مشاركة عبر

تغيير Azure Firewall SKU

توضح لك هذه المقالة كيفية تغيير SKU لجدار حماية Azure بين Standard وPremium. يمكنك الترقية من Standard إلى Premium للاستفادة من إمكانات الأمان المحسنة، أو الرجوع إلى إصدار سابق من Premium إلى Standard عندما لا تكون هناك حاجة إلى هذه الميزات. يوفر Azure Firewall Premium ميزات متقدمة للحماية من التهديدات بما في ذلك IDPS وفحص TLS وتصفية عناوين URL.

يمكنك تغيير رمز SKU لجدار الحماية الخاص بك باستخدام إحدى طريقتين:

  • طريقة تغيير SKU السهلة (موصى بها): ترقية أو الرجوع إلى إصدار أقدم بدون توقف باستخدام مدخل Microsoft Azure أو PowerShell أو Terraform
  • طريقة الترحيل اليدوي: الترحيل خطوة بخطوة للسيناريوهات المعقدة أو عندما لا يتوفر تغيير SKU السهل

لمزيد من المعلومات حول ميزات Azure Firewall Premium، راجع ميزات Azure Firewall Premium.

المتطلبات الأساسية

قبل أن تبدأ، تأكد من أن لديك:

  • اشتراك Azure مع توزيع Azure Firewall موجود
  • الأذونات المناسبة لتعديل موارد جدار الحماية (دور مساهم الشبكة أو أعلى)
  • الإصدار 6.5.0 من الوحدة النمطية Azure PowerShell أو أحدث (لأساليب PowerShell)
  • نافذة صيانة مخططة (لطريقة الترحيل اليدوي)

هام

تنطبق هذه المقالة على وحدات SKU القياسية والمتميزة لجدار حماية Azure فقط. لا يدعم Azure Firewall Basic SKU تغييرات SKU ويجب ترحيله إلى Standard SKU أولا قبل أي ترقية إلى Premium. قم دائما بإجراء عمليات تغيير SKU خلال أوقات الصيانة المجدولة واختبار العملية بدقة في بيئة غير إنتاجية أولا.

أسهل طريقة لتغيير Azure Firewall SKU بدون تعطل هي استخدام ميزة تغيير SKU . تدعم هذه الطريقة كلا من الترقية من Standard إلى Premium والرجوع إلى إصدار أقدم من Premium إلى Standard.

متى تستخدم تغيير SKU السهل

استخدم طريقة تغيير SKU السهلة عندما:

  • لديك Azure Firewall مع نهج جدار الحماية (وليس القواعد الكلاسيكية)
  • يتم نشر جدار الحماية الخاص بك في منطقة مدعومة
  • تريد تقليل وقت التوقف عن العمل (صفر وقت تعطل باستخدام هذه الطريقة)
  • لديك توزيع قياسي بدون تكوينات مخصصة معقدة
  • للرجوع إلى إصدار أقدم: لا تستخدم سياسة Premium الميزات الحصرية المميزة غير المتوافقة مع Standard

اعتبارات السياسة لتغييرات SKU

الترقية إلى Premium

أثناء عملية الترقية، اختر كيفية التعامل مع نهج جدار الحماية الخاص بك:

  • سياسة Premium الحالية: حدد سياسة Premium موجودة مسبقا لإرفاقها بجدار الحماية الذي تمت ترقيته
  • السياسة القياسية الحالية: استخدم السياسة القياسية الحالية. يقوم النظام تلقائيا بتكراره وترقيته إلى سياسة Premium
  • إنشاء سياسة Premium جديدة: اسمح للنظام بإنشاء سياسة Premium جديدة استنادا إلى التكوين الحالي

الرجوع إلى إصدار أقدم إلى المعيار

عند الرجوع إلى إصدار سابق من Premium إلى Standard، ضع في اعتبارك متطلبات النهج التالية:

هام

يجب إزالة الميزات الحصرية المميزة أو تعطيلها قبل الرجوع إلى رمز تخزين تعريفي قياسي.

