نظرة عامة على سياسة Azure Firewall Manager
نهج جدار الحماية هو الأسلوب الموصى به لتكوين جدار حماية Azure Firewall الخاص بك. إنه مورد عالمي يمكن استخدامه عبر مثيلات جدار حماية Azure المتعددة في مراكز ظاهرية آمنة والشبكات الظاهرية للمركز. تعمل النُهج عبر المناطق والاشتراكات.
إنشاء النُهج والارتباط
يمكن إنشاء نهج وإدارته بطرق متعددة، بما في ذلك مدخل Azure وواجهة برمجة تطبيقات REST والقوالب وAzure PowerShell وCLI وTerraform.
يمكنك أيضاً ترحيل القواعد الكلاسيكية الحالية من Azure Firewall باستخدام المدخل أو Azure PowerShell لإنشاء النُهج. لمزيد من المعلومات، راجع كيفية ترحيل تكوينات Azure Firewall إلى نهج Azure Firewall.
يمكن ربط النُهج بواحد أو أكثر من المحاور الظاهرية أو شبكة VNets. يمكن أن يكون جدار الحماية في أي اشتراك مرتبطاً بحسابك وفي أي منطقة.
القواعد والنُهج الكلاسيكية
يدعم Azure Firewall كلا من القواعد والنهج الكلاسيكية، ولكن النهج هي التكوين الموصى به. يقارن الجدول التالي النُهج والقواعد الكلاسيكية:
| الموضوع | النهج | القواعد الكلاسيكية |
|---|---|---|
| يحتوي على | NAT، والشبكة، وقواعد التطبيق، وإعدادات وكيل DNS وDNS المخصصة، ومجموعات IP، وإعدادات التحليل الذكي للمخاطرات (بما في ذلك قائمة السماح)، وIDPS، وفحص TLS، وفئات الويب، وتصفية عناوين URL | قواعد NAT، والشبكة، والتطبيق، وإعدادات وكيل DNS وDNS المخصصة، ومجموعات IP، وإعدادات التحليل الذكي للمخاطرات (بما في ذلك قائمة السماح) |
| يحمي | المحاور الظاهرية والشبكات الظاهرية | الشبكات الظاهرية فقط |
| تجربة المدخل | الإدارة المركزية باستخدام إدارة جدار الحماية | تجربة جدار الحماية المستقل |
| دعم متعدد لجدار الحماية | نهج جدار الحماية هو مورد منفصل يمكن استخدامه عبر جدران الحماية | قم بتصدير واستيراد القواعد يدوياً، أو باستخدام حلول إدارة الجهات الخارجية |
| التسعير | تمت المحاسبة على أساس اقتران جدار الحماية. راجع الأسعار. | مجاني |
| آليات التوزيع المدعومة | Portal وREST API والقوالب وAzure PowerShell وCLI | Portal وREST API والقوالب وPowerShell وCLI. |
النهج الأساسية والقياسية والمميزة
يدعم Azure Firewall النهج الأساسية والقياسية والمميزة. يلخص الجدول التالي الفرق بين هذه النهج:
| نوع السياسة | دعم الميزة | دعم جدار الحماية SKU |
|---|---|---|
| النهج الأساسي | قواعد NAT، قواعد الشبكة، قواعد التطبيق مجموعات IP التحليل الذكي للمخاطر (تنبيهات) |
أساسي |
| النهج القياسية | قواعد NAT، قواعد الشبكة، قواعد التطبيق DNS مخصص، وكيل DNS مجموعات IP فئات الويب التحليل الذكي للمخاطر |
قياسي أو مميز |
| نهج قسط | دعم جميع الميزات القياسية، بالإضافة إلى: فحص TLS فئات الويب تصفية URL IDPS |
متميز |
النُهج الهرمية
يمكن إنشاء نُهج جديدة من البداية أو وراثتها من النُهج الحالية. يسمح التوريث لـ DevOps بإنشاء نُهج جدار حماية محلية على رأس نهج قاعدة تفويض المؤسسة.
النُهج التي تم إنشاؤها باستخدام نُهج رئيسية غير فارغة ترث جميع مجموعات القواعد من النهج الرئيسي. يجب أن يكون النهج الأصل والنهج التابع في نفس المنطقة. يمكن إقران نهج جدار الحماية بجدران الحماية عبر المناطق بغض النظر عن مكان تخزينها.
دائما ما يتم إعطاء الأولوية لمجموعة قواعد الشبكة الموروثة من نهج أصل على مجموعات قواعد الشبكة المعرفة كجزء من نهج جديد. ينطبق نفس المنطق أيضاً على مجموعات قواعد التطبيق. ومع ذلك، تتم معالجة مجموعات قواعد الشبكة دائماً قبل مجموعات قواعد التطبيق بغض النظر عن الوراثة.
يتم أيضاً توريث وضع الاستخبارات المتعلقة بالتهديدات من النهج الأصلية. يمكنك تعيين وضع التحليل الذكي للمخاطرات على قيمة مختلفة لتجاوز هذا السلوك، ولكن لا يمكنك إيقاف تشغيله. من الممكن فقط التجاوز بقيمة أكثر صرامة. على سبيل المثال، إذا تم تعيين النهج الرئيسية الخاصة بك على التنبيه فقط، يمكنك تكوين هذه النهج المحلية على التنبيه والرفض.
مثل وضع معلومات التهديد، يتم توريث قائمة السماح بمعلومات التهديد من النهج الرئيسية. يمكن للنهج التابع إضافة المزيد من عناوين IP إلى قائمة السماح.
لا يتم توريث مجموعات قواعد NAT لأنها خاصة بجدار حماية معين.
باستخدام الوراثة، يتم تطبيق أي تغييرات على النهج الأصلية تلقائياً على النُهج الفرعية المرتبطة بجدار الحماية.
قابلية وصول عالية مدمجة
تم تضمين قابلية الوصول العالية، لذلك لا يوجد شيء تحتاج إلى تكوينه. يمكنك إنشاء كائن نهج جدار حماية Azure في أي منطقة وربطه عالميا بمثيلات Azure Firewall المتعددة ضمن نفس مستأجر Azure AD. إذا كانت المنطقة التي تنشئ فيها النهج معطلة ولها منطقة مقترنة، فإن بيانات تعريف كائن ARM (Azure Resource Manager) تفشل تلقائيا في المنطقة الثانوية. أثناء تجاوز الفشل، أو إذا بقيت منطقة واحدة بدون زوج في حالة فشل، فلا يمكنك تعديل كائن نهج جدار حماية Azure. ومع ذلك، تستمر مثيلات جدار حماية Azure المرتبطة بنهج جدار الحماية في العمل. لمزيد من المعلومات، راجع النسخ المتماثل عبر المناطق في Azure: استمرارية الأعمال والتعافي من الكوارث.
التسعير
تتم فوترة النُهج بناءً على اقترانات جدار الحماية. يكون النهج المزود باقتران جدار حماية واحد أو دونه مجانياً. يتم إصدار فاتورة بنهج ذات اقترانات متعددة لجدار الحماية بسعر ثابت. للحصول على مزيدٍ من المعلومات، راجع أسعار Azure Firewall Manager.
الخطوات التالية
- تعرف على كيفية نشر جدار حماية Azure - البرنامج التعليمي: تأمين شبكة السحابة باستخدام Azure Firewall Manager باستخدام مدخل Microsoft Azure
- تعرف على المزيد حول أمان شبكة Azure
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