كيفية إعداد ومراقبة قواعد Azure Firewall DNAT لإدارة نسبة استخدام الشبكة الآمنة

تستخدم قواعد AZURE Firewall DNAT (ترجمة عنوان الشبكة الوجهة) لتصفية نسبة استخدام الشبكة الواردة وتوجيهها. فهي تسمح لك بترجمة عنوان IP الوجهة العامة ومنفذ حركة المرور الواردة إلى عنوان IP خاص ومنفذ داخل شبكتك. هذا مفيد عندما تريد عرض خدمة تعمل على IP خاص (مثل خادم ويب أو نقطة نهاية SSH) للإنترنت أو شبكة أخرى.

تحدد قاعدة DNAT ما يلي:

• المصدر: عنوان IP المصدر أو مجموعة IP التي تنشأ منها نسبة استخدام الشبكة.
• الوجهة: عنوان IP الوجهة لمثيل Azure Firewall.
• البروتوكول: البروتوكول المستخدم لحركة المرور (TCP أو UDP).
• منفذ الوجهة: المنفذ على مثيل جدار حماية Azure الذي يتلقى نسبة استخدام الشبكة.
• العنوان المترجم: عنوان IP الخاص أو FQDN الذي يجب توجيه حركة المرور إليه.
• المنفذ المترجم: المنفذ على العنوان المترجم الذي يجب توجيه حركة المرور إليه.

عندما تتطابق حزمة البيانات مع قاعدة DNAT، يقوم جدار حماية Azure بتعديل عنوان IP الوجهة للحزمة ومنفذها وفقا للقاعدة قبل إعادة توجيهها إلى خادم الواجهة الخلفية المحدد.

يدعم جدار حماية Azure تصفية FQDN في قواعد DNAT، ما يسمح لك بتحديد اسم مجال مؤهل بالكامل (FQDN) كهدف للترجمة بدلا من عنوان IP ثابت. وهذا يمكن تكوينات الخلفية الديناميكية ويبسط الإدارة في السيناريوهات التي يمكن فيها تغيير عنوان IP الخاص بالخادم الخلفي بشكل متكرر.

المتطلبات الأساسية

• اشتراك Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.
• مثيل Azure Firewall.
• نهج Azure Firewall.

إنشاء قاعدة DNAT

1. في مدخل Microsoft Azure، انتقل إلى مثيل جدار حماية Azure.

2. في الجزء الأيمن، حدد قواعد .

3. حدد قواعد DNAT.

4. حدد + إضافة مجموعة قواعد DNAT.

5. في جزء إضافة مجموعة قواعد ، قم بتوفير المعلومات التالية:

   • الاسم: أدخل اسما لمجموعة قواعد DNAT.
   • الأولوية: حدد أولوية لمجموعة القواعد. تشير الأرقام الأقل إلى أولوية أعلى. النطاق هو 100-65000.
   • الإجراء: ترجمة عنوان الشبكة الوجهة (DNAT) (افتراضي).
   • مجموعة القواعد: هذا هو اسم مجموعة القواعد التي تحتوي على مجموعة قواعد DNAT. يمكنك تحديد مجموعة افتراضية أو مجموعة أنشأتها سابقا.
   • القواعد:
     • الاسم: أدخل اسما لقاعدة DNAT.
     • نوع المصدر: حدد عنوان IP أو مجموعة IP.
     • المصدر: أدخل عنوان IP المصدر أو حدد مجموعة IP.
     • البروتوكول: حدد البروتوكول (TCP أو UDP).
     • منافذ الوجهة: أدخل منفذ الوجهة أو نطاق المنفذ (على سبيل المثال: منفذ واحد 80 أو نطاق منفذ 80-100 أو منافذ متعددة 80443).
     • الوجهة (عنوان IP لجدار الحماية): أدخل عنوان IP الوجهة لمثيل Azure Firewall.
     • النوع المترجم: حدد عنوان IP أو FQDN.
     • العنوان المترجم أو FQDN: أدخل عنوان IP المترجم أو FQDN.
     • المنفذ المترجم: أدخل المنفذ المترجم.

6. كرر الخطوة 5 للحصول على قواعد إضافية حسب الحاجة.

7. حدد Add لإنشاء مجموعة قواعد DNAT.

