البرنامج التعليمي: تأمين المركز الظاهري باستخدامAzure Firewall Manager

باستخدام Azure Firewall Manager، يمكنك إنشاء مراكز افتراضية آمنة لتأمين حركة نقل الشبكة السحابية الموجهة إلى عناوين IP الخاصة وAzure PaaS والإنترنت. حيث يتم توجيه حركة النقل إلى جدار الحماية تلقائياً، لذلك ليست هناك حاجة لإنشاء مسارات محددة عبر المستخدم (UDRs).

يدعم Firewall Manager أيضاً تصميم الشبكة الظاهرية للمركز. للحصول على مقارنة بين تصميم المركز الظاهري الآمن ومركز الشبكة الظاهرية، راجع ما هي خيارات تصميم Azure Firewall Manager؟

في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء شبكة ظاهرية محورية
• إنشاء الشبكة الظاهرية الآمنة
• الاتصال بالمركز والشبكات الظاهرية المحورية
• توجيه حركة المرور إلى المركز الخاص بك
• توزيع الخوادم
• قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك
• اختبار جدار الحماية

هام

يستخدم الإجراء في هذا البرنامج التعليمي مدير جدار الحماية من Azure لإنشاء مركز Azure Virtual WAN آمن جديد. يمكنك استخدام مدير جدار الحماية لترقية مركز موجود، ولكن لا يمكنك تكوين Azure مناطق توفر لـ جدار الحماية من Azure. من الممكن أيضا تحويل مركز موجود إلى مركز آمن باستخدام مدخل Microsoft Azure، كما هو موضح في تكوين جدار حماية Azure في مركز Virtual WAN. ولكن مثل مدير جدار الحماية من Azure لا يمكنك تكوين مناطق التوفر. لترقية مركز موجود وتحديد مناطق التوفر لجدار حماية Azure (موصى به)، يجب اتباع إجراء الترقية في البرنامج التعليمي: تأمين المركز الظاهري باستخدام Azure PowerShell.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء بنية النظام المحوري

أولاً، قم بإنشاء شبكات افتراضية للتحدث بحيث يمكنك وضع الخوادم الخاصة بك.

قم بإنشاء شبكتين تحدث وشبكات فرعية افتراضية

تحتوي كل من الشبكتين الظاهريتين على خادم حمل عمل فيها ومحمية بواسطة جدار الحماية.

1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

2. ابحث عن الشبكة الظاهرية، وحددها، وحدد إنشاء.

3. إنشاء شبكة ظاهرية بالإعدادات التالية:

   الإعداد	القيمة‬
   الاشتراك	حدد اشتراكك
   مجموعة الموارد	حدد Create new، واكتب fw-manager-rg للاسم وحدد OK
   اسم الشبكة الظاهرية	Spoke-01
   المنطقة	شرق الولايات المتحدة

4. حدد التالي، ثم حدد التالي.

5. في تبويب الشبكات ، أنشئ شبكات فرعية بالإعدادات التالية:

   الإعداد	القيمة‬
   إضافة مساحة عنوان IPv4	10.0.0.0/16 (افتراضي)
   الشبكات الفرعية
   شبكة عبء العمل
   الاسم	Workload-01-SN
   عنوان البدء	10.0.1.0/24
   شبكة Bastion الفرعية
   الاسم	AzureBastionSubnet
   عنوان البدء	10.0.2.0/26

6. حدد حفظ، مراجعة + إنشاء، ثم حدد إنشاء.

كرر هذا الإجراء لإنشاء شبكة ظاهرية مشابهة أخرى في مجموعة موارد fw-manager-rg :

الإعداد	القيمة‬
الاسم	Spoke-02
مساحة العنوان	10.1.0.0/16
اسم الشبكة الفرعية	Workload-02-SN
عنوان البدء	10.1.1.0/24

إنشاء مركز ظاهري آمن

قم بإنشاء المركز الظاهري الآمن الخاص بك باستخدام Firewall Manager.

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

2. اكتب في مربع البحث Firewall Manager ثم اختر Firewall Manager.

3. في صفحة مدير جدار الحماية ضمن توزيعات، حدد مراكز ظاهرية.

