مشاركة عبر

كيفية تصفية نسبة استخدام الشبكة باستخدام مجموعات أمان الشبكة

استخدم مجموعة أمان شبكة Azure (NSG) لتصفية نسبة استخدام الشبكة من وإلى موارد Azure في شبكة Azure الظاهرية. توفر مجموعات أمان الشبكة إمكانات أساسية لتصفية نسبة استخدام الشبكة تساعد في تأمين البنية الأساسية السحابية الخاصة بك من خلال التحكم في حركة المرور التي يمكن أن تتدفق بين الموارد. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح (أو ترفض) نسبة استخدام الشبكة الوارد (أو الصادر) إلى عدة أنواع من موارد Azure. لكل قاعدة، يمكنك تحديد تفاصيل المصدر والوجهة والمنفذ والبروتوكول.

يمكنك نشر الموارد من العديد من خدمات Azure في شبكة Azure ظاهرية. للاطلاع على قائمة كاملة، راجع الخدمات التي يمكن نشرها في شبكة ظاهرية. إذا رغبت في ذلك، يمكنك إقران مجموعة أمان الشبكة بكل شبكة فرعية للشبكة الظاهرية وواجهة شبكة في جهاز ظاهري. يمكن إقران نفس مجموعة أمان الشبكة بأي عدد تختاره من الشبكات الفرعية وواجهات الشبكة.

يوضح الرسم التخطيطي التالي سيناريوهات مختلفة لكيفية نشر مجموعات أمان الشبكة للسماح بحركة مرور الشبكة من وإلى الإنترنت عبر منفذ TCP 80:

لقطة شاشة للرسم التخطيطي لتدفق نسبة استخدام الشبكة لمجموعة أمان الشبكة يوضح معالجة القواعد الواردة والصادرة لأجهزة Azure الظاهرية.

راجع الرسم التخطيطي السابق لفهم كيفية معالجة Azure للقواعد الواردة والصادرة. يوضح الرسم التخطيطي كيفية تعامل مجموعات أمان الشبكة مع تصفية نسبة استخدام الشبكة.

Inbound traffic

بالنسبة لنسبة استخدام الشبكة الواردة، يعالج Azure أولا القواعد في مجموعة أمان الشبكة المقترنة بشبكة فرعية إذا كانت موجودة. يعالج Azure بعد ذلك القواعد في مجموعة أمان الشبكة المقترنة بواجهة الشبكة إذا كانت موجودة. ينطبق ترتيب التقييم نفسه على حركة مرور الشبكة الفرعية.

  • VM1: تتم معالجة قواعد الأمان في NSG1 لأن NSG1 مقترن بالشبكة الفرعية1، ويوجد VM1 في الشبكة الفرعية1. تحظر قاعدة الأمان الافتراضية DenyAllInbound نسبة استخدام الشبكة ما لم تقم بإنشاء قاعدة مخصصة تسمح صراحة بالمنفذ 80 الوارد. لا يقوم NSG2، المقترن بواجهة الشبكة NIC1، بتقييم حركة المرور المحظورة. ومع ذلك، إذا كان NSG1 يسمح بالمنفذ 80 في قاعدة الأمان الخاصة به، فإن NSG2 يقيم نسبة استخدام الشبكة. للسماح بالمنفذ 80 إلى الجهاز الظاهري، يجب أن يتضمن كل من NSG1وNSG2 قاعدة تسمح بالمنفذ 80 من الإنترنت.

  • VM2: تتم معالجة قواعد الأمان في NSG1 لأن VM2 موجود أيضا في الشبكة الفرعية1. نظرا لأن VM2 لا يحتوي على مجموعة أمان شبكة مقترنة بواجهة الشبكة الخاصة به، فإنه يتلقى جميع حركة المرور المسموح بها من خلال NSG1 ويرفض جميع حركة المرور المحظورة بواسطة NSG1. نسبة استخدام الشبكة إما مسموح بها أو مرفوضة لكافة الموارد في نفس الشبكة الفرعية عندما تكون مجموعة أمان الشبكة مُقترنة بشبكة فرعية.

  • VM3: نظرا لعدم وجود مجموعة أمان شبكة مقترنة بالشبكة الفرعية 2، يتم السماح بحركة المرور في الشبكة الفرعية ومعالجتها بواسطة NSG2 لأن NSG2 مقترن بواجهة الشبكة NIC1 المرفقة ب VM3.

  • VM4: تم حظر نسبة استخدام الشبكة إلى VM4 لأن مجموعة أمان الشبكة غير مقترنة بالشبكة الفرعية 3 ولا واجهة الشبكة في الجهاز الظاهري. يتم حظر جميع حركة مرور الشبكة من خلال شبكة فرعية وواجهة شبكة إذا لم يكن لديهم مجموعة أمان شبكة مرتبطة بها. الجهاز الظاهري الذي يحتوي على عنوان IP عام قياسي آمن بشكل افتراضي. لكي تتدفق نسبة استخدام الشبكة من الإنترنت، يجب أن تقترن مجموعة أمان الشبكة بالشبكة الفرعية أو واجهة الشبكة للجهاز الظاهري. لمزيد من المعلومات، راجع إصدار عنوان IP.