الميزات المميزة التي يجب معالجتها قبل الرجوع إلى إصدار أقدم:

  • فحص طبقة النقل الآمنة: إيقاف قواعد فحص طبقة النقل الآمنة وإزالة الشهادات المرتبطة بها
  • IDPS (اكتشاف التسلل ومنعه): قم بتغيير وضع IDPS من التنبيه والرفض إلى التنبيه فقط أو إيقاف التشغيل
  • تصفية عناوين URL: استبدال قواعد تصفية عناوين URL بفلترة FQDN حيثما أمكن ذلك
  • فئات ويب: إزالة قواعد فئة الويب أو استبدالها بقواعد FQDN محددة

خيارات معالجة السياسة:

  • استخدام السياسة القياسية الموجودة: حدد سياسة قياسية موجودة مسبقا لا تحتوي على ميزات Premium
  • إنشاء نهج قياسي جديد: يمكن للنظام إنشاء نهج قياسي جديد، وإزالة الميزات الخاصة ب Premium تلقائيا
  • تعديل السياسة الحالية: إزالة الميزات المميزة يدويا من النهج الحالي قبل الرجوع إلى إصدار سابق

تغيير SKU باستخدام مدخل Microsoft Azure

لتغيير SKU لجدار الحماية باستخدام مدخل Microsoft Azure:

الترقية إلى Premium

  1. سجل الدخول إلى مدخل Azure.
  2. انتقل إلى مورد Azure Firewall الخاص بك.
  3. في صفحة نظرة عامة ، حدد تغيير رمز التخزين التعريفي.
  4. في مربع الحوار تغيير رمز التخزين التعريفي، حدد Premium كرمز SKU الهدف.
  5. اختر خيار البوليصة:
    • حدد سياسة Premium موجودة، أو
    • السماح للنظام بترقية وثيقتك القياسية الحالية إلى Premium
  6. حدد حفظ لبدء الترقية.

الرجوع إلى إصدار أقدم إلى المعيار

  1. سجل الدخول إلى مدخل Azure.
  2. انتقل إلى مورد Azure Firewall Premium.
  3. قبل الرجوع إلى إصدار سابق: تأكد من أن سياسة جدار الحماية لا تحتوي على ميزات حصرية مميزة (فحص طبقة النقل الآمنة، ووضع تنبيه ورفض IDPS، وتصفية عناوين URL، وفئات الويب).
  4. في صفحة نظرة عامة ، حدد تغيير رمز التخزين التعريفي.
  5. في مربع الحوار تغيير رمز التخزين التعريفي، حدد قياسي كرمز تخزين تعريفي هدف.
  6. اختر خيار البوليصة:
    • حدد سياسة قياسية موجودة، أو
    • السماح للنظام بإنشاء نهج قياسي جديد (تتم إزالة الميزات المميزة تلقائيا)
  7. حدد حفظ لبدء الرجوع إلى إصدار أقدم.

عادة ما تكتمل عملية تغيير SKU في غضون بضع دقائق دون توقف عن العمل.

لقطة شاشة توضح ترقية SKU.

تغيير PowerShell وTerraform SKU

يمكنك أيضا إجراء تغييرات على رمز التخزين التعريفي باستخدام:

  • PowerShell: قم بتغيير الخاصية sku_tier إلى "Premium" أو "Standard"
  • Terraform: قم بتحديث sku_tier السمة في التكوين إلى SKU المطلوب

القيود

تحتوي طريقة تغيير SKU السهلة على القيود التالية:

قيود عامة:

  • لا يدعم Azure Firewall Basic SKU - يجب على مستخدمي SKU الأساسي الترحيل إلى Standard أولا
  • غير متوفر لجدران الحماية ذات التكوينات المعقدة المعينة
  • توفر محدود في بعض المناطق
  • يتطلب نهج جدار الحماية الحالي (غير متوفر للقواعد الكلاسيكية)

القيود الخاصة بالرجوع إلى إصدار أقدم:

  • يجب إزالة الميزات المميزة (فحص طبقة النقل الآمنة، ووضع تنبيه ورفض IDPS، وتصفية عناوين URL، وفئات الويب) قبل الرجوع إلى إصدار سابق
  • إذا كان نهج Premium الخاص بك يحتوي على ميزات غير متوافقة، فيجب عليك تعديل النهج أو إنشاء نهج قياسي جديد
  • قد تحتاج بعض تكوينات القواعد إلى ضبط يدوي بعد الرجوع إلى إصدار سابق

إذا لم تكن طريقة تغيير رمز التخزين التعريفي السهل متوفرة للسيناريو الخاص بك، فاستخدم طريقة الترحيل اليدوي الموضحة في القسم التالي.