4. في صفحة مدير جدار الحماية | المراكز الظاهرية الآمنة، اختر إنشاء مركز ظاهري آمن جديد.

5. في صفحة Create new secured virtual hub ، أدخل المعلومات التالية:

   الإعداد	القيمة‬
   الاشتراك	حدد Subscription الخاص بك.
   مجموعة الموارد	حدد fw-manager-rg
   المنطقة	شرق الولايات المتحدة
   اسم المركز الظاهري الآمن	Hub-01
   مساحة عنوان المركز	10.2.0.0/16

6. حدد New vWAN.

   الإعداد	القيمة‬
   اسم شبكة WAN الظاهرية الجديدة	Vwan-01
   نوع	قياسي
   تضمين بوابة VPN لتمكين شركاء الأمان الموثوق بهم	اترك خانة الاختيار غير محددة.

7. اختر التالي: Azure Firewall.

8. اقبل الإعداد الافتراضي Azure FirewallEnabled .

9. بالنسبة إلى طبقة جدار حماية Azure، حدد قياسي.

10. حدد المجموعة المطلوبة من مناطق التوفر.

    هام

    شبكة WAN الظاهرية هي مجموعة من المراكز والخدمات المتوفرة داخل المركز. يمكنك نشر العديد من شبكات WAN الظاهرية كما تحتاج. في مركز WAN الظاهري، هناك خدمات متعددة مثل VPN وExpressRoute وما إلى ذلك. يتم توزيع كل من هذه الخدمات تلقائيا عبر مناطق التوفر باستثناء جدار حماية Azure، إذا كانت المنطقة تدعم مناطق التوفر. للمحاذاة مع مرونة أجهزة WAN الظاهرية من Azure، يجب عليك تحديد جميع مناطق التوفر المتوفرة.

11. اكتب 1 في مربع النص تحديد عدد عناوين IP العامة أو قم بإقران عنوان IP عام موجود (معاينة) بجدار الحماية هذا.

12. ضمن نهج جدار الحماية ، تأكد من تحديد نهج الرفض الافتراضي. يمكنك تحسين الإعدادات لاحقا في هذه المقالة.

13. حدد Next: Security Partner Provider.

14. اقبل الإعداد الافتراضي لـ شريك الأمان الموثوق بهمعطل، ثم اختر التالي: مراجعة + إنشاء.

15. حدد إنشاء.

إشعار

قد يستغرق إنشاء مركز ظاهري آمن ما يصل إلى 30 دقيقة.

يمكنك العثور على عنوان IP العام لجدار الحماية بعد اكتمال النشر.

1. افتح Firewall Manager.
2. اختر المراكز الظاهرية.
3. اختر hub-01.
4. حدد AzureFirewall_Hub-01.
5. راقب عنوان IP العام لاستخدامه فيما بعد.

الاتصال بالمركز والشبكات الظاهرية المحورية

الآن يمكنك النظر إلى المركز والشبكات الظاهرية المحورية.

1. اختر مجموعة الموارد fw-Manager-rg، ثم اختر WAN الظاهري Vwan-01.

2. تحت قسم الاتصالات، اختر اتصالات الشبكة الافتراضية.

   الإعداد	القيمة‬
   اسم الاتصال	hub-spoke-01
   المركز	Hub-01
   مجموعة الموارد	fw-manager-rg
   الشبكة الظاهرية	Spoke-01

3. حدد إنشاء.

4. كرر الخطوات السابقة لتوصيل الشبكة الظاهرية Spoke-02 بالإعدادات التالية:

   الإعداد	القيمة‬
   اسم الاتصال	hub-spoke-02
   المركز	Hub-01
   مجموعة الموارد	fw-manager-rg
   الشبكة الظاهرية	Spoke-02

توزيع الخوادم

1. في مدخل Microsoft Azure، حدد "Create a resource".

2. ابحث عن Ubuntu Server 22.04 LTS واختر النسخة المستخدمة.

3. اختر إنشاء>آلة افتراضية.

