إدارة الوصول الآمن إلى الموارد في VNets الناطقة لعملاء VPN المستخدمين

  • مقالة
  • قراءة خلال 13 دقائق

توضح لك هذه المقالة كيفية استخدام قواعد وعوامل تصفية جدار حماية شبكة WAN وAzure لإدارة الوصول الآمن للاتصالات بمواردك في Azure عبر الموقع المتجه IKEv2 أو اتصالات VPN المفتوحة. يكون هذا التكوين مفيدا إذا كان لديك مستخدمون بعيدون تريد تقييد الوصول إلى موارد Azure لهم، أو لتأمين مواردك في Azure.

تساعدك الخطوات الواردة في هذه المقالة على إنشاء البنية في الرسم التخطيطي التالي للسماح لعملاء User VPN بالوصول إلى مورد معين (VM1) في VNet ناطق متصل بالموزع الظاهري، ولكن ليس الموارد الأخرى (VM2). استخدم مثال البنية هذا كمبدأ توجيهي أساسي.

Diagram: Secured virtual hub

المتطلبات الأساسية

  • لديك اشتراك Azure. إذا لم يكن لديك اشتراك في Azure، فأنشئ حساباً مجانياً.

  • لديك شبكة افتراضية تريد الاتصال بها.

    • تحقق من أن أي من الشبكات الفرعية من الشبكات المحلية تتداخل مع الشبكات الظاهرية التي ترغب في الاتصال بها.
    • لإنشاء شبكة ظاهرية في مدخل Azure، راجع مقالة ⁧⁩التشغيل السريع⁧⁩.

  • يجب ألا يكون لدى الشبكة الظاهرية أية عبارات شبكة ظاهرية موجودة.

    • إذا كان لدى الشبكة الظاهرية بالفعل عبارات (VPN أو ExpressRoute)، يجب إزالة كافة العبارات قبل المتابعة.
    • يتطلب هذا التكوين ألا تتصل الشبكات الظاهرية إلا بعبارة Virtual WAN.

  • حدد نطاق عنوان IP الذي تريد استخدامه لمساحة العنوان الخاصة بمركزك الظاهري. تُستخدم هذه المعلومات عند تكوين مركزك الظاهري. المركز الظاهري عبارة عن شبكة ظاهرية يتم إنشاؤها واستخدامها من قبل Virtual WAN. إنها أساس شبكة Virtual WAN في منطقة ما. يجب أن يتوافق نطاق مساحة العنوان مع قواعد معينة:

    • نطاق العنوان الذي تحدده للمركز لا يمكن أن يتراكب مع أي من الشبكات الظاهرية الموجودة التي تتصل بها.
    • لا يمكن أن يتراكب نطاق العنوان مع نطاقات العناوين المحلية التي تتصل بها.
    • إذا لم تكن معتادا على نطاقات عناوين IP الموجودة في تكوين الشبكة المحلي، فنسق مع شخص يمكنه تقديم هذه التفاصيل لك.
  • لديك القيم المتوفرة لتكوين المصادقة الذي تريد استخدامه. على سبيل المثال، خادم RADIUS أو مصادقة Azure Active Directory أو إنشاء شهادات وتصديرها.

إنشاء virtual WAN

  1. في المدخل، في شريط موارد البحث، اكتب شبكة WAN الظاهرية في مربع البحث وحدد إدخال.

  2. حدد شبكات WAN الظاهرية من النتائج. في صفحة شبكات WAN الظاهرية، حدد + إنشاء لفتح صفحة إنشاء WAN.

  3. في الصفحة إنشاء WAN، في علامة التبويب الأساسيات، قم بتعبئة الحقول. قم بتعديل قيم المثال لتطبيقها على البيئة الخاصة بك.

    Screenshot shows the Create WAN pane with the Basics tab selected.

