ما هو جدار حماية Azure Firewall؟
ستتعلم أساسيات كل من Azure Firewall وAzure Firewall Manager. ينبغي أن تساعدك هذه النظرة العامة في تحديد ما إذا كان Azure Firewall وAzure Firewall Manager مناسبين بشكل جيد لاستراتيجية أمان الشبكة الخاصة بـ Contoso أم لا.
نظرة عامة على Azure Firewall
Azure Firewall عبارة عن خدمة أمان مستندة إلى السحابة، والتي تحمي موارد الشبكة الظاهرية لـ Azure من التهديدات الواردة والصادرة. في الأقسام القليلة التالية، ستتعرف على أساسيات Azure Firewall وميزاته الرئيسية.
ما هو جدار الحماية؟
جدار الحماية عبارة عن ميزة أمان شبكة تقع بين شبكة موثوق بها وشبكة غير موثوق بها، مثل الإنترنت. تتمثل وظيفة جدار الحماية في تحليل كل نسبة استخدام الشبكة الواردة والصادرة. بناء على هذا التحليل، إمّا يسمح جدار الحماية لنسبة استخدام الشبكة بالتمرير أو يرفضها. من الناحية المثالية، يتيح جدار الحماية جميع الزيارات المشروعة مع رفض نسبة استخدام الشبكة الضارة مثل البرامج الضارة ومحاولات التطفل.
بشكل افتراضي، ترفض معظم جدران الحماية كل نسبة استخدام الشبكة الواردة والصادرة. عندما يحلل جدار حماية نسبة استخدام الشبكة، فإنه يتحقق من شروط معينة ينبغي الوفاء بها قبل السماح بنسبة استخدام الشبكة. قد تكون تلك الشروط عنوان IP محدد أو اسم مجال مؤهل بالكامل (FQDN) أو منفذ شبكة اتصال أو بروتوكول شبكة اتصال أو أي تركيبة.
تحدد تلك الشروط معًا قاعدةجدار الحماية. قد يكون جدار الحماية قاعدة واحدة فقط، ولكن يتم تكوين معظم جدران الحماية مع العديد من القواعد. يُسمح فقط لنسبة استخدام الشبكة التي تلبي شروط قواعد جدار الحماية بالمرور.
تستند بعض جدران الحماية إلى الأجهزة وتوجد داخل الأجهزة التي تم إنشاؤها للعمل كجدران الحماية. أمّا جدران الحماية الأخرى فهي برامج تعمل على أجهزة حوسبة لأغراض عامة.
ما هو جدار حماية Azure Firewall؟
جدار حماية Azure عبارة عن خدمة جدار حماية مستند إلى السحابة. في معظم التكوينات، يتم توفير Azure Firewall داخل شبكة اتصال ظاهرية مركزية. نسبة استخدام الشبكة من وإلى الشبكات الظاهرية المتحدثة والشبكة الداخلية هي اجتياز جدار الحماية مع شبكة الوصل.
تُرفض نسبة استخدام الشبكة من وإلى الإنترنت بشكل افتراضي. يُسمح بنسبة استخدام الشبكة فقط في حال اجتياز اختبارات مختلفة، مثل قواعد جدار الحماية المكونة.
ملاحظة
لا يعمل Azure Firewall فقط لنسبة استخدام الشبكة من وإلى الإنترنت، ولكن أيضًا داخليًا. تشمل تصفية نسبة استخدام الشبكة الداخلية نسبة استخدام الشبكة التي تحدث بها وتحدث حركة مرور سحابية مختلطة بين شبكتك المحلية والشبكة الافتراضية Azure.
الميزات الرئيسية Azure Firewall Standard
يسرد الجدول التالي الميزات الرئيسية Azure Firewall Standard.
