إلى القدرة على تحديد عناوين ونطاقات IP فردية متعددة (لا يمكنك تحديد علامات خدمة أو مجموعات تطبيقات متعددة) في قاعدة باسم قواعد الأمان المعززة. لا يمكن إنشاء قواعد الأمان المعززة إلا في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. لا يمكنك تحديد عناوين IP متعددة ونطاقات عناوين IP في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. |
| البروتوكول | TCP أو UDP أو ICMP أو ESP أو AH أو أي شيء. |
| الاتجاه | ما إذا كانت القاعدة تنطبق على نسبة الاستخدام الواردة أو الصادرة. |
| نطاق المنفذ | يمكنك تحديد منفذ فردي أو نطاق من المنافذ. على سبيل المثال، يمكنك تحديد 80 أو 10000-10005. ويتيح لك تحديد نطاقات إمكانية إنشاء قواعد أمان أقل. لا يمكن إنشاء قواعد الأمان المعززة إلا في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. لا يمكنك تحديد منافذ أو نطاقات منافذ متعددة في قاعدة الأمان نفسها في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. |
| إجراء | السماح أو الرفض |
تُقيّم قواعد أمان مجموعة أمان الشبكة حسب الأولوية، باستخدام معلومات من خمس مجموعات (المصدر، منفذ المصدر، الوجهة، منفذ الوجهة، البروتوكول) للسماح بنسبة استخدام الشبكة أو رفضها. لا يجوز لك إنشاء قاعدتي أمان بالأولوية والاتجاه نفسيهما. يتم إنشاء سجل تدفق للاتصالات الموجودة. يسمح بالاتصال أو يتم رفضه استناداً إلى حالة اتصال سجل التدفق. يسمح سجل التدفق لمجموعة أمان شبكة بأن تكون إشارة حالة. إذا قمت بتحديد قاعدة أمان صادرة لأي عنوان عبر المنفذ 80، على سبيل المثال، فليس من الضروري تحديد قاعدة أمان واردة للاستجابة لنسبة استخدام الشبكة الصادرة. ما عليك سوى تحديد قاعدة أمان واردة إذا بدأ الاتصال خارجياً. والعكس صحيح أيضاً. إذا تم السماح بنسبة استخدام الشبكة الواردة عبر أحد المنافذ، فليس من الضروري تحديد قاعدة أمان صادرة للاستجابة لنسبة استخدام الشبكة عبر المنفذ.
قد لا تتم مقاطعة الاتصالات الموجودة عند إزالة قاعدة أمان مكّنت التدفق. تنقطع تدفقات نسبة استخدام الشبكة عند توقف الاتصالات وعدم تدفق أي حركة مرور في أي من الاتجاهين، لبضع دقائق على الأقل.
هناك حدود لعدد قواعد الأمان التي يمكنك إنشاؤها في مجموعة أمان شبكة. للحصول على التفاصيل، راجع حدود Azure.
قواعد الأمان الافتراضية
ينشئ Azure القواعد الافتراضية التالية في كل مجموعة أمان الشبكة التي تقوم بإنشائها:
الوارد
AllowVnetInbound
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | أي | السماح |
AllowAzureLoadBalancerInbound
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | أي | السماح |
DenyAllInBound
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | أي | رفض |
الصادر
AllowVnetOutbound
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | أي | السماح |
AllowInternetOutbound
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | الإنترنت | 0-65535 | أي | السماح |
الرفض
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | أي | رفض |
في عمودي المصدر والوجهة، تعد VirtualNetwork وAzureLoadBalancer وInternetعلامات خدمة وليست عناوين IP. في عمود البروتوكول، يشمل أي TCP وUDP وICMP. عند إنشاء قاعدة، يمكنك تحديد TCP أو UDP أو ICMP أو أي شيء. يمثل 0.0.0.0/0 في عمودي المصدر والوجهة جميع العناوين. يمكن للعملاء مثل مدخل Microsoft Azure أو Azure CLI أو PowerShell استخدام * أو أي شيء لهذا التعبير.
لا يمكنك إزالة القواعد الافتراضية، ولكن يمكنك تجاوزها عن طريق إنشاء قواعد ذات أولويات أعلى.
