تمرين - إنشاء NVA والأجهزة الظاهرية

  • 10 دقائق

في المرحلة التالية من عملية تنفيذ الأمان خاصتك، ستقوم بنشر جهاز ظاهري للشبكة (NVA) لتأمين ومراقبة المرور بين خوادمك العامة الأمامية والخوادم الخاصة الداخلية.

يمكنك تكوين الجهاز لإعادة توجيه حركة مرور IP. إذا لم يتم تمكين إعادة توجيه IP، فلن يتم تلقي المرور التي يتم توجيهها عبر جهازك من قِبل خوادم الوجهة المقصودة.

في هذا التمرين، يمكنك نشر جهاز شبكة nva إلى الشبكة الفرعية dmzsubnet . ثم تقوم بتمكين إعادة توجيه IP بحيث يتم إرسال نسبة استخدام الشبكة من * وحركة المرور التي تستخدم المسار المخصص إلى الشبكة الفرعية privatesubnet .

Visualization of a Network virtual appliance with IP forwarding enabled.

في الخطوات التالية، ستقوم بنشر NVA. ثم ستقوم بتحديث NIC الظاهري Azure وإعدادات الشبكة داخل الجهاز لتمكين إعادة توجيه IP.

نشر الجهاز الظاهري للشبكة

لبناء NVA، قم بنشر مثيل Ubuntu LTS.

  1. في Cloud Shell، قم بتشغيل الأمر التالي لنشر الجهاز. قم باستبدال <password> بكلمة مرور مناسبة من اختيارك لحساب مسؤول azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

قم بتمكين إعادة توجيه IP لواجهة شبكة Azure

في الخطوات التالية، يتم تمكين إعادة توجيه IP لجهاز شبكة NVA. عندما تتدفق المرور إلى NVA ولكنها تكون مخصصة لهدف آخر، فإن NVA سوف توجه تلك الحركة إلى وجهتها الصحيحة.

  1. قم بتشغيل الأمر التالي للحصول على معرّف واجهة شبكة NVA.

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. قم بتشغيل الأمر التالي للحصول على اسم واجهة شبكة NVA.

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. قم بتشغيل الأمر التالي لتمكين إعادة توجيه IP لواجهة الشبكة.

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

قم بتمكين توجيه IP في الجهاز

  1. قم بتشغيل الأمر التالي لحفظ عنوان IP العام للجهاز الظاهري NVA إلى المتغير NVAIP.

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. قم بتشغيل الأمر التالي لتمكين إعادة توجيه IP داخل NVA.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    عند المطالبة، قم بإدخال كلمة المرور التي استخدمتها عند إنشاء الجهاز الظاهري.