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه.
    • مجموعة الموارد: أنشئ جديدًا أو استخدِم الموجود.
    • موقع مجموعة الموارد: اختر موقع مورد من القائمة المنسدلة. شبكة WAN هي مورد عالمي ولا تعيش في منطقة معينة. ومع ذلك، يجب عليك تحديد منطقة من أجل إدارة مورد WAN الذي تقوم بإنشائه وتحديد موقعه بسهولة أكبر.
    • الاسم: اكتب الاسم الذي تريد استدعاء شبكة WAN الظاهرية.
    • النوع: أساسي أو قياسي. حدد Standard. إذا قمت بتحديد أساسي، فعليك أن تُدرك أن شبكات WAN الظاهرية الأساسية يمكن أن تحتوي فقط على لوحات الوصل الأساسية. يمكن استخدام لوحات الوصل الأساسية للاتصالات من موقع إلى موقع فقط.

  4. بعد الانتهاء من ملء الحقول، حدد مراجعة +إنشاء في أسفل الصفحة.

  5. بمجرد انتهاء التحقق من الصحة، انقر فوق إنشاء لإنشاء شبكة WAN الظاهرية.

تعريف معلمات تكوين P2S

يحدد تكوين نقطة إلى موقع (P2S) المعلمات لتوصيل العملاء البعيدين. يساعدك هذا القسم في تحديد معلمات تكوين P2S، ثم إنشاء التكوين الذي سيتم استخدامه لملف تعريف عميل VPN. تعتمد الإرشادات التي تتبعها على أسلوب المصادقة الذي ترغب في استخدامه.

أساليب المصادقة

عند تحديد طريقة المصادقة، لديك ثلاثة خيارات. وكل أسلوب له مُتطلبات محددة. حدد أحد الأساليب التالية، ثم أكمِل الخطوات.

  • Azure Active Directory authentication: احصل على ما يلي:

    • معرف التطبيق الخاص بتطبيق Azure VPN Enterprise المسجل في مستأجر Azure AD.
    • المصدر. مثال:https://sts.windows.net/your-Directory-ID.
    • مستأجر Azure AD. مثال:https://login.microsoftonline.com/your-Directory-ID.

  • المصادقة المستندة إلى بروتوكول Radius: قم بالحصول على عنوان IP لخادم بروتوكول Radius، ومفتاح سر خادم بروتوكول Radius ومعلومات الشهادة.

  • شهادات Azure: بالنسبة لهذا التكوين، تُعدّ الشهادات مطلوبة. وستحتاج إلى إنشاء الشهادات أو الحصول عليها. يلزم الحصول على شهادة عميل لكل عميل. بالإضافة إلى ذلك، يجب تحميل معلومات شهادة الجذر (المفتاح العام). لمزيدٍ من المعلومات حول الشهادات المطلوبة، راجع إنشاء الشهادات وتصديرها.

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها.

  2. حدد ⁧⁩تكوينات VPN للمستخدم⁧⁩ من القائمة على اليمين.

  3. في الصفحة ⁧⁩تكوينات VPN للمستخدم⁧⁩، حدد ⁧⁩+إنشاء تكوينات VPN للمستخدم⁧⁩.

    Screenshot of user VPN configurations page.

  4. في الصفحة ⁧⁩إنشاء تكوين VPN للمستخدم جديد⁧⁩، علامة التبويب ⁧⁩الأساسيات⁧⁩، ضمن ⁧⁩تفاصيل المثيل⁧⁩، أدخل ⁧⁩الاسم⁧⁩ الذي ترغب في تعيينه لتكوين VPN الخاص بك.

    Screenshot of IPsec switch to custom.

  5. بالنسبة لـ ⁧⁩نوع النفق⁧⁩، حدد نوع النفق الذي ترغب فيه من القائمة المنسدلة خيارات نوع النفق هي: ⁧⁩IKEv2 VPN وOpenVPN⁧⁩، و⁧⁩OpenVpn، وIKEv2⁧⁩. لكل نوع نفق إعدادات مطلوبة مختلفة.

