برنامج تعليمي: تصفية حركة مرور الشبكة باستخدام مجموعة أمان الشبكة باستخدام مدخل Microsoft Azure

  • مقالة

يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة من موارد Azure وإليها في الشبكة الظاهرية لـ Azure.

تحتوي مجموعات أمان الشبكة على قواعد أمان تقوم بتصفية نسبة استخدام الشبكة حسب عنوان IP والمنفذ والبروتوكول. عندما تكون مجموعة أمان الشبكة مقترنة بشبكة فرعية، يتم تطبيق قواعد الأمان على الموارد الموزعة في تلك الشبكة الفرعية.

Diagram of resources created during tutorial.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • قم بإنشاء مجموعة أمان الشبكة وقواعد الأمان
  • إنشاء مجموعات أمان التطبيق
  • قم بإنشاء شبكة افتراضية وربط مجموعة أمان الشبكة بشبكة فرعية
  • توزيع الأجهزة الظاهرية وربط واجهات الشبكة الخاصة بها إلى مجموعات أمان التطبيق

المتطلبات الأساسية

تسجيل الدخول إلى Azure

قم بتسجيل الدخول إلى بوابة Azure.

إنشاء شبكة ظاهرية

ينشئ الإجراء التالي شبكة ظاهرية مع شبكة فرعية للمورد.

  1. في المدخل، ابحث عن Virtual networks وحددها.

  2. في صفحة ⁧⁩الشبكة الظاهرية⁧⁩، حدد ⁧+⁩ إنشاء⁧⁩.

  3. في علامة التبويب أساسياتلـ إنشاء شبكة ظاهرية، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخل test-rg في Name.
    حدد موافق.
    تفاصيل المثيل
    الاسم أدخل vnet-1.
    المنطقة حدد شرق الولايات المتحدة 2.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. حدد التالي للمتابعة إلى علامة التبويب الأمان .

  5. حدد التالي للمتابعة إلى علامة التبويب عناوين IP.

  6. في مربع مساحة العنوان في الشبكات الفرعية، حدد الشبكة الفرعية الافتراضية.

  7. في تحرير الشبكة الفرعية، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل الشبكة الفرعية
    قالب الشبكة الفرعية اترك الافتراضي الافتراضي.
    الاسم أدخل subnet-1.
    عنوان البدء اترك الإعداد الافتراضي 10.0.0.0.
    حجم الشبكة الفرعية اترك الإعداد الافتراضي ل /24(256 عنوانا).

    Screenshot of default subnet rename and configuration.

  8. حدد حفظ.

  9. حدد Review + create في أسفل الشاشة، وعند اجتياز التحقق من الصحة، حدد Create.

إنشاء مجموعات أمان التطبيق

تتيح لك مجموعة أمان التطبيقات (ASGs) تجميع الخوادم معًا بوظائف مماثلة، مثل خوادم الويب.

  1. في مربع البحث أعلى المدخل، أدخل مجموعة أمان التطبيق. حدد مجموعات أمان التطبيق في نتائج البحث.

  2. حدد + إنشاء.

  3. في Basics، في إنشاء application security group أدخل هذه المعلومات أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل asg-web.
    المنطقة حدد شرق الولايات المتحدة 2.

  4. حدد "Review + create".

  5. حدد + إنشاء.

  6. كرر الخطوات السابقة، مع تحديد القيم التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل asg-mgmt.
    المنطقة حدد شرق الولايات المتحدة 2.

  7. حدد "Review + create".

  8. حدد إنشاء.

إنشاء مجموعة أمان الشبكة

تقوم مجموعة أمان الشبكة (NSG) بتأمين حركة مرور الشبكة في شبكتك الافتراضية.

  1. في مربع البحث أعلى المدخل، أدخل Network security group. حدد "Network security group" في نتائج البحث.

    إشعار

    في نتائج البحث عن مجموعات أمان الشبكة، قد ترى مجموعات أمان الشبكة (الكلاسيكية). حدد مجموعات أمان الشبكة.

  2. حدد + إنشاء.

  3. في علامة التبويبBasics في Create network security group، أدخل هذه المعلومات أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل nsg-1.
    الموقع حدد شرق الولايات المتحدة 2.

  4. حدد "Review + create".

  5. حدد إنشاء.

إقران مجموعة أمان الشبكة بالشبكة الفرعية

في هذا القسم، يمكنك إقران مجموعة أمان الشبكة بالشبكة الفرعية للشبكة الظاهرية التي أنشأتها سابقا.

  1. في مربع البحث أعلى المدخل، أدخل Network security group. حدد "Network security group" في نتائج البحث.

  2. حدد nsg-1.

  3. حدد الشبكات الفرعيةمن قسم الإعدادات من nsg-1.

  4. في صفحة Subnets، حدد + Associate:

    Screenshot of Associate a network security group to a subnet.