قواعد الأمان المعززة
تعمل قواعد الأمان المعززة على تبسيط تعريف الأمان للشبكات الظاهرية، ما يسمح لك بتحديد سياسات أمان الشبكة الأكبر والمعقدة بعدد أقل من القواعد. يمكنك دمج منافذ متعددة ونطاقات وعناوين IP صريحة متعددة في قاعدة أمان واحدة مفهومة بسهولة. استخدم القواعد المعززة في حقول المصدر والوجهة والمنفذ الخاصة بقاعدة ما. لتبسيط صيانة تعريف قاعدة الأمان لديك، قم بدمج قواعد الأمان المعززة مع علامات الخدمة أو مجموعات أمان التطبيقات. هناك حدود لعدد العناوين والنطاقات والمنافذ التي يمكنك تحديدها في قاعدة. للحصول على التفاصيل، راجع حدود Azure.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. يساعد على تقليل تعقيد التحديثات المتكررة على قواعد أمان الشبكة.
لمزيد من المعلومات، راجع علامات خدمة Azure. للحصول على مثال حول كيفية استخدام علامة خدمة التخزين لتقييد الوصول إلى الشبكة، راجع تقييد الوصول إلى الشبكة لموارد PaaS.
مجموعات أمان التطبيقات
تتيح لك مجموعات أمان التطبيقات تكوين أمان الشبكة كامتداد طبيعي لهيكل التطبيق، ما يسمح لك بتجميع الأجهزة الظاهرية وتحديد نُهج أمان الشبكة بناءً على تلك المجموعات. يمكنك إعادة استخدام نهج الأمان الخاص بك على نطاق واسع دون الصيانة اليدوية لعناوين IP الصريحة. للتعرف على المزيد، راجع مجموعات أمان التطبيقات.
اعتبارات النظام الأساسي من Azure
بروتوكول الإنترنت الظاهري لعقدة المضيف: يتم توفير خدمات البنية التحتية الأساسية مثل DHCP وDNS وIMDS ومراقبة الصحة من خلال عنواني بروتوكول الإنترنت الظاهريين للمضيف 168.63.129.16 و169.254.169.254. تنتمي عناوين IP هذه إلى Microsoft وهي عناوين IP الظاهرية الوحيدة المستخدمة في كل المناطق لهذا الغرض. لن تتضمن قواعد الأمان الفعالة والمسارات الفعالة قواعد النظام الأساسي هذه. لتجاوز اتصال البنية الأساسية هذا، يمكنك إنشاء قاعدة أمان لرفض نسبة استخدام الشبكة باستخدام علامات الخدمة التالية على قواعد مجموعة أمان الشبكة: AzurePlatformDNS، AzurePlatformIMDS، AzurePlatformLKM. تعرّف على كيفية تشخيص تصفية نسبة استخدام الشبكة وتشخيص توجيه الشبكة.
الترخيص (خدمة إدارة المفاتيح): يجب ترخيص نسخ Windows التي تعمل في الأجهزة الظاهرية. لضمان الترخيص، يتم إرسال طلب إلى خوادم مضيف خدمة إدارة المفاتيح التي تتعامل مع هذه الاستعلامات. يتم تقديم الطلب الصادر من خلال المنفذ 1688. بالنسبة إلى عمليات التوزيع التي تستخدم تكوين المسار الافتراضي 0.0.0.0/0، سيتم تعطيل قاعدة النظام الأساسي هذه.
الأجهزة الظاهرية في تجمعات متوازنة التحميل: منفذ المصدر ونطاق العناوين المطبقان هما من الكمبيوتر الأصلي، وليس موازن التحميل. منفذ الوجهة ونطاق العناوين مخصصان للكمبيوتر الوجهة، وليس موازن التحميل.
مثيلات خدمة Azure: يتم توزيع مثيلات العديد من خدمات Azure، مثل HDInsight وبيئات خدمات التطبيقات ومجموعات مقاييس الجهاز الظاهري في الشبكات الفرعية للشبكة الظاهرية. للحصول على قائمة كاملة بالخدمات التي يمكنك توزيعها في الشبكات الظاهرية، راجع الشبكة الظاهرية لخدمات Azure. تأكد من التعرف على متطلبات المنفذ لكل خدمة قبل تطبيق مجموعة أمان شبكة على الشبكة الفرعية التي يتم توزيع المورد فيها. إذا رفضت المنافذ التي تتطلبها الخدمة، لا تعمل الخدمة بشكل صحيح.
إرسال بريد إلكتروني صادر: توصي Microsoft بأن تستخدم خدمات ترحيل SMTP المصادق عليها (عادة ما تكون متصلة عبر منفذ TCP 587، ولكن غالباً ما تكون هناك منافذ أخرى أيضاً) لإرسال بريد إلكتروني من أجهزة Azure الظاهرية. تتخصص خدمات ترحيل SMTP في سمعة المرسل، لتقليل احتمال رفض موفري البريد الإلكتروني الخارجيين للرسائل. تشمل خدمات ترحيل SMTP هذه، على سبيل المثال لا الحصر، Exchange Online Protection وSendGrid. لا يتم تقييد استخدام خدمات ترحيل SMTP بأي حال في Azure، بغض النظر عن نوع اشتراكك.
