مشاركة عبر

التخطيط لاتصال الإنترنت الداخلي والخارجي

  • مقالة

تسرد هذه المقالة الاعتبارات والتوصيات للاتصال الوارد والصادر بين Azure والإنترنت العام.

اعتبارات التصميم

  • تتم إدارة خدمات أمان شبكة Azure الأصلية مثل Azure FirewallوAzure Web Application Firewall (WAF) على Azure Application GatewayوAzure Front Door بالكامل. لا تتحمل تكاليف التشغيل والإدارة وتعقيد عمليات توزيع البنية الأساسية على نطاق واسع.

  • إذا كانت مؤسستك تفضل استخدام الأجهزة الظاهرية غير التابعة لشبكة Azure (NVAs)، أو للحالات التي لا تفي فيها الخدمات الأصلية بمتطلبات محددة، فإن بنية منطقة هبوط Azure متوافقة تماما مع NVAs الشريكة.

  • يوفر Azure العديد من أساليب الاتصال الصادرة عبر الإنترنت المباشرة، مثل بوابات ترجمة عناوين الشبكة (NAT) أو موازنات التحميل، للأجهزة الظاهرية (VMs) أو مثيلات الحساب على شبكة ظاهرية. يوصى باستخدام Azure NAT Gateway كخيار افتراضي لتمكين الاتصال الصادر لأنه من الأسهل إعداده من الناحية التشغيلية، وهو الخيار الأكثر قابلية للتطوير والكفاءة بين جميع أساليب الاتصال الصادرة المتوفرة في Azure. لمزيد من المعلومات، راجع أساليب اتصال Azure الصادرة.

توصيات التصميم

  • استخدم بوابة Azure NAT للاتصال الصادر المباشر بالإنترنت. بوابة NAT هي خدمة NAT مدارة بالكامل ومرونة للغاية توفر SNAT قابلة للتطوير عند الطلب.

    • استخدم بوابة NAT ل:

      • أحمال العمل الديناميكية أو الكبيرة التي ترسل نسبة استخدام الشبكة إلى الإنترنت.
      • عناوين IP عامة ثابتة ويمكن التنبؤ بها للاتصال الصادر. يمكن إقران بوابة NAT بعناوين IP عامة تصل إلى 16 أو بادئة IP عامة /28.
      • التخفيف من المشكلات المتعلقة باستنفاد منفذ SNAT عادة مع قواعد موازن التحميل الصادرة أو جدار حماية Azure أو خدمات تطبيقات Azure.
      • أمان وخصوصية الموارد داخل شبكتك. يمكن أن تمر نسبة استخدام الشبكة الصادرة والإرجاع فقط من خلال بوابة NAT.

  • استخدم Azure Firewall لإدارة:

    • نسبة استخدام الشبكة الصادرة من Azure إلى الإنترنت.
    • الاتصالات الواردة غير HTTP/S.
    • تصفية نسبة استخدام الشبكة من الشرق إلى الغرب، إذا كانت مؤسستك تحتاج إليها.

  • استخدم Azure Firewall Premium لقدرات جدار الحماية المتقدمة، مثل:

    • فحص أمان طبقة النقل (TLS).
    • نظام الكشف عن اختراق الشبكة والوقاية منها (IDPS).
    • تصفية عنوان URL.
    • فئات الويب.

  • يدعم Azure Firewall Manager كلا من Azure Virtual WAN والشبكات الظاهرية العادية. استخدم Firewall Manager مع Virtual WAN لنشر وإدارة جدران حماية Azure عبر مراكز Virtual WAN أو في الشبكات الظاهرية للمركز.

  • إذا كنت تستخدم عناوين IP ونطاقات متعددة باستمرار في قواعد جدار حماية Azure، فقم بإعداد مجموعات IP في Azure Firewall. يمكنك استخدام مجموعات IP في Azure Firewall DNAT والشبكة وقواعد التطبيق لجدار حماية متعدد عبر مناطق واشتراكات Azure.

  • إذا كنت تستخدم مسارا مخصصا معرفا من قبل المستخدم (UDR) لإدارة الاتصال الصادر بخدمات النظام الأساسي Azure كخدمة (PaaS)، فحدد علامة خدمة كبادئة العنوان. تقوم علامات الخدمة بتحديث عناوين IP الأساسية تلقائيا لتضمين التغييرات، وتقليل النفقات العامة لإدارة بادئات Azure في جدول التوجيه.