4. أدخِل هذه القيم للجهاز الظاهري:

   الإعداد	القيمة‬
   مجموعة الموارد	fw-manager-rg
   اسم الجهاز الظاهري	Srv-workload-01
   المنطقة	(الولايات المتحدة) شرق الولايات المتحدة
   صورة	خادم أوبونتو 22.04 LTS - x64 Gen2
   نوع المصادقة	مفتاح SSH العام
   اسم مستخدم	azureuser
   مصدر المفتاح العام SSH	توليد زوج مفاتيح جديد
   اسم زوج المفاتيح	SRV-workload-01_key

5. في Inbound port rules، الخاصة بـ Public inbound ports، حدد None.

6. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Disks.

7. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

8. حدد Spoke-01 للشبكة الظاهرية وحدد Workload-01-SN للشبكة الفرعية.

9. بالنسبة لـPublic IP، اخترNone.

10. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

11. حدد Next:Monitoring.

12. حدد Disable لتعطيل تشخيصات التمهيد.

13. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

14. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

15. عند الطلب، قم بتنزيل وحفظ ملف المفتاح الخاص (على سبيل المثال، srv-workload-01_key.pem).

استخدم المعلومات الواردة في الجدول التالي لتكوين جهاز ظاهري آخر باسم Srv-Workload-02. بقية التكوين هو نفسه آلة Srv-workload-01 الافتراضية، لكنه يستخدم اسم زوج مفاتيح مختلف مثل srv-workload-02_key.

الإعداد	القيمة‬
الشبكة الظاهرية	Spoke-02
الشبكة الفرعية	Workload-02-SN

بعد نشر الخوادم، حدد مورد الخادم، وفي الشبكات دوّن عنوان IP الخاص لكل خادم.

تثبيت Nginx على الخوادم

بعد نشر الآلات الافتراضية، قم بتثبيت Nginx على كلا الخادمين للتحقق من الاتصال بالويب لاحقا.

1. في بوابة Azure، انتقل إلى الجهاز الافتراضي Srv-workload-01 .

2. اختر أمر> التشغيلRunShellScript.

3. قم بتنفيذ الأمر التالي:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html
   

4. كرر نفس الخطوات ل Srv-workload-02، مع استبدال اسم المضيف في أمر الصدى:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html
   

توزيع Azure Bastion

نشر Azure Bastion في شبكة Spoke-01 الافتراضية للاتصال بأمان بالآلات الافتراضية.

1. في بوابة Azure، ابحث عن باستيونز واخترها.

2. حدد إنشاء.

3. قم بتكوين الحصن بالإعدادات التالية:

   الإعداد	القيمة‬
   الاشتراك	حدد اشتراكك
   مجموعة الموارد	fw-manager-rg
   الاسم	باستيون-01
   المنطقة	شرق الولايات المتحدة
   المستوى	المطور
   الشبكة الظاهرية	Spoke-01
   الشبكة الفرعية	AzureBastionSubnet (10.0.2.0/26)

4. حدد Review + create، ثم حدد Create.

إشعار

قد يستغرق نشر Azure Bastion حوالي 10 دقائق لإكماله.

قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك

تحدد سياسة جدار الحماية مجموعات القواعد لتوجيه حركة النقل على مركز أو أكثر من المراكز الظاهرية الآمنة. يمكنك إنشاء نهج جدار الحماية الخاص بك ثم تأمين المركز الخاص بك.

1. من مدير جدار الحماية، حدد سياسات جدار حماية Azure.

2. حدد إنشاء نهج Azure Firewall.

3. بالنسبة لـ Resource group، اختر fw-manager-rg.

4. في تفاصيل السياسة، بالنسبة إلى الاسم اكتب Policy-01 وبالنسبة إلى المنطقة حدد شرق الولايات المتحدة.

5. لـ طبقة النهج، حدد قياسي.

6. حدد التالي: إعدادات DNS.

7. حدد التالي: فحص TLS.

8. حدد التالي: القواعد.

9. في علامة التبويب القواعد، حدد Add a rule collection.

10. في صفحة إضافة مجموعة قواعد، أدخل المعلومات التالية.