Outbound traffic

بالنسبة لنسبة استخدام الشبكة الصادرة، يعالج Azure قواعد مجموعة أمان الشبكة بترتيب معين. يقوم Azure بتقييم القواعد في أي مجموعة أمان شبكة مقترنة بواجهة الشبكة. بعد ذلك، يعالج Azure القواعد في أي مجموعة أمان شبكة مقترنة بالشبكة الفرعية. ينطبق ترتيب المعالجة نفسه على حركة مرور الشبكة الفرعية.

  • الجهاز الظاهري 1: تُعالج قواعد الأمان في NSG2. تسمح قاعدة الأمان الافتراضية AllowInternetOutbound في كل من NSG1 و NSG2 بحركة المرور ما لم تقم بإنشاء قاعدة أمان ترفض صراحة المنفذ 80 الصادر إلى الإنترنت. إذا رفض NSG2 المنفذ 80 في قاعدة الأمان الخاصة به، فإنه يرفض حركة المرور، ولا يتلقى NSG1 حركة المرور أبدا ولا يمكنه تقييمها. لرفض المنفذ 80 من الجهاز الظاهري، يجب أن يكون لدى إحدى مجموعات أمان الشبكة أو كليهما قاعدة ترفض المنفذ 80 إلى الإنترنت.

  • VM2: يتم إرسال جميع حركة المرور من خلال واجهة الشبكة إلى الشبكة الفرعية، نظرا لأن واجهة الشبكة المرفقة ب VM2 لا تحتوي على مجموعة أمان شبكة مقترنة بها. تُعالج القواعد في NSG1.

  • VM3: إذا رفض NSG2 المنفذ 80 في قاعدة الأمان الخاصة به، فإنه يحظر حركة المرور. إذا لم يرفض NSG2 المنفذ 80، فإن قاعدة الأمان الافتراضية AllowInternetOutbound في NSG2 تسمح بنسبة استخدام الشبكة لأنه لا توجد مجموعة أمان شبكة مقترنة بالشبكة الفرعية 2.

  • VM4: تتدفق نسبة استخدام الشبكة بحرية من VM4 لأنه لا توجد مجموعة أمان شبكة مقترنة بواجهة شبكة الجهاز الظاهري أو الشبكة الفرعية3.

Intra-subnet traffic

من المهم ملاحظة أن قواعد الأمان في مجموعة أمان الشبكة المقترنة بشبكة فرعية يمكن أن تؤثر على الاتصال بين الأجهزة الظاهرية داخلها. بشكل افتراضي، يمكن للأجهزة الظاهرية في نفس الشبكة الفرعية الاتصال استنادا إلى قاعدة مجموعة أمان الشبكة الافتراضية التي تسمح بحركة مرور الشبكة الفرعية. إذا أضفت قاعدة إلى NSG1 ترفض جميع نسبة استخدام الشبكة الواردة والصادرة، فلن يتمكن VM1وVM2 من الاتصال ببعضهما البعض.

يمكنك بسهولة استعراض القواعد المُجمعة المُطبقة على واجهة الشبكة من خلال عرض قواعد الأمان الفعالة لواجهة الشبكة. تساعد إمكانية التحقق من تدفق IP في Azure Network Watcher في تحديد ما إذا كان الاتصال مسموحا به من واجهة الشبكة أو منها. يحدد التحقق من تدفق IP ما إذا كان الاتصال مسموحا به أو مرفوضا. كما يحدد قاعدة أمان الشبكة المسؤولة عن السماح بحركة المرور أو رفضها.

يمكن أن يساعد مدقق الشبكة في Azure Virtual Network Manager أيضا في استكشاف أخطاء إمكانية الوصول بين الأجهزة الظاهرية والإنترنت أو موارد Azure الأخرى وإصلاحها. يوفر مدقق الشبكة رؤى حول قواعد مجموعة أمان الشبكة وقواعد ونهج Azure الأخرى التي قد تؤثر على الاتصال.

Tip

للحصول على تكوين الأمان الأمثل، تجنب إقران مجموعات أمان الشبكة بكل من الشبكة الفرعية وواجهات الشبكة الخاصة بها في نفس الوقت. اختر إقران مجموعة أمان الشبكة إما بالشبكة الفرعية أو واجهة الشبكة، ولكن ليس كليهما. عند تطبيق مجموعات أمان الشبكة على مستويات متعددة، يمكن أن تتعارض القواعد مع بعضها البعض. غالبا ما يؤدي هذا التداخل في قواعد الأمان إلى مشكلات غير متوقعة في تصفية حركة المرور يصعب استكشاف الأخطاء وإصلاحها.

Next steps

  • Last updated on