ما هو Azure Firewall Manager؟
Azure Firewall Manager هي خدمة إدارة آمنة تُوفر نهج أمان وإدارة مسار لمحيط الأمان المُستند إلى السحابة.
يمكن أن توفر إدارة جدار الحماية إدارة الأمان لنوعين من بنية الشبكة:
مركز ظاهري آمن
Azure Virtual WAN Hub هو مُورد مُدار من قِبل Microsoft ويتيح لك إنشاء تصميمات مركز محوري بسهولة. عندما تقترن نُهج الأمان والتوجيه بمركز كهذا، فإنه يشار إليه على أنه مركز ظاهري آمن.
الشبكة الظاهرية للمركز
هي شبكة Azure ظاهرية قياسية التي تُنفذ إنشاءها وإدارتها بنفسك. عندما ترتبط نهج الأمان بمثل هذا المركز، يشار إليه باسم شبكة ظاهرية للمركز. في هذا الوقت، يتم اعتماد نهج جدار حماية Azure فقط. يمكنك إقران الشبكات الظاهرية الفرعية التي تحتوي على الخدمات وخوادم حمل العمل. يمكنك أيضاً إدارة جدران الحماية في الشبكات الظاهرية القائمة بذاتها التي لا تتناظر مع أي محور.
للحصول على مقارنة مُفصّلة بين تصميم مركز الظاهري الآمنومركز الشبكة الظاهرية راجع ما خيارات تصميم Azure Firewall Manager؟.
ميزات Azure Firewall Manager
يقدم Azure Firewall Manager الميزات التالية:
توزيع Azure Firewall المركزي وتكوينه
يُمكنك مركزياً نشر وتكوين مثيلات Azure Firewall المتعددة التي تمتد عبر مناطق واشتراكات Azure المختلفة.
النُهج الهرمية (العمومية والمحلية)
يمكنك استخدام Azure Firewall Manager لإدارة نُهج Azure Firewall مركزياً عبر عدة محاور ظاهرية آمنة. يمكن لفرق تكنولوجيا المعلومات المركزية الخاصة بك إنشاء نُهج جدار حماية عمومية لفرض نهج جدار الحماية على مستوى المؤسسة عبر الفِرق. تسمح نُهج جدار الحماية التي تم إنشاؤها محليًا بنموذج الخدمة الذاتية DevOps لتحسين السرعة.
متكامل مع أمان الشريك كخدمة للأمان المتقدم
بالإضافة إلى Azure Firewall، يمكنك دمج موفري أمان الشريك كخدمة (SECaaS) لتوفير المزيد من حماية الشبكة لشبكتك الظاهرية واتصالات الإنترنت الفرعية.
هذه الميزة مُتاحة فقط مع عمليات نشر المركز الظاهري الأمن.
تصفية نسبة استخدام الشبكة الظاهرية إلى الإنترنت (V2I)
- تصفية نسبة استخدام الشبكة الظاهرية الصادرة مع موفر أمان الشريك المفضل لديك.
- استخدم حماية إنترنت متقدمة مدركة للمستخدم لأحمال العمل السحابية التي تعمل على Azure.
تصفية نقل الفرع إلى الإنترنت (B2I)
استخدم اتصال Azure والتوزيع العمومي لإضافة تصفية الشريك بسهولة لسيناريوهات الفرع إلى الإنترنت.
لمزيد من المعلومات حول مُوفري شركاء الأمان، راجع ما المقصود بمُوفري شركاء أمان Azure Firewall Manager؟
إدارة المسارات المركزية
وَجّه النقل بسهولة إلى المركز الآمن للتصفية والتسجيل دون الحاجة إلى إعداد مسارات مُعرفة يدوياً بواسطة المستخدم (UDR) على الشبكات الظاهرية المحورية.
هذه الميزة مُتاحة فقط مع عمليات نشر المركز الظاهري الأمن.
يمكنك استخدام موفري الشركاء لتصفية نسبة استخدام الشبكة من الفرع إلى الإنترنت (B2I)، جنبا إلى جنب مع جدار حماية Azure ل Branch إلى الشبكة الظاهرية (B2V)، والشبكة الظاهرية إلى الشبكة الظاهرية (V2V) والشبكة الظاهرية إلى الإنترنت (V2I).
خطة حماية DDoS
يمكنك إقران شبكاتك الظاهرية بخطة حماية DDoS داخل Azure Firewall Manager. لمزيد من المعلومات، راجع تكوين خطة حماية Azure DDoS باستخدام Azure Firewall Manager.