  • قم بإنشاء نهج Azure Firewall عمومي للتحكم في وضع الأمان عبر بيئة الشبكة العالمية. تعيين النهج لجميع مثيلات Azure Firewall.

  • السماح للنهج الدقيقة بتلبية متطلبات منطقة محددة باستخدام التحكم في الوصول المستند إلى دور Azure لتفويض النهج التزايدية لفرق الأمان المحلية.

  • استخدم WAF داخل شبكة ظاهرية للمنطقة المنتقل إليها لحماية نسبة استخدام الشبكة HTTP/S الواردة من الإنترنت.

  • استخدم نهج Azure Front Door و WAF لتوفير حماية عالمية عبر مناطق Azure لاتصالات HTTP/S الواردة بمنطقة هبوط.

  • لاستخدام Azure Front Door وAzure Application Gateway للمساعدة في حماية تطبيقات HTTP/S، استخدم نهج WAF في Azure Front Door. تأمين بوابة تطبيق Azure لتلقي نسبة استخدام الشبكة فقط من Azure Front Door.

  • إذا كنت بحاجة إلى NVAs الشريكة لاتصالات HTTP/S الواردة، فوزعها داخل شبكة ظاهرية للمنطقة المنتقل إليها، جنبا إلى جنب مع التطبيقات التي تحميها وتعرضها للإنترنت.

  • للوصول الصادر، لا تستخدم الوصول الافتراضي للإنترنت الصادر من Azure لأي سيناريو. تتضمن المشكلات التي تواجه الوصول الصادر الافتراضي ما يلي:

    • زيادة خطر استنفاد منفذ SNAT.
    • غير آمن بشكل افتراضي.
    • لا يمكن الاعتماد على عناوين IP الافتراضية للوصول. وهي ليست مملوكة للعميل وتخضع للتغيير.

  • استخدم بوابة NAT للمناطق المنتقل إليها عبر الإنترنت، أو المناطق المنتقل إليها غير المتصلة بالشبكة الظاهرية للمركز. يمكن لموارد الحوسبة التي تحتاج إلى الوصول إلى الإنترنت الصادر ولا تحتاج إلى أمان Azure Firewall القياسي أو المتميز، أو NVA تابع لجهة خارجية، استخدام مناطق الهبوط عبر الإنترنت.

  • إذا كانت مؤسستك تريد استخدام موفري أمان البرامج كخدمة (SaaS) للمساعدة في حماية الاتصالات الصادرة، فكون الشركاء المدعومين داخل Firewall Manager.

  • إذا كنت تستخدم NVAs الشريكة لحماية نسبة استخدام الشبكة من الشرق إلى الغرب أو من الشمال إلى الجنوب والتصفية:

    • بالنسبة لطوبولوجيا شبكة Virtual WAN، قم بتوزيع NVAs إلى شبكة ظاهرية NVA منفصلة. قم بتوصيل الشبكة الظاهرية بمركز Virtual WAN الإقليمي والمناطق المنتقل إليها التي تحتاج إلى الوصول إلى NVAs. لمزيد من المعلومات، راجع السيناريو: توجيه نسبة استخدام الشبكة عبر NVA.
    • بالنسبة لطوبولوجيا شبكة WAN غير الظاهرية، قم بتوزيع NVAs الشريكة في الشبكة الظاهرية للمركز المركزي.

  • لا تعرض منافذ إدارة الجهاز الظاهري للإنترنت. لمهام الإدارة:

    • استخدم نهج Azure لمنع إنشاء الجهاز الظاهري باستخدام عناوين IP العامة.
    • استخدم Azure Bastion للوصول إلى الأجهزة الظاهرية ل jumpbox.

  • استخدم خطط الحماية القياسية لحماية Azure DDoS للمساعدة في حماية نقاط النهاية العامة التي تستضيفها داخل شبكاتك الظاهرية.

  • لا تحاول نسخ مفاهيم وبنى الشبكة المحيطة المحلية إلى Azure. على الرغم من أن Azure لديه قدرات أمان مماثلة، يتم تكييف التنفيذ والبنية مع السحابة.