كيفية عمل Azure Firewall

  • 10 دقائق

أنت على دراية بالمزايا الأساسية لكل من Azure Firewall، وAzure Firewall Manager. الآن دعونا نفحص كيفية عمل تلك التقنيات لتوفير الأمان لموارد Azure. تساعدك تلك المعلومات في تقييم ما إذا كان Azure Firewall هو الأداة المناسبة لاستراتيجية أمان الشبكة في Contoso أم لا.

كيف يحمي Azure Firewall شبكة اتصال ظاهرية لـ Azure

لفهم كيفية حماية Azure Firewall للشبكة الظاهرية، اعلم أن هناك نوعين من الخصائص الرئيسية لأي نشر Azure Firewall:

  • مثيل جدار الحماية له عنوان IP عام حيث يُرسل إليه كل نسبة استخدام الشبكة الواردة.
  • يحتوي مثيل جدار الحماية على عنوان IP خاص حيث يُرسل إليه كل نسبة استخدام الشبكة الصادرة.

أي أن كل نسبة استخدام الشبكة- الواردة والصادرة- تمر عبر جدار الحماية. بشكل افتراضي، يمنع جدار الحماية الوصول إلى كل شيء. تتمثل مهمتك في تكوين جدار الحماية مع الظروف التي تسمح بنسبة استخدام الشبكة من خلال جدار الحماية. يُطلق على كل شرط اسم قاعدة وتطبق كل قاعدة عملية تدقيق واحدة أو أكثر على البيانات. يُسمح بنسبة استخدام الشبكة التي تمر بكل عملية تحقق في جميع قواعد جدار الحماية كي تمر من خلاله.

تعتمد كيفية إدارة نسبة استخدام شبكة Azure Firewall على مكان إنشاء نسبة استخدام الشبكة:

  • أمّا نسبة استخدام الشبكة الواردة المسموح بها، فيستخدم جدار حماية Azure DNAT لترجمة عنوان IP العام لجدار الحماية إلى عنوان IP الخاص لمورد الوجهة المناسب في الشبكة الظاهرية.
  • أمّا حركة المرور الصادرة المسموح بها، فيستخدم جدار حماية Azure SNAT لترجمة عنوان IP المصدر إلى عنوان IP العام لجدار الحماية.

ملاحظة

يستخدم جدار حماية Azure فقط SNAT عندما يكون عنوان IP الوجهة خارج الشبكة الظاهرية. إذا كان عنوان IP الوجهة من مساحة العنوان الخاص بالشبكة الظاهرية، فلا يستخدم جدار حماية Azure SNAT على نسبة استخدام الشبكة.

حيث جدار حماية Azure يناسب مع الشبكة الافتراضية

لكي يقوم جدار حماية Azure بعمله بشكل فعّال، ينبغي إعداده كحاجز بين شبكة موثوق بها تريد حمايتها وشبكة غير موثوق بها تقدم تهديدات محتملة. أمّا الشكل الأكثر شيوعًا فهو أنه يمكنك توزيع Azure Firewall في شكل حاجز بين الشبكة الظاهرية Azure والإنترنت.

يُوزع Azure Firewall بشكل أفضل باستخدام لوحة المركز والتحدث وطوبولوجيا الشبكة مع الخصائص التالية:

  • شبكة افتراضية تعمل كنقطة اتصال مركزية. هذه الشبكة هي الشبكة الظاهرية المركزية.
  • شبكة اتصال ظاهرية واحدة أو أكثر تتم مناظرتها بالمركز. هذه النظائر عبارة عن الشبكات الظاهرية المتحدثة وتستخدم لتوفير خوادم عبء العمل.

يمكنك توزيع مثيل جدار الحماية في شبكة فرعية لشبكة الاتصال الظاهرية المركزية، ثم قم بتكوين كل نسبة استخدام الشبكة الواردة والصادرة للانتقال من خلال جدار الحماية.

استخدم الخطوات العامة التالية لإعداد مثيل Azure Firewall:

  1. إنشاء شبكة اتصال ظاهرية مركزية يتضمن شبكة فرعية لتوزيع جدار الحماية.
  2. إنشاء الشبكات الظاهرية للمتحدث والشبكات الفرعية والخوادم الخاصة بهم.
  3. ضع المركز والشبكات في نظائر.
  4. وزّع جدار الحماية على الشبكة الفرعية الخاصة بالمركز.
  5. أمّا نسبة استخدام الشبكة الصادرة، فقم بإنشاء مسار افتراضي يرسل نسبة استخدام الشبكة من كل الشبكات الفرعية إلى عنوان IP الخاص لجدار الحماية.
  6. تكوين جدار الحماية مع قواعد لتصفية نسبة استخدام الشبكة الواردة والصادرة.

أنواع قواعد Azure Firewall

يصف الجدول التالي ثلاثة أنواع من القواعد يمكنك من خلالها إنشاء جدار حماية Azure.