إدارة نهج جدار حماية تطبيقات الويب
يمكنك إنشاء نهج جدار حماية تطبيق الويب (WAF) وإقرانها مركزيًا للأنظمة الأساسية لتسليم التطبيقات، بما في ذلك Azure Front Door وAzure Application Gateway. لمزيد من المعلومات، راجع إدارة نُهج Web Application Firewall.
توافر المناطق
يمكن استخدام نُهج Azure Firewall عبر المناطق. على سبيل المثال، يمكنك إنشاء نَهج في غرب الولايات المتحدة، واستخدامه في شرق الولايات المتحدة.
مشكلات معروفة
تواجه خدمة Azure Firewall Manager المشكلات المعروفة التالية:
| المشكلة | الوصف | التخفيف |
|---|---|---|
| تقسيم النقل | تقسيم نقل Microsoft 365 وAzure Public PaaS غير مدعوم حالياً. على هذا النحو، يؤدي تحديد موفر شريك ل V2I أو B2I أيضا إلى إرسال جميع Azure Public PaaS وحركة مرور Microsoft 365 عبر خدمة الشريك. | التحقق من تقسيم النقل في المركز. |
| يجب أن تكون النُهج الأساسية في نفس المنطقة التي يكون فيها النَهج المحلي | إنشاء جميع النُهج المحلية في نفس المنطقة كنَهج أساسي. لا يزال بإمكانك تطبيق نَهج مُنشأ في منطقة ما على مركز آمن من منطقة أخرى. | يتم التحقيق |
| تصفية النقل بين المراكز في عمليات نشر المركز الظاهري الآمن | يتم دعم تصفية اتصال المركز الظاهري الآمن إلى المركز الظاهري الآمن مع ميزة هدف التوجيه. | تمكين هدف التوجيه على Virtual WAN Hub عن طريق تعيين Inter-hub إلى Enabled في Azure Firewall Manager. راجع وثائق هدف التوجيه لمزيد من المعلومات حول هذه الميزة. |
| النقل من فرع إلى فرع مع تمكين تصفية النقل الخاص | يمكن فحص حركة مرور الفرع إلى الفرع بواسطة Azure Firewall في سيناريوهات المركز الآمن إذا تم تمكين هدف التوجيه. | تمكين هدف التوجيه على Virtual WAN Hub عن طريق تعيين Inter-hub إلى Enabled في Azure Firewall Manager. راجع وثائق هدف التوجيه لمزيد من المعلومات حول هذه الميزة. |
| يجب أن تكون جميع المراكز الظاهرية الآمنة التي تشترك في نفس WAN الظاهري في نفس مجموعة الموارد. | يُحاذى هذا السلوك مع مراكز WAN الظاهرية اليوم. | إنشاء WANs الظاهرية المتعددة للسماح للمراكز الظاهرية الآمنة التي ستُنشأ في مجموعات موارد مختلفة. |
| فشل إضافة عنوان IP المُجمع | ينتقل جدار حماية المركز الآمن إلى حالة فشل إذا أضفت عناوين IP عامة متعددة. | أضف زيادات أصغر في عنوان IP عام. على سبيل المثال، إضافة 10 في كل مرة. |
| حماية DDoS غير مدعومة مع المراكز الظاهرية الآمنة | حماية DDoS غير متكاملة مع vWANs. | يتم التحقيق |
| سجلات النشاط غير مدعومة بالكامل | لا يدعم نهج جدار الحماية حاليا سجلات النشاط. | يتم التحقيق |
| وصف القواعد غير مدعوم بالكامل | لا يعرض نهج جدار الحماية وصف القواعد في تصدير ARM. | يتم التحقيق |
| يقوم Azure Firewall Manager بالكتابة فوق المسارات الثابتة والمُخصصة ما يؤدي إلى وقت تعطل في مركز WAN الظاهري. | يجب عدم استخدام Azure Firewall Manager لإدارة إعداداتك في عمليات النشر التي تم تكوينها باستخدام مسارات مخصصة أو ثابتة. يمكن أن تقوم التحديثات من irewall Manager بالكتابة فوق إعدادات المسارات الثابتة أو المُخصصة. | إذا كنت تستخدم المسارات الثابتة أو المُخصصة، فاستخدم صفحة WAN الظاهري لإدارة إعدادات الأمان وتجنب التكوين عبر Azure Firewall Manager. لمزيد من المعلومات، راجع سيناريو: Azure Firewall - مُخصص. |