مراقبة قواعد DNAT والتحقق من صحتها

بمجرد إنشاء قواعد DNAT، يمكنك مراقبتها واستكشاف الأخطاء وإصلاحها باستخدام سجل AZFWNatRule . يوفر هذا السجل رؤى مفصلة حول قواعد DNAT المطبقة على نسبة استخدام الشبكة الواردة، بما في ذلك:

• الطابع الزمني: الوقت المحدد لتدفق حركة المرور.
• البروتوكول: البروتوكول المستخدم للاتصال (على سبيل المثال، TCP أو UDP).
• عنوان IP المصدر والمنفذ: معلومات حول مصدر نسبة استخدام الشبكة الأصلي.
• عنوان IP الوجهة والمنفذ: تفاصيل الوجهة الأصلية قبل الترجمة.
• IP المترجم والمنفذ: عنوان IP الذي تم حله (إذا كان يستخدم FQDN) والمنفذ الهدف بعد الترجمة.

من المهم ملاحظة ما يلي عند تحليل سجل AZFWNatRule :

• الحقل المترجم: بالنسبة لقواعد DNAT التي تستخدم تصفية FQDN، تعرض السجلات عنوان IP الذي تم حله في الحقل المترجم بدلا من FQDN.
• مناطق DNS الخاصة: مدعومة فقط داخل الشبكات الظاهرية (VNets). هذه الميزة غير متوفرة لوحدات SKU الظاهرية WAN.
• عناوين IP متعددة في دقة DNS: إذا تم حل FQDN إلى عناوين IP متعددة في منطقة DNS خاصة أو خوادم DNS مخصصة، يحدد وكيل DNS لجدار حماية Azure عنوان IP الأول من القائمة. فهذا السلوك حسب التصميم.
• فشل حل FQDN:
  • إذا لم يتمكن Azure Firewall من حل FQDN، فلن تتطابق قاعدة DNAT، لذلك لا تتم معالجة نسبة استخدام الشبكة.
  • يتم تسجيل حالات الفشل هذه في سجلات AZFWInternalFQDNResolutionFailure فقط إذا تم تمكين وكيل DNS.
  • بدون تمكين وكيل DNS، لا يتم تسجيل حالات فشل الدقة.

الاعتبارات الرئيسية

الاعتبارات التالية مهمة عند استخدام قواعد DNAT مع تصفية FQDN:

• مناطق DNS الخاصة: مدعومة فقط داخل الشبكة الظاهرية وليس مع Azure Virtual WAN.
• عناوين IP متعددة في دقة DNS: يحدد وكيل DNS لجدار حماية Azure دائما عنوان IP الأول من القائمة التي تم حلها (منطقة DNS الخاصة أو خادم DNS المخصص). هذا سلوك متوقع.

يمكن أن يساعد تحليل هذه السجلات في تشخيص مشكلات الاتصال والتأكد من توجيه نسبة استخدام الشبكة بشكل صحيح إلى الخلفية المقصودة.

سيناريوهات DNAT الخاصة بعنوان IP

بالنسبة للسيناريوهات المتقدمة التي تتضمن شبكات متداخلة أو وصول شبكة غير قابل للتوجيه، يمكنك استخدام إمكانية IP DNAT الخاص بجدار حماية Azure. تتيح لك هذه الميزة ما يلي:

• التعامل مع سيناريوهات الشبكة المتداخلة حيث تشترك شبكات متعددة في نفس مساحة عنوان IP
• توفير الوصول إلى الموارد في الشبكات غير القابلة للتوجيه
• استخدم عنوان IP الخاص بجدار الحماية ل DNAT بدلا من عناوين IP العامة

لمعرفة كيفية تكوين DNAT الخاص بعنوان IP لهذه السيناريوهات، راجع توزيع Azure Firewall IP DNAT الخاص للشبكات المتداخلة وغير القابلة للتوجيه.

إشعار

يتوفر DNAT IP الخاص فقط في Azure Firewall Standard وPremium SKUs. لا يدعم رمز SKU الأساسي هذه الميزة.

الخطوات التالية

• تعرف على كيفية مراقبة سجلات ومقاييس Azure Firewall باستخدام Azure Monitor.
• توزيع Azure Firewall IP DNAT الخاص للشبكات المتداخلة وغير القابلة للتوجيه