    ⁩المتطلبات والمعلمات⁧⁩:

    ⁩IKEv2 VPN⁧

    • ⁩المتطلبات:⁧⁩ عند قيامك بتحديد نوع النفق ⁧⁩IKEv2⁧⁩، فأنت ترى رسالة موجهة إليك لتحديد طريقة مصادقة. بالنسبة لـ IKEv2، يمكنك تحديد أسلوب مصادقة واحد فقط. يمكنك اختيار Azure Certificate، أو Azure Active Directory، أو المصادقة المستندة إلى RADIUS.

    • ⁩معلمات IPSec المخصصة:⁧⁩ لتخصيص المعلمات لـ IKE المرحلة 1، وIKE المرحلة 2، قم بتبديل مفتاح IPsec إلى ⁧⁩مخصص⁧⁩، وحدد قيم المعلمة. لمزيد من المعلومات عن المعلمات القابلة للتخصيص، راجع المقالة ⁧⁩IPsec مخصص⁧⁩.

    ⁩OpenVPN⁧

    • ⁩المعلمات:⁧⁩ عند قيامك بتحديد نوع النفق ⁧⁩OpenVPN⁧⁩، فأنت ترى رسالة موجهة إليك لتحديد آلية مصادقة. إذا تم تحديد OpenVPN كنوع للنفق، يمكنك تحديد طرق مصادقة متعددة. يمكنك اختيار أي مجموعة فرعية من Azure Certificate، أو Azure Active Directory، أو المصادقة المستندة إلى RADIUS. بالنسبة للمصادقة المستندة إلى RADIUS، يمكنك توفير عنوان IP لخادم RADIUS ثانوي وسرية الخادم.

  6. قم بتكوين طريق ⁧⁩المصادقة⁧⁩ التي ترغب في استخدامها. كل طريقة مصادقة في علامة تبويب منفصلة: ⁧⁩Azure certificate⁧⁩ و⁧⁩مصادقة RADIUS⁧⁩، و⁧⁩Azure Active Directory⁧⁩. لا تتوفر بعض أساليب المصادقة إلا على أنواع معينة من الأنفاق.

    على علامة التبويب لطريقة المصادقة التي ترغب في تكوينها، حدد ⁧⁩نعم⁧⁩؛ لكشف إعدادات التكوين المتوفرة.

    Screenshot of No screen - Yes is highlighted.

    • ⁩مثال - مصادقة الشهادة⁧

      Screenshot of Yes selected.

    • ⁩مثال - مصادقة RADIUS⁧

      Screenshot of RADIUS authentication page.

    • ⁩مثال - مصادقة Azure Active Directory⁧

      Azure Active Directory authentication page.

  7. عند انتهائك من تكوين الإعدادات، انقر فوق ⁧⁩مراجعة + إنشاء⁧⁩ في أسفل الصفحة.

  8. انقر فوق إنشاء لإنشاء تكوين VPN المستخدم.

إنشاء المحور والبوابة

في هذا القسم، يمكنك إنشاء الموزع الظاهري باستخدام بوابة نقطة إلى موقع. عند التكوين، يمكنك استخدام قيم الأمثلة التالية:

  • مساحة عنوان IP الخاص بالمحور: 10.0.0.0/24
  • تجمع عناوين العملاء: 10.5.0.0/16
  • خوادم DNS المخصصة: يمكنك إدراج ما يصل إلى 5 خوادم DNS

  1. في صفحة virtual WAN لديك، على الجزء الأيمن، حدد المراكز. في صفحة المراكز لديك، حدد +مركز جديد.

    Screenshot of new hub.

  2. في صفحة إنشاء مركز ظاهري، اعرض علامة التبويب الأساسيات.

    Screenshot of create virtual hub.

  3. في علامة التبويب الأساسيات كوِّن الإعدادات التالية:

    • المنطقة: حدد المنطقة التي تريد نشر المركز الظاهري فيها.
    • الاسم: الاسم الذي تريد أن يُعرف به المركز الظاهري.
    • مساحة العنوان الخاص بالمركز: نطاق عنوان المركز في رمز CIDR.