نوع القاعدة الوصف
ترجمة عناوين الشبكة (NAT) قم بترجمة وتصفية نسبة استخدام الشبكة على الإنترنت الوارد استنادًا إلى عنوان IP العام لجدار الحماية ورقم منفذ محدد. على سبيل المثال، لتمكين اتصال سطح مكتب عن بُعد بجهاز ظاهري، قد تستخدم قاعدة ترجمة عناوين الشبكة (NAT) لترجمة عنوان IP العمومي لجدار الحماية الخاص بك ومنفذ 3389 إلى عنوان IP الخاص للجهاز الظاهري.
التطبيق تصفية حركة المرور استنادًا إلى اسم مجال مؤهل بالكامل FQDN. على سبيل المثال، قد تستخدم قاعدة تطبيق للسماح لنسبة استخدام الشبكة الصادرة بالوصول إلى مثيل قاعدة بيانات AZURE SQL باستخدام اسم مجال مؤهل بالكامل FQDN server10.database.windows.net.
الشبكة تصفية نسبة استخدام الشبكة استنادًا إلى واحدة أو أكثر من معلمات شبكة الاتصال الثلاث التالية: عنوان IP والمنفذ والبروتوكول. على سبيل المثال، قد تستخدم قاعدة شبكة اتصال للسماح لحركة المرور الصادرة بالوصول إلى خادم DNS معين في عنوان IP باستخدام المنفذ 53.

Network diagram of an external computer requesting a remote desktop connection with a virtual machine and Azure Firewall translating its public IP address to the virtual machine's private IP address.

هام

يطبق Azure Firewall القواعد بترتيب الأفضلية. تعطي القواعد القائمة على التحليل الذكي للمخاطر دائمًا الأولوية القصوى وتُعالج أولاً. بعد ذلك، تُطبق القواعد حسب النوع: قواعد ترجمة عناوين الشبكة (NAT)، ثم قواعد الشبكة، ثم قواعد التطبيق. داخل كل نوع، تُعالج القواعد وفقًا لقيم الأولوية التي تقوم بتعيينها عند إنشاء القاعدة، من القيمة الأقل إلى القيمة الأعلى.

خيارات توزيع Azure Firewall

يوفر Azure Firewall العديد من المزايا المصممة لتسهيل إنشاء القواعد وإدارتها. يلخص الجدول التالي تلك الميزات.

الميزة الوصف
اسم مجال مؤهل بالكامل (FQDN) اسم مجال لمضيف، أو عنوان IP واحد أو أكثر. إضافة اسم مجال مؤهل بالكامل (FQDN) إلى قاعدة تطبيق تسمح بالوصول إلى هذا المجال. عند استخدام اسم مجال مؤهل بالكامل (FQDN) في قاعدة تطبيق يمكنك استخدام بطاقات خارجية مثل *.google.com.
علامة اسم مجال مؤهل بالكامل (FQDN) مجموعة من أسماء المجال المؤهل بالكامل (FQDNs) Azure Firewall المعروفة. إضافة علامة اسم مجال مؤهل بالكامل (FQDN) إلى قاعدة تطبيق تتيح الوصول الصادر إلى أسماء مجال مؤهل بالكامل (FQDNs) للعلامة. توجد علامات اسم مجال مؤهل بالكامل (FQDN) من أجل Windows Update وAzure Virtual Desktop وتشخيص Windows وAzure Backup، وأكثر من ذلك. تُدار علامات أسماء مجال مؤهل بالكامل FQDN بواسطة Microsoft ولا يمكن تعديلها أو إنشاؤها.
علامة الخدمة مجموعة من بادئات عناوين IP المتعلقة بخدمة Azure معينة. إضافة علامة خدمة إلى قاعدة شبكة اتصال تتيح الوصول إلى الخدمة التي تمثلها العلامة. توجد علامات الخدمة لعشرات من خدمات Azure، بما في ذلك Azure Backup، وAzure Cosmos DB، وLogic Apps، وأكثر من ذلك. تُدار علامات الخدمة من خلال Microsoft ولا يمكن تعديلها أو إنشاؤها.
مجموعات IP مجموعة من عناوين IP مثل 10.2.0.0/16 أو 10.1.0.0-10.1.0.31. يمكنك استخدام مجموعة IP في شكل عنوان المصدر في قاعدة NAT أو تطبيق أو عنوان المصدر أو الوجهة في قاعدة شبكة.
نظام أسماء مجالات مخصصة خادم نظام أسماء مجالات مخصصة (DNS) يحلل أسماء المجالات إلى عناوين IP. إذا كنت تستخدم خادم نظام أسماء مجالات مخصصة (DNS) بدلاً من DNS Azure يجب أيضًا تكوين جدار حماية Azure ليكون وكيلاً لنظام أسماء المجالات (DNS).
وكيل نظام أسماء المجالات (DNS) يمكنك تكوين جدار حماية Azure للعمل لكي يكون وكيل نظام أسماء المجالات (DNS)، ما يعني أن كل طلبات نظام أسماء مجالات مخصصة (DNS) للعميل، والذي يمر عبر جدار الحماية قبل الانتقال إلى خادم DNS.