مشاركة عبر

التحكم في نسبة استخدام الشبكة الصادرة باستخدام Azure Firewall

توضح لك هذه المقالة كيفية تأمين نسبة استخدام الشبكة الصادرة من تطبيق App Service إلى موارد Azure الخلفية أو موارد الشبكة الأخرى باستخدام Azure Firewall. يساعد هذا التكوين على منع تسرب البيانات أو خطر زرع البرامج الضارة.

بشكل افتراضي، يمكن لتطبيق App Service تقديم طلبات صادرة إلى الإنترنت العام (على سبيل المثال، عند تثبيت حزم Node.js المطلوبة من NPM.org.). إذا تم دمج تطبيقك مع شبكة Azure الظاهرية، يمكنك التحكم في نسبة استخدام الشبكة الصادرة باستخدام مجموعات أمان الشبكة إلى حد محدود، مثل عنوان IP الهدف والمنفذ والبروتوكول. يتيح لك جدار حماية Azure التحكم في نسبة استخدام الشبكة الصادرة على مستوى أكثر دقة وتصفية نسبة استخدام الشبكة استنادًا إلى التحليل الذكي للمخاطر في الوقت الحقيقي من Microsoft Cyber Security. يمكنك إنشاء نهج اتصال التطبيقات والشبكة وفرضها وتسجيلها مركزيًا عبر الاشتراكات والشبكات الظاهرية (راجع ميزات Azure Firewall).

للحصول على مفاهيم تفصيلية للشبكة وتحسينات الأمان في App Service، راجع Networking features ومن Zero to Hero with App Service, Part 6: Securing your web app.

المتطلبات الأساسية

  • تمكين تكامل الشبكة الظاهرية الإقليمية لتطبيقك.
  • تحقق من تمكين Route All. يتم تمكين هذا الإعداد بشكل ظاهري، والذي يخبر App Service بتوجيه جميع نسبة استخدام الشبكة الصادرة من خلال الشبكة الظاهرية المتكاملة. إذا قمت بتعطيله، فسيتم توجيه نسبة استخدام الشبكة فقط إلى عناوين IP الخاصة من خلال الشبكة الظاهرية.
  • إذا كنت ترغب في توجيه الوصول إلى خدمات Azure الخلفية من خلال جدار حماية Azure أيضًا، فقم بتعطيل جميع نقاط نهاية الخدمة على الشبكة الفرعية App Service في الشبكة الظاهرية المتكاملة. بعد تكوين جدار حماية Azure، سيتم توجيه نسبة استخدام الشبكة الصادرة إلى خدمات Azure من خلال جدار الحماية بدلاً من نقاط نهاية الخدمة.

1. إنشاء الشبكة الفرعية لجدار الحماية المطلوب

لنشر جدار حماية في الشبكة الظاهرية المتكاملة، تحتاج إلى شبكة فرعية تسمى AzureFirewallSubnet.

  1. في مدخل Microsoft Azure، انتقل إلى الشبكة الظاهرية المتكاملة مع تطبيقك.
  2. من شريط التنقل الأيسر، حدد Subnets>+ Subnet.
  3. في الاسم، اكتب AzureFirewallSubnet.
  4. نطاق عنوان الشبكة الفرعية، اقبل الإعداد الافتراضي أو حدد نطاقًا بحجم /26 على الأقل.
  5. حدد حفظ.

2. نشر جدار الحماية والحصول على IP الخاص به

  1. في قائمة مدخل Microsoft Azure القائمة أو من صفحة الصفحة الرئيسية، حدد إنشاء مورد.

  2. اكتب firewall في مربع البحث واضغط على Enter .

  3. حدد Firewall ثم حدد إنشاء .

  4. في صفحة إنشاء جدار حماية، قم بتكوين جدار الحماية كما هو موضح في الجدول التالي:

    الإعداد القيمة‬
    مجموعة الموارد نفس مجموعة الموارد مثل الشبكة الظاهرية المتكاملة.
    الاسم اسم من اختيارك
    المنطقة نفس منطقة الشبكة الظاهرية المتكاملة.
    نهج جدار الحماية أنشئ واحدًا عن طريق تحديد إضافة جديد.
    الشبكة الظاهرية حدد الشبكة الظاهرية المتكاملة.
    عنوان IP العام حدد عنوانًا موجودًا أو أنشئ عنوانًا عن طريق تحديد إضافة عنوان جديد.

    لقطة شاشة لإنشاء جدار حماية Azure في مدخل Microsoft Azure.

  5. انقر فوق مراجعة + إنشاء.

  6. حدد إنشاء مرة أخرى.

    قد يستغرق الأمر بضع دقائق حتى إتمام النشر.

  7. بعد اكتمال النشر، انتقل إلى مجموعة الموارد الخاصة بك، وحدد جدار الحماية.

  8. في صفحة نظرة عامة على جدار الحماية، انسخ عنوان IP الخاص. سيتم استخدام عنوان IP الخاص كعنوان قفزة تالية في قاعدة التوجيه للشبكة الظاهرية.

    لقطة شاشة للحصول على عنوان IP الخاص لجدار حماية Azure.

3. توجيه نسبة استخدام الشبكة كافة إلى جدار الحماية

عند إنشاء شبكة ظاهرية، يقوم Azure تلقائيًا بإنشاء جدول توجيه ظاهري لكل شبكة من شبكاته الفرعية ويضيف التوجيهات الظاهرية للنظام إلى الجدول. في هذه الخطوة، يمكنك إنشاء جدول توجيه معرف من قبل المستخدم يوجه كافة نسبة استخدام الشبكة إلى جدار الحماية، ثم إقرانه بالشبكة الفرعية App Service في الشبكة الظاهرية المتكاملة.

