مشاركة عبر

البرنامج التعليمي: نشر جدار حماية Azure وسياسته وتكوينها باستخدام مدخل Azure

التحكم في الوصول إلى الشبكة الصادرة جزء هام من خطة أمان الشبكة بشكل عام. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو قد تحتاج إلى تحديد عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك التحكم في الوصول إلى شبكة الاتصال الصادرة من شبكة فرعية Azure هي باستخدام جدار حماية Azure وسياسة جدار الحماية. باستخدام Azure جدار الحماية وسياسة جدار الحماية، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه نسبة استخدام الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

لهذا البرنامج التعليمي، يمكنك إنشاء VNet واحد مبسطة مع اثنتين من الشبكات الفرعية لنشر سهل.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

رسم تخطيطي للبنية الأساسية لشبكة جدار الحماية.

بالنسبة إلى عمليات نشر الإنتاج، يوصى بإنشاء نموذج المحور والدولاب، حيث يكون جدار الحماية في VNet الخاص به. خوادم حمل العمل هي في VNets منظر في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إعداد بيئة شبكة اختبار
  • نشر جدار حماية وسياسة جدار حماية
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول لـwww.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إعداد الشبكة

أولاً، إنشاء مجموعة موارد لاحتواء الموارد اللازمة لتوزيع جدار الحماية. ثم إنشاء VNet والشبكات الفرعية وخادم اختبار.

إنشاء مجموعة موارد

تحتوي مجموعة الموارد على كافة الموارد الخاصة بالبرنامج التعليمي.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في قائمة مدخل Microsoft Azure، حدد Resource groups أو ابحث عن Resource groups وحددها من أي صفحة، ثم حدد Create. أدخل أو حدد القيم التالية:

    الإعداد القيمة‬
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد أدخل Test-FW-RG.
    المنطقة حدد المنطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.

  3. حدد "Review + create".

  4. حدد إنشاء.

إنشاء شبكة افتراضية

سيكون لشبكة VNet شبكتان فرعيتان.

إشعار

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. في قائمة مدخل Microsoft Azure أو من صفحة الصفحة الرئيسية، حدد إنشاء مورد.

  2. حدد Networking.

  3. ابحث عن Virtual network وحدد Create.

  4. أدخل أو حدد القيم التالية:

    الإعداد القيمة‬
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد Test-FW-RG.
    الاسم أدخل Test-FW-VN.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.

  5. حدد التالي.

  6. في علامة التبويب الأمان ، حدد التالي.

  7. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.

  8. ضمن Subnets، حدد default.

  9. في صفحة Edit subnet ، لغرض الشبكة الفرعية، حدد Azure Firewall.

    جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.

  10. بالنسبة إلى عنوان البدء، اكتب 10.0.1.0.

  11. حدد حفظ.

بعد ذلك، إنشاء شبكة فرعية لخادم حمل العمل.

  1. حدد Add subnet.
  2. لأجل Subnet name، اكتب Workload-SN.
  3. بالنسبة إلى عنوان البدء، اكتب 10.0.2.0/24.
  4. حدد إضافة.
  5. حدد "Review + create".
  6. حدد إنشاء.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. في قائمة مدخل Microsoft Azure أو من صفحة الصفحة الرئيسية، حدد إنشاء مورد.

  2. حدد Windows Server 2019 Datacenter.

  3. أدخل هذه القيم للجهاز الظاهري أو حددها:

    الإعداد القيمة‬
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد Test-FW-RG.
    اسم الجهاز الظاهري أدخل Srv-Work.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    اسم مستخدم أدخل username.
    كلمة المرور إدخال «password».

  4. في Inbound port rules، Public inbound ports، حدد None.

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Next:Monitoring.

  11. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  12. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

  13. بعد اكتمال النشر حدد المورد Srv-Work ثم لاحظ عنوان IP الخاص للاستخدام لاحقًا.

نشر جدار الحماية والنهج

نشر جدار الحماية في VNet.

  1. في قائمة مدخل Microsoft Azure أو من صفحة الصفحة الرئيسية، حدد إنشاء مورد.

  2. اكتب firewall في مربع البحث واضغط على Enter .

  3. حدد Firewall ثم حدد إنشاء .

  4. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

    الإعداد القيمة‬
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد Test-FW-RG.
    الاسم أدخل Test-FW01.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    إدارة جدار الحماية حدد استخدام نهج جدار الحماية لإدارة جدار الحماية هذا.
    نهج جدار الحماية حدد Add new، وأدخل fw-test-pol.
    حدد نفس المنطقة التي استخدمتها سابقا.
    اختر شبكة ظاهرية حدد Use existing، ثم حدد Test-FW-VN.
    عنوان IP العام حدد Add new، وأدخل fw-pip للاسم.

  5. قم بإلغاء تحديد خانة الاختيار Enable Firewall Management NIC .

  6. اقبل القيم الافتراضية الأخرى، ثم حدد Next: Tags.

  7. حدّد Next : Review + create.

  8. راجع الملخص، ثم حدد إنشاء لإنشاء جدار الحماية.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  9. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد Test-FW-RG، وحدد جدار الحماية Test-FW01.