  4. انقر فوق علامة التبويب نقطة إلى موقع لفتح صفحة التكوين الخاصة بنقطة إلى موقع. لعرض إعدادات نقطة إلى موقع، انقر فوق نعم.

    Screenshot of virtual hub configuration with point-to-site selected.

  5. كوِّن الإعدادات التالية:

    • وحدات مقياس البوابة - يمثل القدرة المجمعة لبوابة VPN للمستخدم. إذا قمت بتحديد 40 أو أكثر من وحدات مقياس البوابة، فقم بتخطيط قائمة عناوين العملاء وفقًا لذلك. للحصول على معلومات حول كيفية تأثير هذا الإعداد على قائمة عناوين العملاء، راجع حول قائمة عناوين العملاء. للحصول على معلومات حول وحدات مقياس البوابة، راجع الأسئلة الشائعة.

    • تكوين نقطة إلى موقع - حدد تكوين VPN المستخدم الذي أنشأته في خطوة سابقة.

    • تفضيل التوجيه - يُتيح لك تفضيل التوجيه لدى Azure اختيار كيفية سير نقل البيانات لديك بين Azure وشبكة الإنترنت. يمكنك اختيار توجيه نقل البيانات إما عبر شبكة Microsoft، أو عبر شبكة موفر خدمة الإنترنت ISP (الإنترنت العام). ويُشار إلى هذه الخيارات أيضًا باسم التوجيه البطيء للبيانات والتوجيه السريع للبيانات، على التوالي. يتم تعيين عنوان IP العام في Virtual WAN بواسطة الخدمة استنادًا إلى خيار التوجيه المحدد. لمزيدٍ من المعلومات حول تفضيل التوجيه عبر شبكة Microsoft أو موفّر خدمة الإنترنت ISP، راجع مقالة تفضيل التوجيه.

    • استخدام خادم RADIUS عن بعد/محلي -

      ملاحظة

      يتم استخدام إعداد خادم RADIUS عن بعد/محلي وعناوين IP الوكيلة ذات الصلة فقط إذا تم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS. إذا لم يتم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS، تجاهل هذا الإعداد.

      عندما يتم تكوين بوابة VPN لمستخدم شبكة WAN الافتراضية لاستخدام المصادقة المستندة إلى RADIUS، تعمل بوابة User VPN كوكيل وترسل طلبات الوصول إلى RADIUS إلى خادم RADIUS الخاص بك. يتم تعطيل إعداد "استخدام خادم RADIUS عن بعد/محلي" بشكل افتراضي، مما يعني أن بوابة User VPN لن تتمكن إلا من إعادة توجيه طلبات المصادقة إلى خوادم RADIUS في الشبكات الافتراضية المتصلة بمركز البوابة. سيؤدي تمكين الإعداد إلى تمكين بوابة User VPN من المصادقة باستخدام خوادم RADIUS المتصلة بمحاور بعيدة أو نشرها محليا.

      بعد تحديث الإعداد، انتقل إلى بوابة User VPN ولاحظ حقل عناوين IP لوكيل RADIUS. عناوين IP الوكيلة RADIUS هي عناوين IP المصدر لحزم RADIUS التي ترسلها بوابة User VPN إلى خادم RADIUS الخاص بك. لذلك، يجب تكوين خادم RADIUS لقبول طلبات المصادقة من عناوين IP الوكيلة RADIUS. إذا كان حقل عناوين IP لوكيل RADIUS فارغا أو لا شيء، فقم بتكوين خادم RADIUS لقبول طلبات المصادقة من مساحة عنوان الموزع.

      لاحظ أنه يجب عليك تشغيل "استخدام خادم RADIUS عن بعد/محلي" إذا كان المستخدمون سيتصلون بملف تعريف VPN العام بدلا من ملف التعريف المستند إلى لوحة الوصل. لمزيد من المعلومات، راجع ملفات التعريف العامة وعلى مستوى الموزع.