إذا أنشأت اشتراك Azure الخاص بك قبل 15 نوفمبر 2017، بالإضافة إلى القدرة على استخدام خدمات ترحيل SMTP، يمكنك إرسال بريد إلكتروني مباشرة عبر منفذ TCP 25. إذا أنشأت اشتراكك بعد 15 نوفمبر 2017، فقد لا تتمكن من إرسال بريد إلكتروني مباشرة عبر المنفذ 25. يعتمد سلوك الاتصال الصادر عبر المنفذ 25 على نوع اشتراكك، كما يلي:
- اتفاقية Enterprise: مسموح باتصال منفذ الصادر 25. يمكنك إرسال بريد إلكتروني صادر مباشرة من الأجهزة الظاهرية إلى موفري البريد الإلكتروني الخارجيين، دون أي قيود من نظام Azure الأساسي.
- الدفع أولاً بأول: يتم حظر اتصال المنفذ الصادر 25 من كل الموارد. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهاز ظاهري مباشرة إلى موفري البريد الإلكتروني الخارجيين (دون استخدام ترحيل SMTP مصادق عليه)، يمكنك تقديم طلب لإزالة القيد. تتم مراجعة الطلبات والموافقة عليها وفقاً لتقدير Microsoft ولا يتم منحها إلا بعد إجراء فحوصات مكافحة الاحتيال. لتقديم طلب، افتح حالة دعم بنوع المشكلة فنية، اتصالية الشبكة الظاهرية، لا يمكن إرسال بريد إلكتروني (SMTP/المنفذ 25). في حالة دعمك، قم بتضمين تفاصيل حول سبب حاجة اشتراكك إلى إرسال بريد إلكتروني مباشرة إلى موفري البريد، بدلاً من التعرض لترحيل SMTP مصادق عليه. إذا تم إعفاء اشتراكك، فلن تتمكن سوى الأجهزة الظاهرية التي تم إنشاؤها بعد تاريخ الإعفاء من إجراء الاتصال الصادر عبر المنفذ 25.
- MSDN وAzure Pass وAzure in Open وEducation وBizSpark والإصدار التجريبي المجاني: يتم حظر اتصال المنفذ الصادر 25 من كل الموارد. لا يمكن تقديم أي طلبات لإزالة القيد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
- موفر خدمة السحابة: يمكن للعملاء الذين يستهلكون موارد Azure عبر موفر خدمة سحابة إنشاء حالة دعم مع مزود الخدمة السحابية الخاص بهم، وطلب إنشاء حالة إلغاء حظر نيابة عنهم من الموفر، إذا تعذر استخدام ترحيل SMTP آمن.
إذا كان Azure يسمح لك بإرسال بريد إلكتروني عبر المنفذ 25، فلا تستطيع Microsoft أن تضمن قبول موفري البريد الإلكتروني للبريد الإلكتروني الوارد من جهازك الظاهري. إذا رفض موفر معين بريداً من جهازك الظاهري، فاعمل مباشرة مع الموفر لحل أي مشاكل تتعلق بتسليم أي رسائل أو مشاكل تصفية الرسائل غير المرغوب فيها، أو استخدم خدمة ترحيل SMTP مصادق عليها.
الخطوات التالية
- للتعرف على موارد Azure التي يمكن نشرها في شبكة ظاهرية ولديها مجموعات أمان شبكة مقترنة بها، راجع تكامل الشبكة الظاهرية لخدمات Azure
- لمعرفة كيفية تقييم نسبة استخدام الشبكة باستخدام مجموعات أمان الشبكة، راجع كيفية عمل مجموعات أمان الشبكة.
- إذا كنت لم تقم أبداً بإنشاء مجموعة أمان شبكة، يمكنك إكمال برنامج تعليمي سريع لاكتساب بعض الخبرة في إنشاء واحدة.
- إذا كنت معتاداً على مجموعات أمان الشبكة وتحتاج إلى إدارتها، فراجع إدارة مجموعة أمان شبكة.
- إذا كنت تواجه مشاكل في الاتصال وتحتاج إلى استكشاف أخطاء مجموعات أمان الشبكة وإصلاحها، فراجع تشخيص مشكلة عامل تصفية حركة نسبة استخدام الشبكة على جهاز ظاهري.
- تعرّف على كيفية تمكين سجلات تدفق مجموعة أمان الشبكة لتحليل نسبة استخدام الشبكة من وإلى الموارد التي لديها مجموعة أمان شبكة اتصال مقترَنة.