  10. لاحظ عنواني IP الخاص والعام لجدار الحماية. ستستخدم هذه العناوين لاحقاً.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في القائمة المدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.

  2. ضمن الشبكات، حدد Route tables.

  3. حدد إنشاء، ثم أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد Test-FW-RG.
    المنطقة حدد الموقع نفسه الذي استخدمته سابقًا.
    الاسم أدخل Firewall-route.

  4. حدد "Review + create".

  5. حدد إنشاء.

بعد اكتمال التوزيع، حدد «Go to resource».

  1. في صفحة Firewall-route ضمن Settings، حدد Subnets ثم حدد Associate.

  2. بالنسبة للشبكة الظاهرية، حدد Test-FW-VN.

  3. لأجل Subnet، حدد Workload-SN.

  4. حدد موافق.

  5. حدد Routes ثم حدد Add.

  6. بالنسبة إلى Route name، أدخل fw-dg.

  7. بالنسبة لنوع الوجهة ، حدد عناوين IP.

  8. بالنسبة لعناوين IP الوجهة/بادئة نطاقات CIDR، أدخل 0.0.0.0/0.

  9. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  10. بالنسبة إلى عنوان الوثب التالي، أدخل عنوان IP الخاص لجدار الحماية الذي لاحظته سابقا.

  11. حدد إضافة.

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح مجموعة موارد Test-FW-RG ، وحدد نهج جدار الحماية fw-test-pol .
  2. ضمن Settings، حدد Application rules.
  3. حدد Add a rule collection.
  4. بالنسبة للاسم، أدخل App-Coll01.
  5. بالنسبة للأولوية، أدخل 200.
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. ضمن القواعد، للاسم، أدخل Allow-Google.
  8. بالنسبة لـ " Source type"، حدد " IP address".
  9. بالنسبة للمصدر، أدخل 10.0.2.0/24.
  10. بالنسبة إلى Protocol:port، أدخل http، https.
  11. لأجل Destination Type، حدد FQDN.
  12. بالنسبة إلى الوجهة، أدخل www.google.com
  13. حدد إضافة.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد "Network rules".
  2. حدد Add a rule collection.
  3. بالنسبة للاسم، أدخل Net-Coll01.
  4. بالنسبة للأولوية، أدخل 200.
  5. بالنسبة لـ Rule collection action، اختر Allow.
  6. لأجل Rule collection group، اكتب DefaultNetworkRuleCollectionGroup.
  7. ضمن Rules، للاسم، أدخل Allow-DNS.
  8. لأجل Source type، حدد IP address.
  9. بالنسبة للمصدر، أدخل 10.0.2.0/24.
  10. بالنسبة لـ Protocol، اختر UDP.
  11. بالنسبة لمنافذ الوجهة، أدخل 53.
  12. لأجل Destination type، حدد IP address.
  13. بالنسبة إلى الوجهة، أدخل 209.244.0.3,209.244.0.4.
    هذه هي خوادم DNS العامة التي تديرها CenturyLink.
  14. حدد إضافة.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بجهاز Srv-Work الظاهري من خلال جدار الحماية.

  1. حدد DNAT rules.
  2. حدد Add a rule collection.
  3. بالنسبة للاسم، أدخل RDP.
  4. بالنسبة للأولوية، أدخل 200.
  5. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
  6. ضمن Rules، ل Name، أدخل rdp-nat.
  7. بالنسبة لـ " Source type"، حدد " IP address".
  8. بالنسبة للمصدر، أدخل *.
  9. بالنسبة لـ Protocol، اختر TCP.
  10. بالنسبة لـ Destination Ports، أدخل 3389.
  11. بالنسبة إلى الوجهة، أدخل عنوان IP العام لجدار الحماية.
  12. بالنسبة للنوع المترجم، حدد عنوان IP.
  13. بالنسبة إلى العنوان المترجم، أدخل عنوان IP الخاص ب Srv-work .
  14. بانسبة لـ Translated port، أدخل 3389.
  15. حدد إضافة.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار في هذا البرنامج التعليمي،‏ عليك تكوين عناوين DNS الأساسي والثانوي الخادم. هذا ليس مطلبا عاما لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. أدخل 209.244.0.3 في مربع النص Add DNS server و209.244.0.4 في مربع النص التالي.
  6. حدد حفظ.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. ربط سطح مكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول إلى الجهاز الظاهري Srv-Work.

  2. افتح Microsoft Edge واستعرض للوصول إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. استعرض إلى https://www.microsoft.com.

    يجب أن يتم حظرك بواسطة جدار الحماية.

إذن الآن، تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك التصفح للوصول إلى اسمح المجال المؤهل بالكامل (FQDN) المسموح به، ولكن ليس لأي مجالٍ آخر.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية الخاصة بك من أجل البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة، حذف مجموعة الموارد Test-FW-RG لحذف كافة الموارد المتعلقة بجدار الحماية.

الخطوات التالية

توزيع وتكوين Azure Firewall Premium

  • Last updated on