  5. ضمن Associate subnet، حدد vnet-1 (test-rg) للشبكة الظاهرية.

  6. حدد subnet-1 للشبكة الفرعية، ثم حدد OK.

إنشاء قواعد الأمان

  1. حدد Inbound security rules من قسم الإعدادات من nsg-1.

  2. في صفحة قواعد الأمان الواردة، حدد + إضافة.

  3. إنشاء قاعدة أمان تسمح بالمنافذ 80 و443 إلى مجموعة أمان تطبيق asg-web . في صفحة إضافة قاعدة أمان واردة، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    Source اترك الخيار الافتراضي "Any".
    نطاقات منافذ المصادر اترك الخيار الافتراضي (*).
    الوجهة حدد "Application security group".
    مجموعة أمان تطبيق الوجهة حدد asg-web.
    الخدمة اترك الخيار الافتراضي "Custom".
    نطاقات المنفذ الوجهات أدخل 80443.
    البروتوكول حدد TCP.
    الإجراء اترك الخيار الافتراضي "Allow".
    أولوية اترك القيمة الافتراضية 100.
    الاسم أدخل allow-web-all.

  4. حدد إضافة.

  5. أكمل الخطوات السابقة بالمعلومات التالية:

    الإعداد القيمة‬
    Source اترك الخيار الافتراضي "Any".
    نطاقات منافذ المصادر اترك الخيار الافتراضي (*).
    الوجهة حدد "Application security group".
    مجموعة أمان تطبيق الوجهة حدد asg-mgmt.
    الخدمة حدد RDP.
    الإجراء اترك الخيار الافتراضي "Allow".
    أولوية اترك القيمة الافتراضية 110.
    الاسم أدخل allow-rdp-all.

  6. حدد إضافة.

    تنبيه

    في هذه المقالة، يتم عرض RDP (المنفذ 3389) على الإنترنت للجهاز الظاهري الذي تم تعيينه لمجموعة أمان تطبيق asg-mgmt .

    بالنسبة لبيئات الإنتاج، بدلاً من تعريض المنفذ 3389 للإنترنت، يوصى بالاتصال بموارد Azure التي تريد إدارتها باستخدام VPN أو اتصال شبكة خاصة أو Azure Bastion.

    لمزيد من المعلومات حول Azure Bastion، راجع ما هو Azure Bastion؟.

أنشئ الأجهزة الظاهرية

إنشاء اثنين من الأجهزة الظاهرية (جهاز ظاهري) في هذه الشبكة الظاهرية.

  1. في المدخل، ابحث عن الأجهزة الظاهرية وحددها.

  2. في الأجهزة الظاهرية، حدد + إنشاء، ثم جهاز Azure الظاهري.

  3. في "Create a virtual machine"، أدخل هذه المعلومات أو حددها في علامة التبويب "Basics":

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل vm-1.
    المنطقة حدد (US) Eeast US 2
    خيارات التوفر اترك القيمة الافتراضية لا يوجد تكرار مطلوب للبنية الأساسية.
    نوع الأمان حدد قياسي.
    Image حدد Windows Server 2022 Datacenter - x64 Gen2.
    مثيل Azure Spot اترك التحديد الافتراضي غير مٌحدد.
    الحجم تحديد الحجم.
    حساب المسؤول
    اسم مستخدم أدخل username.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور اعادة ادخال كلمة السر.
    قواعد المنفذ الوارد
    حدد المنافذ الداخلية حدد لا شيء.

  4. حدد Next: Disks ثم Next: Networking.

  5. في علامة التبويب شبكة الاتصال، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    واجهة الشبكة
    الشبكة الظاهرية حدد vnet-1.
    الشبكة الفرعية حدد subnet-1 (10.0.0.0/24).
    عنوان IP عام اترك الإعداد الافتراضي لعنوان IP عام جديد.
    المجموعة الأمنية للشبكة NIC حدد لا شيء.

  6. حدد علامة التبويب "Review + create"، أو حدد الزر الأزرق "Review + create" أسفل الصفحة.

  7. حدد إنشاء. قد يستغرق الجهاز الظاهري بضع دقائق للنشر.

  8. كرر الخطوات السابقة لإنشاء جهاز ظاهري ثان يسمى vm-2.

ربط واجهات الشبكة بـ ASG

عندما أنشأت الأجهزة الظاهرية، أنشأ Azure واجهة شبكة لكل جهاز افتراضي، وأرفقها بالجهاز الظاهري.

أضف واجهة الشبكة لكل جهاز ظاهري إلى إحدى مجموعات أمان التطبيقات التي قمت بإنشائها مسبقًا:

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.

  2. حدد vm-1.

  3. حدد Networking من قسم الإعدادات من vm-1.

  4. حدد علامة التبويب "Application security groups"، ثم حدد "Configure the application security groups".

    Screenshot of Configure application security groups.