  1. في القائمة مدخل Microsoft Azure، حدد All services أو ابحث عن All services وحددها من أي صفحة.

  2. ضمن الشبكات، حدد Route tables.

  3. حدد إضافة.

  4. تكوين جدول التوجيه مثل المثال التالي:

    لقطة شاشة لإنشاء جدول توجيه توجيهي في مدخل Microsoft Azure.

    تأكد من تحديد نفس المنطقة مثل جدار الحماية الذي أنشأته.

  5. حدد "Review + create".

  6. حدد إنشاء.

  7. بعد اكتمال التوزيع، حدد «Go to resource».

  8. من شريط التنقل الأيسر، حدد Routes>Add.

  9. تكوين المسار الجديد كما هو موضح في الجدول التالي:

    الإعداد القيمة‬
    بادئة العنوان 0.0.0.0/0
    نوع القفزة التالية الجهاز الظاهري
    عنوان القفزة التالية عنوان IP الخاص لجدار الحماية الذي نسخته في 2. نشر جدار الحماية والحصول على IP الخاص به.

  10. من شريط التنقل الأيسر، حدد Subnets>Associate.

  11. في الشبكة الظاهرية، حدد شبكتك الظاهرية المتكاملة.

  12. في الشبكة الفرعية، حدد الشبكة الفرعية App Service.

    لقطة شاشة لربط جدول التوجيه بالشبكة الفرعية ل App Service.

  13. حدد موافق.

4. تكوين نهج جدار الحماية

يتم الآن توجيه نسبة استخدام الشبكة الصادرة من تطبيقك من خلال الشبكة الظاهرية المتكاملة إلى جدار الحماية. للتحكم في نسبة استخدام الشبكة الصادرة لخدمة التطبيقات، أضف قاعدة تطبيق إلى نهج جدار الحماية.

  1. انتقل إلى صفحة نظرة عامة على جدار الحماية وحدد نهج جدار الحماية الخاص به.

  2. في صفحة نهج جدار الحماية، من شريط التنقل الأيمن، حدد Application Rules>Add a rule collection.

  3. في القواعد، أضف قاعدة شبكة مع الشبكة الفرعية App Service كعنوان المصدر، وحدد وجهة FQDN. في لقطة الشاشة أدناه، يتم تعيين FQDN الوجهة إلى contoso.com.

    لقطة شاشة لتكوين قاعدة نهج Azure Firewall.

    إشعار

    بدلًا من تحديد الشبكة الفرعية App Service كعنوان المصدر، يمكنك أيضًا استخدام عنوان IP الخاص للتطبيق في الشبكة الفرعية مباشرة. يمكنك العثور على عنوان IP الخاص بتطبيقك في الشبكة الفرعية WEBSITE_PRIVATE_IP باستخدام متغير البيئة.

  4. حدد إضافة.

5. التحقق من نسبة استخدام الشبكة الصادرة

من الطرق السهلة للتحقق من التكوين الخاص بك استخدام الأمر curl من وحدة تحكم تتبع أخطاء SCM لتطبيقك للتحقق من الاتصال الصادر.

  1. في المتصفح، انتقل إلى https://<app-name>.scm.azurewebsites.net/DebugConsole.

  2. في وحدة التحكم، قم بتشغيل curl -s <protocol>://<fqdn-address> بعنوان URL يطابق قاعدة تطبيق قمت بتكوينها. لقطة الشاشة التالية هي مثال لموقع ويب يعرض استجابة ناجحة من واجهة برمجة التطبيقات، تعرض عنوان IP.

    لقطة شاشة للتحقق من نجاح نسبة استخدام الشبكة الصادرة باستخدام أمر curl في وحدة تحكم تتبع أخطاء SCM.

  3. قم بتشغيل curl -s <protocol>://<fqdn-address> مرة أخرى باستخدام عنوان URL لا يتطابق مع قاعدة التطبيق التي قمت بتكوينها. في لقطة الشاشة التالية، لا تحصل على أي استجابة، ما يشير إلى أن جدار الحماية الخاص بك قد حظر الطلب الصادر من التطبيق.

    لقطة شاشة لإرسال نسبة استخدام الشبكة الصادرة باستخدام أمر curl في وحدة تحكم تتبع أخطاء SCM.

تلميح

نظرا لأن هذه الطلبات الصادرة تمر عبر جدار الحماية، يمكنك تسجيلها في سجلات جدار الحماية عن طريق تمكين التسجيل التشخيصي لجدار الحماية (تمكين AzureFirewallApplicationRule).

إذا قمت بتشغيل الأوامر curl مع تمكين سجلات التشخيص، فإنه يمكنك العثور عليها في سجلات جدار الحماية.

  1. في مدخل Microsoft Azure، انتقل إلى جدار الحماية.

  2. في شريط التنقل الأيسر، حدد Logs.

  3. أغلق رسالة الترحيب عن طريق تحديد X.

  4. من All Queries، حدد Firewall Logs>Application rule log data.

  5. انقر فوق تشغيل. يمكنك مشاهدة سجلي الوصول هذين في نتيجة الاستعلام.

    لقطة شاشة لوحدة تحكم تتبع أخطاء SCM للتحقق من فشل نسبة استخدام الشبكة الصادرة باستخدام أمر curl.

المزيد من الموارد

مراقبة سجلات ومقاييس Azure Firewall.