كيفية عمل Azure Firewall Manager

  • 6 دقائق

سنناقش هنا كيفية عمل Firewall Manager والمهام التي يمكنك إنجازها باستخدامه. سنحدد أيضاً كيفية عمل قواعد نهج جدار الحماية. كما هو موضح سابقاً، النهج هي اللبنة الأساسية لـ Firewall Manager. يمكنك إنشاء نُهج وإقرانها بمثيلات Azure Firewall في موزعات افتراضية مؤمنة أو شبكات افتراضية للموزع.

يعرض الرسم التخطيطي التالي تكويناً نموذجياً. يتضمن مسؤولاً عالميًا يقوم بإنشاء النهج وإقرانها في المستوى الأعلى. ترتبط هذه النهج بموزع افتراضي آمن وشبكات افتراضية للموزع. يمكن للمسؤول المحلي أيضا تكوين النهج وإقرانها بإحدى الشبكات الافتراضية.

A typical Firewall Manager configuration, with both a global and local admin who are creating and associating properties as previously described..

تتكون نهج Azure Firewall من القواعد والإعدادات التي تتحكم في حركة المرور في الموارد المحمية. في هذه الوحدة، ستتعرف على:

  • نهج Azure Firewall وقواعده إعدادات التحليل الذكي للمخاطر الخاصة به.
  • معالجة القواعد.
  • المهام التي يمكنك القيام بها من خلال Firewall Manager.

ما هي قواعد نهج Azure Firewall؟

يصف الجدول التالي إعدادات ومجموعات قواعد نهج Azure Firewall.

مجموعة القواعد أو إعدادها الوصف
إعدادات التحليل الذكي للمخاطر تمكن تصفية نهج Azure Firewall استناداً إلى التحليل الذكي للمخاطر. سينبهك هذا إلى حركة المرور التي يحتمل أن تكون ضارة. كما يسمح لك برفض حركة المرور من وإلى عناوين IP والمجالات المعروف عنها أنها ضارة.
مجموعة قواعد NAT تُمكّنك من تكوين قواعد ترجمة عنوان شبكة الوجهة لـ Azure Firewall. تعمل هذه القواعد على ترجمة حركة مرور الإنترنت الواردة وتصفيتها إلى شبكات Azure الفرعية.
مجموعات قواعد الشبكة تدير حركة مرور غير HTTP/S المتدفقة عبر جدار الحماية.
مجموعة قواعد التطبيق تدير حركة مرور HTTP/S المتدفقة عبر جدار الحماية.

أولاً، يتعين عليك قراءة القواعد التي تحتاجها لإدارة حركة المرور الخاصة بك. ثم استخدام Firewall Manager لإنشاء نهج Firewall Manager التي تحتوي على هذه القواعد وتكوينها، كما يوضح الرسم التالي.

Screenshot of the Threat Intelligence blade in the Azure portal within a Firewall Policy called ContosoFirewallPolicy..

كيفية معالجة القواعد

في الواقع، إن قاعدة NAT هي قاعدة توجيه توجه حركة المرور من عناوين IP العامة إلى الخاصة في موارد Azure. عندما يقوم جدار حماية بمعالجة القواعد المحددة للنهج، فإن قواعد الشبكة والتطبيق هي التي تحدد ما إذا كان يتم السماح بحركة المرور أم لا. تصف العملية التالية كيفية معالجة هذه القواعد مقابل حركة المرور:

  1. تتم معالجة قواعد التحليل الذكي للمخاطر مقابل قواعد NAT أو الشبكة أو التطبيق. عند إنشاء هذه القواعد، يمكنك تكوين أحد السلوكين التاليين:

    • تنبيه عند تشغيل القاعدة (الوضع الافتراضي).
    • التنبيه والرفض عند تشغيل القاعدة.

  2. تتم معالجة قواعد NAT بعد ذلك وتحديد الاتصال الوارد بموارد محددة في شبكاتك الافتراضية.

ملاحظة

إذا تم العثور على تطابق، تتم إضافة قاعدة شبكة متوافقة ضمنية تسمح بحركة المرور المترجمة.

  1. يتم تطبيق قواعد الشبكة بعد ذلك. إذا تطابقت قاعدة الشبكة مع حركة المرور، يتم تطبيق هذه القاعدة. لا يتم التحقق من أي قواعد أخرى.
  2. إذا لم تتطابق قواعد الشبكة وكانت حركة المرور HTTP/S، فسيتم تطبيق قواعد التطبيق.
  3. في حالة عدم تطابق قاعدة التطبيق، تتم مقارنة حركة المرور بمجموعة قواعد البنية الأساسية.
  4. إذا لم يكن هناك أي تطابق حتى الآن لحركة المرور، فسيتم رفض حركة المرور ضمنياً.

ملاحظة

تحدد مجموعات قواعد البنية الأساسية أسماء النطاقات المؤهلة بالكامل (FQDNs) المسموح بها افتراضياً. وتعتبر FQDNs خاصة بـ Azure.

استخدام Firewall Manager

تمكنك Firewall Manager مما يلي:

  • حدد قواعد لتصفية حركة المرور عبر مثيلات Azure Firewall المتعددة في الموزعات الافتراضية المؤمنة والشبكات الافتراضية للموزع.
  • قم بإقران نهج Azure Firewall بشبكات افتراضية جديدة أو موجودة. هذا يفرض نهج جدار حماية متسقة عبر شبكات افتراضية متعددة للموزع.
  • قم بإقران نهج Azure Firewall بموزعات افتراضية جديدة أو موجودة. هذا يفرض نُهجاً متسقة للأمان والتوجيه عبر موزعات متعددة.

في الرسم التالي، يقوم مسؤول بنشر جدار حماية باستخدام نهج جدار حماية لشبكة ظاهرية موجودة.

Screenshot of the Virtual networks blade in Firewall Manager. The administrator has selected an existing virtual network..