      Screenshot of User VPN Config with RADIUS Proxy IPs.

    • تجمع عناوين العملاء - تجمع العناوين الذي سيتم من خلاله تعيين عناوين IP تلقائيا لعملاء VPN. لمزيد من المعلومات، راجع حول قائمة عناوين العملاء.

    • خوادم DNS المخصصة - عنوان IP الخاص بخادم (خوادم) DNS التي سيستخدمها العملاء. يمكنك تحديد ما يصل إلى 5.

  6. حدد مراجعة + إنشاء للتحقق من صحة الإعدادات.

  7. بعد تجاوز التحقق من الصحة، حدد Create. قد يستغرق إنشاء مركز 30 دقيقة أو أكثر لإكماله.

إنشاء ملفات تكوين عميل VPN

في هذا القسم، يمكنك إنشاء ملفات تعريف التكوين وتنزيلها. يتم استخدام هذه الملفات لتكوين عميل VPN الأصلي على الكمبيوتر العميل. للحصول على معلومات حول محتويات ملفات تعريف العميل، راجع تكوين نقطة إلى موقع - الشهادات.

  1. في الصفحة virtual WAN الخاصة بك، حدد تكوينات VPN للمستخدم.

  2. في الصفحة تكوينات VPN للمستخدم، حدد تكوينًا، ثم حدد تنزيل ملف تعريف VPN للمستخدم في virtual WAN.

    Screenshot of Download virtual WAN user VPN profile.

    • عند تنزيل التكوين على مستوى WAN، تحصل على ملف تعريف VPN مستخدم يستند إلى Traffic Manager المضمنة.

    • للحصول على معلومات حول ملفات التعريف العمومية وملفات التعريف المستندة إلى المركز، راجع ملفات تعريف المركز. يتم تبسيط سيناريوهات تجاوز الخطأ مع ملف التعريف العمومي.

    • إذا كان المركز غير متوفر لسبب ما، فإن إدارة حركة المرور المضمنة التي توفرها الخدمة تضمن الاتصال (عبر مركز مختلف) بموارد Azure لمستخدمي نقطة إلى الموقع. يمكنك دائمًا تنزيل تكوين VPN خاص بالمركز من خلال التنقل إلى المركز. ضمن VPN المستخدم (نقطة إلى الموقع) ، قم بتنزيل ملف تعريف المركز الظاهري لـ VPN المستخدم.

  3. في الصفحة تنزيل ملف تعريف VPN للمستخدم في virtual WAN حدد نوع المصادقة الذي تريده، ثم انقر فوق إنشاء وتحميل ملف التعريف.

    يتم إنشاء حزمة ملف تعريف (ملف مضغوط) تحتوي على إعدادات تكوين العميل وتنزيلها على الكمبيوتر لديك.

    Screenshot of generate and download profile.

تكوين عملاء VPN

استخدم ملف التعريف الذي تم تنزيله لتكوين عملاء الوصول عن بعد. يختلف الإجراء الخاص بكل نظام تشغيل ، اتبع الإرشادات التي تنطبق على نظامك.

⁩OpenVPN⁧

الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)

  1. حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة المثبت 'VpnClientSetupAmd64'. وللحصول على بنية معالج 32 بت، اختر حزمة المثبت 'VpnClientSetupX86'.

  2. انقر نقرًا مزدوجًا فوق الحزمة لتثبيتها. إذا ظهرت لك نافذة SmartScreen منبثقة، فحدد ⁧⁩المزيد من المعلومات،⁧⁩ ثم ⁧⁩التشغيل على أية حال⁧⁩.

  3. على الكمبيوتر العميل، انتقل إلى ⁧⁩إعدادات الشبكة⁧⁩ وحدد ⁧⁩VPN⁧⁩. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.