طريقة الترحيل اليدوي

إذا لم تكن طريقة الترقية السهلة متوفرة أو مناسبة للنشر، فيمكنك استخدام أسلوب الترحيل اليدوي. يوفر هذا النهج مزيدا من التحكم ولكنه يتطلب وقت توقف.

متى تستخدم الترحيل اليدوي

استخدم الترحيل اليدوي عندما:

  • الترقية السهلة غير متوفرة للسيناريو الخاص بك
  • لديك قواعد جدار الحماية الكلاسيكية التي تحتاج إلى ترحيل
  • لديك تكوينات مخصصة معقدة
  • تحتاج إلى التحكم الكامل في عملية الترحيل
  • يتم نشر جدار الحماية الخاص بك في جنوب شرق آسيا مع مناطق توافر الخدمات

الاعتبارات الخاصة بالأداء

يعد الأداء أحد الاعتبارات عند الترحيل من SKU القياسي. فحص IDPS و TLS هي عمليات حوسبة مكثفة. يستخدم Premium SKU وحدة SKU للجهاز الظاهري أكثر قوة، والذي يتوسع إلى معدل نقل أعلى يمكن مقارنته ب Standard SKU. لمزيد من المعلومات حول أداء جدار حماية Azure، راجع أداء جدار حماية Azure.

توصي Microsoft العملاء بإجراء اختبار واسع النطاق في نشر Azure الخاص بهم لضمان أن أداء خدمة جدار الحماية يلبي توقعاتك.

اعتبارات وقت التوقف عن العمل

خطط لنافذة صيانة عند استخدام طريقة الترحيل اليدوي، حيث يوجد بعض وقت التوقف (عادة من 20 إلى 30 دقيقة) أثناء عملية الإيقاف/البدء.

نظرة عامة على خطوات الترحيل

الخطوات العامة التالية مطلوبة للترحيل اليدوي الناجح:

  1. إنشاء سياسة Premium جديدة استنادا إلى السياسة القياسية الحالية أو القواعد الكلاسيكية
  2. ترحيل Azure Firewall من Standard إلى Premium باستخدام إيقاف/بدء التشغيل
  3. إرفاق سياسة Premium بجدار الحماية المميز الخاص بك

الخطوة 1: نقل القواعد الكلاسيكية إلى السياسة القياسية

إذا كانت لديك قواعد جدار الحماية الكلاسيكي، فقم أولا بترحيلها إلى نهج قياسي باستخدام مدخل Microsoft Azure:

  1. من مدخل Microsoft Azure، حدد جدار الحماية القياسي.
  2. في صفحة نظرة عامة ، حدد الترحيل إلى نهج جدار الحماية.
  3. في صفحة نهج الترحيل إلى جدار الحماية ، حدد مراجعة + إنشاء.
  4. حدد إنشاء.

يستغرق النشر بضع دقائق لإكماله.

يمكنك أيضا ترحيل القواعد الكلاسيكية الموجودة باستخدام Azure PowerShell. لمزيد من المعلومات، راجع ترحيل تكوينات Azure Firewall إلى نهج Azure Firewall باستخدام PowerShell.

الخطوة 2: إنشاء نهج Premium باستخدام PowerShell

استخدم البرنامج النصي PowerShell التالي لإنشاء نهج Premium جديد من نهج قياسي موجود:

هام

لا يقوم البرنامج النصي بترحيل إعدادات النطاقات الخاصة للذكاء عن التهديدات وSNAT. تحتاج إلى ملاحظة هذه الإعدادات قبل المتابعة وترحيلها يدويا.

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransform = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransform.Properties.Priority
            Name = $ruleToTransform.Name
        }

        if ($ruleToTransform.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransform.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

مثال على الاستخدام:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

الخطوة 3: ترحيل Azure Firewall باستخدام إيقاف/بدء التشغيل

إذا كنت تستخدم Azure Firewall Standard SKU مع نهج جدار الحماية، فيمكنك استخدام الأسلوب Allocate/Deletelocate لترحيل SKU لجدار الحماية إلى Premium. يتم دعم نهج الترحيل هذا على كل من مركز الشبكة الظاهرية وجدران حماية المركز الآمن.

إشعار

الحد الأدنى لمتطلبات إصدار Azure PowerShell هو 6.5.0. لمزيد من المعلومات، راجع Az 6.5.0.