| الميزة | الوصف |
|---|---|
| ترجمة عنوان الشبكة المصدر (SNAT) | تُرسل كل نسبة استخدام الشبكة الصادرة إلى عنوان IP الخاص مثيل Azure Firewall. يتم ترجمة عنوان IP لكل جهاز ظاهري مصدر إلى عنوان IP عام ثابت لمثيل Azure Firewall. إلى كل الوجهات الخارجية، تظهر حركة مرور شبكة الاتصال الخاصة بك إلى من عنوان IP عام واحد. |
| ترجمة عنوان الشبكة الوجهة (DNAT) | تُرسل كل نسبة استخدام الشبكة الواردة من مصادر خارجية إلى عنوان IP العام لمثيل Azure Firewall. تُترجم نسبة استخدام الشبكة المسموح بها إلى عنوان IP الخاص لمورد الوجهة على الشبكة الظاهرية. |
| قواعد التطبيق | القواعد التي تحدد حركة المرور الصادرة إلى قائمة من أسماء مجال مؤهل بالكامل (FQDNs). على سبيل المثال، يمكنك السماح بنسبة استخدام الشبكة الصادرة للوصول إلى اسم مجال مؤهل بالكامل FQDN لمثيل قاعدة بيانات SQL المحدد. |
| قواعد الشبكة | قواعد نسبة استخدام الشبكة الواردة والصادرة استنادًا إلى معلمات الشبكة. تتضمن تلك المعلمات عنوان IP الوجهة أو المصدر، أو عنوان IP المصدر ومنفذ الشبكة، وبروتوكول الشبكة. |
| التحليل الذكي للمخاطر | يقوم بـتعيين نسبة استخدام الشبكة الواردة والصادرة استنادًا إلى قواعد التحليل الذكي للمخاطر من Microsoft، والتي تحدد عناوين IP الضارة وأسماء المجالات المعروفة. يمكنك تكوين Azure Firewall باستخدام أحد أوضاع التحليل الذكي للمخاطر: تنبيهك عند فشل حركة المرور في قاعدة استخبارات التهديد أو تنبيهك ورفض نسبة استخدام الشبكة. |
| أصيل | يفحص حزم الشبكة في السياق، وليس بشكل فردي فقط. إذا وصلت حزمة أو أكثر بشكل غير متوقع نظرًا إلى نسبة استخدام الشبكة الحالية، يعامل Azure Firewall الحزم على أنها ضارة ويرفضها. |
| اتصال نفقي قسري | تمكين جدار حماية Azure لتوجيه كافة حركة المرور الصادرة إلى مورد شبكة محدد بدلاً من الاتصال مباشرة بالإنترنت. قد يكون مورد الشبكة جدار حماية الأجهزة المحلية أو جهازًا ظاهريًا لشبكة الاتصال التي تقوم بمعالجة حركة المرور قبل السماح لها بالمرور عبر الإنترنت. |
| دعم العلامة | يدعم Azure Firewall علامات الخدمة وعلامات اسم مجال مؤهل بالكامل FQDN للحصول على تكوين قاعدة أسهل. علامة الخدمة هي كيان نصي يمثل خدمة Azure. على سبيل المثال، هو AzureCosmosDB علامة الخدمة لخدمة Azure Cosmos DB. علامة اسم مجال مؤهل بالكامل FQDN هي كيان نصي يمثل مجموعة من أسماء المجالات المقترنة بخدمات Microsoft الشائعة. على سبيل المثال، WindowsVirtualDesktop عبارة عن علامة اسم مجال مؤهل بالكامل لحركة مرور Azure Virtual Desktop. |
| المراقبة | يسجل جدار حماية Azure كل نسبة استخدام الشبكة الواردة والصادرة، ويمكنك تحليل السجلات الناتجة باستخدام Azure Monitor وPower BI وExcel وأدوات أخرى. |
ما هو Azure Firewall Premium؟
يوفر جدار الحماية Azure Premium حماية متقدمة من المخاطر تلبي احتياجات البيئات الحساسة والمنظمة للغاية، مثل صناعات الدفع والرعاية الصحية.
الميزات الرئيسية لـ Azure Firewall Premium
يسرد الجدول التالي الميزات الرئيسية Azure Firewall Premium.
| الميزة | الوصف |
|---|---|
| فحص TLS | فك تشفير حركة المرور الصادرة، ومعالجة البيانات، ثم تشفير البيانات وإرسالها إلى الوجهة. |
| IDPS | يسمح لك نظام الكشف عن اختراق الشبكة ومنعه (IDPS) بمراقبة أنشطة الشبكة للنشاط الضار، وتسجيل المعلومات حول هذا النشاط، والإبلاغ عنه، ومحاولة حظره اختياريا. |
| تصفية URL | توسيع إمكانية تصفية FQDN ل Azure Firewall للنظر في عنوان URL بأكمله. على سبيل المثال، www.contoso.com/a/c بدلًا من www.contoso.com. |
| فئات ويب | يمكن للمسؤولين السماح للمستخدم بالوصول إلى فئات مواقع الويب مثل مواقع المقامرة ومواقع التواصل الاجتماعي وغيرها أو رفض الوصول إليها. |
نظرة عامة على Azure Firewall Manager
يوفر Azure إدارة جدار الحماية نقطة مركزية من التكوين وإدارة مثيلات Azure Virtual Network متعددة. يُمكنك Azure Firewall Manager من إنشاء نهج جدار حماية واحد أو أكثر وتطبيقها بسرعة على جدران الحماية متعددة.