  4. قبل محاولة الاتصال، تحقق من تثبيت شهادة عميل على الكمبيوتر العميل. شهادة العميل مطلوبة للمصادقة عند استخدام نوع مصادقة شهادة Azure الأصلي. لمزيدٍ من المعلومات حول إنشاء الشهادات، راجع ⁧⁩إنشاء الشهادات⁧⁩. للحصول على معلومات حول كيفية تثبيت شهادة عميل، راجع ⁧⁩تثبيت شهادة عميل⁧⁩.

الاتصال VNet الناطقة

في هذا القسم، يمكنك إنشاء اتصال بين الموزع الخاص بك و VNet الناطق.

  1. انتقل إلى شبكة WAN الافتراضية.

  2. في الجزء الأيمن، ضمن الاتصال، حدد اتصالات الشبكة الظاهرية.

  3. في الصفحة اتصالات الشبكة الظاهرية ، انقر فوق +إضافة اتصال.

    Screenshot shows add.

  4. في الصفحة ⁧⁩Add connection⁧⁩، قم بتكوين الإعدادات المطلوبة. لمزيد من المعلومات حول إعدادات التوجيه، راجع ⁧⁩About routing⁧⁩.

    Screenshot shows VNet connection page.

    • Connection name: اسم الاتصال.
    • ⁩Hubs⁧⁩: حدد المركز الذي تريد ربطه بهذا الاتصال.
    • ⁩Subscription⁧⁩: تحقق من الاشتراك.
    • ⁩Resource group⁧⁩: مجموعة الموارد التي تحتوي على VNet.
    • ⁩Virtual network⁧⁩: حدد الشبكة الظاهرية التي تريد الاتصال بها. لا يمكن أن تكون للشبكة الظاهرية التي تحددها بوابة شبكة ظاهرية موجودة بالفعل.
    • ⁩Propagate to none⁧⁩: يتم تعيين هذا إلى ⁧⁩No⁧⁩ افتراضيًا. يجعل تغيير رمز التبديل إلى ⁧⁩Yes⁧⁩ خيارات التكوين لـ ⁧⁩Propagate to Route Tables⁧⁩ و⁧⁩Propagate to labels⁧⁩ غير متوفرة للتكوين.
    • ⁩Associate Route Table⁧⁩: يمكنك تحديد جدول المسار الذي تريد ربطه.
    • ⁩Static routes⁧⁩: يمكنك استخدام هذا الإعداد لتحديد النقلة التالية.

  5. بمجرد الانتهاء من الإعدادات التي تريد تكوينها، حدد إنشاء لإنشاء الاتصال.

أنشئ الأجهزة الظاهرية

في هذا القسم، يمكنك إنشاء جهازين ظاهريين في VNet و VM1 و VM2. في مخطط الشبكة، نستخدم 10.18.0.4 و 10.18.0.5. عند تكوين الأجهزة الظاهرية، تأكد من تحديد الشبكة الظاهرية التي قمت بإنشائها (الموجودة في علامة التبويب الشبكات). للحصول على خطوات لإنشاء جهاز ظاهري، راجع التشغيل السريع: إنشاء جهاز ظاهري.

تأمين الموزع الافتراضي

لا يحتوي المركز الظاهري القياسي على سياسات أمان مضمنة لحماية الموارد في الشبكات الافتراضية الناطقة. يستخدم مركز التخصيص الظاهري الآمن جدار حماية Azure أو موفر تابع لجهة خارجية لإدارة حركة المرور الواردة والصادرة لحماية مواردك في Azure.

قم بتحويل الموزع إلى موزع آمن باستخدام المقالة التالية: تكوين جدار حماية Azure في موزع شبكة WAN افتراضي.

إنشاء قواعد لإدارة حركة المرور وتصفيتها

إنشاء قواعد تملي سلوك جدار حماية Azure. من خلال تأمين الموزع، نضمن أن جميع الحزم التي تدخل الموزع الظاهري تخضع لمعالجة جدار الحماية قبل الوصول إلى موارد Azure الخاصة بك.