ترحيل جدار حماية مركز الشبكة الظاهرية

إلغاء تخصيص جدار الحماية القياسي:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

تخصيص جدار الحماية Premium (عنوان IP عام واحد):

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Allocate($vnet,$publicip)
Set-AzFirewall -AzureFirewall $azfw

تخصيص جدار الحماية Premium (عناوين IP عامة متعددة):

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw

تخصيص جدار الحماية المتميز في وضع النفق القسري:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
$azfw.Allocate($vnet,$publicip,$mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

ترحيل جدار حماية مركز آمن

إلغاء تخصيص جدار الحماية القياسي:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

تخصيص جدار الحماية Premium:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
$azfw.Sku.Tier="Premium"
$azfw.Allocate($hub.id)
Set-AzFirewall -AzureFirewall $azfw

الخطوة 4: إرفاق سياسة Premium

بعد ترقية جدار الحماية إلى Premium، قم بإرفاق نهج Premium باستخدام مدخل Microsoft Azure:

  1. انتقل إلى جدار الحماية Premium في مدخل Microsoft Azure.
  2. في صفحة نظرة عامة ، حدد نهج جدار الحماية.
  3. حدد سياسة Premium التي تم إنشاؤها حديثا.
  4. حدد حفظ..

لقطة شاشة توضح سياسة جدار الحماية

ترحيل Terraform

إذا كنت تستخدم Terraform لنشر Azure Firewall، فيمكنك استخدام Terraform للترحيل إلى Azure Firewall Premium. لمزيد من المعلومات، راجع ترحيل Azure Firewall Standard إلى Premium باستخدام Terraform.

استكشاف مشكلات تغيير رمز التخزين التعريفي وإصلاحها

المشكلات والحلول الشائعة

  • تغيير SKU السهل غير متوفر: استخدم طريقة الترحيل اليدوي الموضحة في هذه المقالة
  • أخطاء ترحيل النهج: تأكد من تثبيت إصدارات الوحدة النمطية الصحيحة ل PowerShell
  • وقت التوقف عن العمل أطول من المتوقع: تحقق من اتصال الشبكة وتوفر الموارد
  • مشكلات الأداء بعد الترقية: مراجعة اعتبارات الأداء وإجراء اختبار شامل
  • تم حظر الرجوع إلى إصدار أقدم بواسطة ميزات Premium: قم بإزالة الميزات الحصرية المميزة أو تعطيلها قبل محاولة الرجوع إلى إصدار أقدم

استكشاف أخطاء الرجوع إلى إصدار سابق وإصلاحها

إذا لم تتمكن من الرجوع إلى إصدار سابق من Premium إلى Standard:

  1. التحقق من الميزات المميزة: تحقق من أن سياسة جدار الحماية لا تحتوي على:

    • قواعد فحص TLS
    • IDPS في وضع التنبيه والرفض
    • قواعد تصفية عناوين URL
    • قواعد فئة الويب

  2. خيارات تعديل السياسة:

    • إنشاء سياسة قياسية جديدة بدون ميزات Premium
    • تعديل النهج الحالي لإزالة الميزات المميزة
    • استخدام Azure PowerShell لتحديد القواعد غير المتوافقة وإزالتها

  3. خطوات التحقق من الصحة:

    # Check current firewall policy for Premium features
$policy = Get-AzFirewallPolicy -ResourceGroupName "myResourceGroup" -Name "myPolicy"

# Review policy settings for Premium features
$policy.ThreatIntelMode
$policy.IntrusionDetection
$policy.TransportSecurity

الحدود المعروفة

  • لا يتم حاليا دعم ترقية جدار حماية قياسي تم نشره في جنوب شرق آسيا باستخدام مناطق توافر الخدمات للترحيل اليدوي
  • لا يدعم تغيير رمز التخزين التعريفي السهل جدران حماية SKU الأساسية - يجب على المستخدمين الذين لديهم رمز SKU الأساسي الترحيل أولا إلى رمز SKU القياسي قبل الترقية إلى Premium
  • قد تتطلب بعض عمليات الضبط المخصصة نهج الترحيل اليدوي
  • يفشل الرجوع إلى إصدار أقدم باستخدام ميزات Premium النشطة حتى تتم إزالة هذه الميزات

الخطوات التالية

  • Last updated on