ما هو نهج جدار الحماية؟
يمكن أن يكون تكوين جدار Azure Firewall واحدًا معقدًا. على سبيل المثال، قد يتم تكوين جدار الحماية مع مجموعات قواعد متعددة. مجموعة هو تركيبة من أي أو كل العناصر التالية:
- قاعدة واحدة أكثر لترجمة عناوين الشبكة (NAT)
- قاعدة شبكة اتصال واحدة أو أكثر
- قواعد تطبيق واحدة أو أكثر
عند تضمين إعدادات جدار الحماية الأخرى مثل DNS مخصصة وقواعد التحليل الذكي للمخاطر، يمكن أن يكون تكوين جدار حماية واحد فقط عبئًا. إضافة إلى هذا العبء، يوجد اثنان من السيناريوهات الشائعة لأمن الشبكة:
- تتطلب تصميمات الشبكة جدران حماية متعددة.
- تريد أن يقوم كل جدار حماية بتطبيق كل من مستوى أساسي من قواعد الأمان التي تنطبق على الجميع، بالإضافة إلى قواعد خاصة للمجموعات المعينة مثل المطورين، ومستخدمي قاعدة البيانات، وقسم التسويق.
لتبسيط تعقيد إدارة وحدات سيناريو جدار الحماية هذه وسيناريوهات جدار الحماية المشابهة، يمكنك تنفيذ نُهج جدار الحماية. نهج جدار الحماية هو مورد Azure يحتوي على مجموعة واحدة أو أكثر من ترجمة عناوين الشبكة (NAT) وقواعد الشبكة والتطبيقات وإعدادات نظام أسماء المجالات (DNS) المخصصة وإعدادات استخبارات التهديد والمزيد.
النقطة الرئيسية هنا هي أن Azure يقدم موردًا يسمى Firewall Policy. نهج جدار الحماية الذي تقوم بإنشائه هو مثيل لهذا المورد. نظرًا إلى أنه مورد منفصل، يمكنك تطبيق النهج بسرعة على جدران الحماية المتعددة باستخدام Azure Firewall Manager. يمكنك إنشاء نهج واحد لكي يكون النهج الأساسي، ثم تكون لديك نُهج أكثر تخصصًا ترث قواعد النهج الأساسي.
الميزات الرئيسية Azure Firewall Manager
يسرد الجدول التالي الميزات الرئيسية Azure Firewall Manager.
| الميزة | الوصف |
|---|---|
| الإدارة المركزية | إدارة كل تكوينات جدار الحماية عبر الشبكة بأكملها. |
| إدارة جدران حماية متعددة | نشر وتكوين ومراقبة أي عدد من جدران الحماية من خلال واجهة واحدة. |
| دعم العديد من بنيات الشبكة | حماية كلٍّ من الشبكات الظاهرية القياسية لـ Azure ولوحات الوصل الظاهرية لـ WAN Azure. |
| توجيه نسبة استخدام الشبكة التلقائي | توجيه نسبة استخدام الشبكة تلقائيًا إلى جدار الحماية (عند استخدامها مع Azure Virtual WAN Hub فقط). |
| السياسات الهرمية | يتيح لك إنشاء ما يُطلق عليه نُهج جدار الحماية للأصل والتابع. يحتوي نهج الأصل على القواعد والإعدادات التي تود تطبيقها على مستوى عمومي، وينقل النهج التابع كل القواعد والإعدادات الخاصة بالأصل. |
| دعم موفري الأمان من الجهات الخارجية | يُمكنك من دمج أمان الطرف الثالث كحلول خدمة (SECaaS) لحماية اتصال شبكة الإنترنت. |
ملاحظة
من خلال تمكينك من دمج حلول SECaaS التابعة لجهات خارجية، قد تكون استراتيجية أمان الشبكة الخاصة بك تتمثل في استخدام جدار حماية Azure لمراقبة حركة مرور الشبكة المحلية في أثناء استخدام موفر SECaaS التابع لجهة خارجية في مراقبة نسبة استخدام الشبكة عبر الإنترنت.
خيارات التصميم
Azure Firewall Manager إدارة الأمان من أجل تصميمي شبكة الاتصال التاليين:
- شبكة اتصال افتراضية مركزية شبكة افتراضية قياسية لـ Azure حيث يتم تطبيق نهج جدار حماية واحد أو أكثر.
- لوحة الوصل الظاهرية المركزية شبكة افتراضية قياسية لـ Azure حيث تُطبق نُهج جدار حماية واحد أو أكثر.
هل تحتاج إلى مساعدة؟ راجع دليل استكشاف الأخطاء وإصلاحها الذي نقدمه أو يمكنك توفير ملاحظات معينة عبر الإبلاغ عن مشكلة.