بمجرد إكمال هذه الخطوات ، ستكون قد أنشأت بنية تسمح لمستخدمي VPN بالوصول إلى الجهاز الظاهري باستخدام عنوان IP خاص 10.18.0.4 ، ولكن ليس الوصول إلى الجهاز الظاهري باستخدام عنوان IP خاص 10.18.0.5

  1. في مدخل Azure، انتقل إلى إدارة جدار الحماية.

  2. ضمن الأمان، حدد سياسات جدار حماية Azure.

  3. حدد إنشاء نهج Azure Firewall.

  4. ضمن تفاصيل النهج، اكتب اسما وحدد المنطقة التي تم نشر مركزك الظاهري فيها.

  5. حدد التالي: الإعدادات DNS (معاينة).

  6. حدد التالي: القواعد.

  7. في علامة التبويب القواعد، حدد Add a rule collection.

  8. أدخل اسما للمجموعة. قم بتعيين النوع كشبكة. أضف قيمة أولوية 100.

  9. املأ اسم القاعدة ونوع المصدر والمصدر والبروتوكول ومنافذ الوجهة ونوع الوجهة، كما هو موضح في المثال أدناه. ثم حدد إضافة. تسمح هذه القاعدة لأي عنوان IP من تجمع عملاء VPN بالوصول إلى الجهاز الظاهري باستخدام عنوان IP خاص 10.18.04، ولكن ليس أي مورد آخر متصل بالموزع الظاهري. أنشئ أي قواعد تريدها تناسب البنية المطلوبة وقواعد الأذونات.

    Firewall rules

  10. حدد التالي: استخبارات التهديدات.

  11. حدد التالي: المحاور.

  12. في علامة التبويب الموزعات، حدد إقران الموزعات الظاهرية.

  13. حدد الموزع الظاهري الذي قمت بإنشائه مسبقا، ثم حدد إضافة.

  14. حدد Review + create.

  15. حدد Create.

قد يستغرق الأمر 5 دقائق أو أكثر حتى تكتمل هذه العملية.

توجيه حركة المرور عبر جدار حماية Azure

في هذا القسم، تحتاج إلى التأكد من توجيه حركة المرور عبر جدار حماية Azure.

  1. في البوابة الإلكترونية، من مدير جدار الحماية، حدد الموزعات الظاهرية الآمنة.
  2. حدد الموزع الظاهري الذي أنشأته.
  3. في الإعدادات، حدد تكوين الأمان.
  4. في حركة النقل الخاصة، حدد إرسال عبر Azure Firewall.
  5. تحقق من تأمين اتصال VNet وحركة المرور الخاصة لاتصال الفرع بواسطة جدار حماية Azure.
  6. حدد "Save".

التحقق

تحقق من إعداد المحور الآمن.

  1. الاتصال إلى المركز الافتراضي الآمن عبر VPN من جهاز العميل الخاص بك.
  2. اختبار ping عنوان IP 10.18.0.4 من عميلك. يجب أن ترى ردا.
  3. اختبار ping عنوان IP 10.18.0.5 من عميلك. يجب ألا تتمكن من رؤية رد.

الاعتبارات

  • تأكد من أن جدول المسارات الفعالة على الموزع الظاهري الآمن يحتوي على القفزة التالية لحركة المرور الخاصة بواسطة جدار الحماية. للوصول إلى جدول المسارات الفعالة، انتقل إلى مورد Virtual Hub . ضمن الاتصال، حدد توجيه، ثم حدد المسارات الفعالة. من هناك، حدد جدول المسار الافتراضي .
  • تحقق من إنشاء قواعد في القسم إنشاء قواعد . إذا تم تفويت هذه الخطوات، فلن يتم إقران القواعد التي أنشأتها فعليا بالموزع ولن يستخدم جدول المسار وتدفق الحزم جدار حماية Azure.

الخطوات التالية