  5. في تكوين مجموعات أمان التطبيق، حدد asg-web في القائمة المنسدلة مجموعات أمان التطبيق، ثم حدد حفظ.

  6. كرر الخطوات السابقة ل vm-2، وتحديد asg-mgmt في القائمة المنسدلة مجموعات أمان التطبيق.

اختبار عوامل تصفية حركة مرور البيانات

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.

  2. حدد vm-2.

  3. في صفحة Overview، حدد الزر الاتصال ثم حدد Native RDP.

  4. حدد Download RDP file.

  5. افتح ملف rdp الذي تم تنزيله وحدد "Connect". أدخل اسم المستخدم ورمز الوصول اللذين حددتهما عند إنشاء الجهاز الظاهري.

  6. حدد موافق.

  7. قد تتلقى تحذير شهادة أثناء عملية الاتصال. إذا تلقيت التحذير، فحدد "Yes" أو "Continue"، لمتابعة الاتصال.

    ينجح الاتصال، لأن نسبة استخدام الشبكة الواردة من الإنترنت إلى مجموعة أمان تطبيق asg-mgmt مسموح بها من خلال المنفذ 3389.

    ترتبط واجهة الشبكة ل vm-2 بمجموعة أمان تطبيق asg-mgmt وتسمح بالاتصال.

  8. افتح جلسة عمل PowerShell على vm-2. الاتصال إلى vm-1 باستخدام ما يلي:

    mstsc /v:vm-1

    ينجح اتصال RDP من vm-2 إلى vm-1 لأن الأجهزة الظاهرية في نفس الشبكة يمكنها الاتصال ببعضها البعض عبر أي منفذ بشكل افتراضي.

    لا يمكنك إنشاء اتصال RDP بالجهاز الظاهري vm-1 من الإنترنت. تمنع قاعدة الأمان الخاصة ب asg-web الاتصالات بالمنفذ 3389 الوارد من الإنترنت. تُرفض نسبة استخدام الشبكة الواردة من الإنترنت إلى كافة الموارد بشكل افتراضي.

  9. لتثبيت Microsoft IIS على الجهاز الظاهري vm-1 ، أدخل الأمر التالي من جلسة PowerShell على الجهاز الظاهري vm-1 :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  10. بعد اكتمال تثبيت IIS، اقطع الاتصال بالجهاز الظاهري vm-1 ، مما يتركك في اتصال سطح المكتب البعيد للجهاز الظاهري vm-2 .

  11. قطع الاتصال بالجهاز الظاهري vm-2 .

  12. ابحث عن vm-1 في مربع البحث في المدخل.

  13. في صفحة نظرة عامة على vm-1، لاحظ عنوان IP العام لجهازك الظاهري. العنوان الموضح في المثال التالي هو 20.230.55.178، عنوانك مختلف:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  14. للتأكد من أنه يمكنك الوصول إلى خادم الويب vm-1 من الإنترنت، افتح مستعرض إنترنت على الكمبيوتر واستعرض للوصول إلى http://<public-ip-address-from-previous-step>.

ترى الصفحة الافتراضية IIS، لأنه يسمح بنسبة استخدام الشبكة الواردة من الإنترنت إلى مجموعة أمان تطبيق asg-web من خلال المنفذ 80.

ترتبط واجهة الشبكة المرفقة ل vm-1 بمجموعة أمان تطبيق asg-web وتسمح بالاتصال.

تنظيف الموارد

عند الانتهاء من استخدام الموارد التي قمت بإنشائها، يمكنك حذف مجموعة الموارد وجميع مواردها:

  1. في مدخل Azure، ابحث عن مجموعة المواردوحددها.

  2. في صفحة Resource groups ، حدد مجموعة موارد test-rg .

  3. في صفحة test-rg ، حدد Delete resource group.

  4. أدخل test-rg في Enter resource group name لتأكيد الحذف، ثم حدد Delete.

الخطوات التالية

في هذا البرنامج التعليمي، سوف تتعلّم:

  • إنشاء مجموعة أمان للشبكة وربطها بشبكة فرعية افتراضية.
  • تم إنشاء مجموعات أمان التطبيق للويب والإدارة.
  • إنشاء جهازين ظاهريين وربط واجهات الشبكة الخاصة بهما بمجموعات أمان التطبيق.
  • اختبر تصفية شبكة مجموعة أمان التطبيق.

لمعرفة المزيد حول مجموعات أمان الشبكة، راجع "Network security group overview" و"Manage a network security group".

يقوم Azure بتوجيه حركة المرور بين الشبكات الفرعية افتراضياً. يمكنك بدلاً من ذلك، اختيار توجيه حركة مرور البيانات بين الشبكات الفرعية عبر جهاز ظاهري يعمل كجدار حماية، على سبيل المثال.

لمعرفة كيفية إنشاء جدول توجيه، انتقل إلى البرنامج التعليمي التالي.

إنشاء جدول توجيه