العمل مع وصول NSG وAzure Bastion

عند العمل مع Azure Bastion، يمكنك استخدام مجموعات أمان الشبكة (NSGs). لمزيد من المعلومات، راجع مجموعات الأمان .

NSG

في هذا المخطط:

  • يتم نشر مضيف الأساس في الشبكة الظاهرية.
  • ويتصل المستخدم بمدخل Microsoft Azure باستخدام أي متصفح HTML5.
  • ينتقل المستخدم إلى الجهاز الظاهري Azure إلى RDP / SSH.
  • ربط التكامل - جلسة RDP / SSH بنقرة واحدة داخل المتصفح
  • لا تحتاج إلى عنوان IP عام في الأجهزة الظاهرية لـ Azure.

مجموعات أمان الشبكة

يوضح لك هذا القسم انتقال الشبكة بين المستخدم وAzure Bastion، ومن خلال استهداف الأجهزة الافتراضية في شبكتك الافتراضية:

هام

إذا اخترت استخدام NSG مع مورد Azure Bastion، يجب إنشاء جميع قواعد الانتقال التالية للدخول والخروج. سيؤدي حذف أي من القواعد التالية في مجموعة NSG الخاصة بك إلى حظر مورد Azure Bastion الخاص بك من تلقي التحديثات الضرورية في المستقبل، وبالتالي فتح مواردك على الثغرات الأمنية المستقبلية.

AzureBastionSubnet

تم توزيع Azure Bastion خصوصاً لـ AzureBastionSubnet.

  • الانتقال الداخل:⁦

    • الانتقال الداخل من الإنترنت العام: سيقوم Azure Bastion بإنشاء عنوان IP عام يحتاج إلى منفذ 443 ممكّن على IP العام للانتقال الداخل. المنفذ 3389/22 غير مطلوب ليتم فتحه على AzureBastionSubnet. لاحظ أن المصدر يمكن أن يكون إما الإنترنت أو مجموعة من عناوين IP العامة التي تحددها.
    • الانتقال الداخل من مستوى التحكم في Azure Bastion: لاتصال مستوى التحكم، قم بتمكين المنفذ 443 الوارد من علامة خدمة GatewayManager. يمكّن هذا الإجراء مستوى التحكم، يعني Gateway Manager لتتمكن من التحدث إلى Azure Bastion.
    • الانتقال الداخل من مستوى بيانات Azure Bastion: لاتصالات مستوى البيانات بين المكونات الأساسية لـ Azure Bastion، قم بتمكين المنافذ 8080 و5701 وارداً من علامة خدمة الشبكة الظاهرية إلى علامة خدمة الشبكة الظاهرية. يتيح ذلك لمكونات Azure Bastion التحدث مع بعضها البعض.
    • الانتقال الداخل من Azure Load Balancer: بالنسبة لتحقيقات الصحة، قم بتمكين المنفذ 443 الوارد من علامة خدمة AzureLoadBalancer. يمكّن هذا Azure Load Balancer من اكتشاف الاتصال

    لقطة شاشة تعرض قواعد الأمان الواردة لاتصال Azure Bastion.

  • الانتقال الخارج:⁦

    • الانتقال الخارج لاستهداف الأجهزة الافتراضية: سيصل Azure Bastion إلى الأجهزة الظاهرية المستهدفة عبر IP الخاص. تحتاج مجموعات أمان الشبكة إلى السماح بالانتقال الخارج إلى الشبكات الفرعية للجهاز الظاهري المستهدف الأخرى للمنفذين 3389 و22. إذا كنت تستخدم ميزة المنفذ المخصص كجزء من Standard SKU، فستحتاج مجموعات أمان الشبكة بدلاً من ذلك إلى السماح بالانتقال الخارج إلى شبكات VM الفرعية المستهدفة الأخرى للقيمة (القيم) المخصصة التي فتحتها على أجهزة VM المستهدفة.
    • الانتقال الخارج إلى مستوى بيانات Azure Bastion: لاتصالات مستوى البيانات بين المكونات الأساسية لـ Azure Bastion، قم بتمكين المنافذ 8080 و5701 الصادرة من علامة خدمة الشبكة الظاهرية إلى علامة خدمة الشبكة الظاهرية. يتيح ذلك لمكونات Azure Bastion التحدث مع بعضها البعض.
    • الانتقال الخارج إلى نقاط نهاية عامة أخرى في Azure: يجب أن يكون Azure Bastion قادراً على الاتصال بنقاط نهاية عامة مختلفة داخل Azure (على سبيل المثال، لتخزين سجلات التشخيص وسجلات القياس). لهذا السبب، يحتاج Azure Bastion إلى الإرسال إلى 443 إلى علامة خدمة AzureCloud.
    • الانتقال الخارج إلى الإنترنت: يجب أن يكون Azure Bastion قادراً على الاتصال بالإنترنت للتحقق من صحة الشهادة والجلسة. لهذا السبب، نوصي بتمكين المنفذ 80 الصادر إلى الإنترنت.⁦

    لقطة شاشة تعرض قواعد الأمان الصادرة لاتصال Azure Bastion.

الشبكة الفرعية للجهاز الظاهري المستهدف

هذه هي الشبكة الفرعية التي تحتوي على الجهاز الظاهري المستهدف الذي تريد ضم RDP / SSH له.

  • دخول الزيارات من Azure Bastion: سيصل Azure Bastion إلى الجهاز الظاهري المستهدف عبر IP الخاص. يجب فتح منافذ RDP / SSH (المنافذ 3389/22 على التوالي، أو قيم المنفذ المخصص إذا كنت تستخدم ميزة المنفذ المخصص كجزء من SKU القياسي) على جانب الجهاز الظاهري المستهدف عبر IP الخاص. كأفضل ممارسة، يمكنك إضافة نطاق عناوين IP للشبكة الفرعية Azure Bastion في هذه القاعدة للسماح لـ Bastion فقط بالتمكن من فتح هذه المنافذ على الأجهزة الظاهرية المستهدفة في الشبكة الفرعية للجهاز الظاهري المستهدف.

الخطوات التالية

لمزيد من المعلومات حول Azure Bastion، راجع الأسئلة المتداولة .