    الإعداد	القيمة‬
    الاسم	App-RC-01
    نوع مجموعة القواعد	التطبيق
    أولوية	100
    إجراء مجموعة القواعد	السماح
    اسم القاعدة	Allow-msft
    نوع المصدر	عنوان IP
    المصدر	*
    البروتوكول	http,https
    نوع الوجهة	FQDN
    الوجهة	*.microsoft.com

11. حدد إضافة.

12. أضف قاعدة شبكة للسماح بحركة SSH وHTTP بين الشبكات الافتراضية المنفصلة.

13. حدد Add a rule collection وأدخل المعلومات التالية.

    الإعداد	القيمة‬
    الاسم	vnet-access
    نوع مجموعة القواعد	شبكة
    أولوية	100
    إجراء مجموعة القواعد	السماح
    اسم القاعدة	مسمح-SSH-HTTP
    نوع المصدر	عنوان IP
    المصدر	10.0.0.0/16,10.1.0.0/16
    البروتوكول	TCP
    منافذ الوجهة	22,80
    نوع الوجهة	عنوان IP
    الوجهة	10.0.0.0/16,10.1.0.0/16

14. حدد إضافة، ثم حدد التالي: IDPS.

15. في صفحة IDPS ، حدد Next: Threat Intelligence

16. في صفحة تحليل ذكي للمخاطر، اقبل الإعدادات الافتراضية وحدد مراجعة وإنشاء:

17. راجع لتأكيد التحديد ثم حدد إنشاء.

سياسة الاقتران

إقران نهج جدار الحماية بالمركز.

1. من Firewall Manager، حدد سياسات Azure Firewall.
2. حدِّد خانة الاختيار لـ Policy-01.
3. حدد إدارة الإقران، المراكز المقترنة.
4. اختر hub-01.
5. حدد إضافة.

توجيه حركة المرور إلى المركز الخاص بك

الآن يجب عليك التأكد من أن حركة نقل الشبكة يتم توجيهها عبر جدار الحماية لديك.

1. من Firewall Manager، حدد المراكز الظاهرية.

2. اختر hub-01.

3. في الإعدادات، حدد تكوين الأمان.

4. في حركة النقل على الإنترنت، حدد Azure Firewall.

5. في حركة النقل الخاصة ، حدد إرسال عبر Azure Firewall.

   إشعار

   إذا كنت تستخدم نطاقات عناوين IP العامة للشبكات الخاصة في شبكة ظاهرية أو فرع محلي، فأنت بحاجة إلى تحديد بادئات عناوين IP هذه بشكل صريح. حدد قسم Private Traffic Prefixes ثم أضفها إلى جانب بادئات عنوان RFC1918.

6. ضمن Inter-hub، حدد Enabled لتمكين ميزة هدف توجيه Virtual WAN. هدف التوجيه هو الآلية التي يمكنك من خلالها تكوين شبكة WAN الظاهرية لتوجيه نسبة استخدام الشبكة من فرع إلى فرع (محلي إلى محلي) عبر Azure Firewall المنشور في Virtual WAN Hub. لمزيد من المعلومات حول المتطلبات الأساسية والاعتبارات المرتبطة بميزة هدف التوجيه، راجع وثائق هدف التوجيه.

7. حدد حفظ.

8. حدد موافق في مربع الحوار تحذير.

9. حدد موافق في مربع الحوار ترحيل لاستخدام بين لوحة الوصل .

   إشعار

   يستغرق تحديث جداول التوجيه بضع دقائق.

10. تحقق من أن الاتصالين يظهران أن Azure Firewall يؤمن كلاً من الإنترنت وحركة النقل الخاصة.

اختبار جدار الحماية

لاختبار قواعد جدار الحماية، استخدم Azure Bastion للاتصال ب Srv-Workload-01 والتحقق من أن قواعد التطبيق والشبكة تعملان.

اختبار التطبيق باستخدام القاعدة

الآن، اختبر قواعد جدار الحماية للتأكد من أنه يعمل على النحو المتوقع.

1. في بوابة Azure، انتقل إلى الجهاز الافتراضي Srv-workload-01 .

2. اختر Connect>Connect عبر Bastion.

3. قدم اسم المستخدم azureuser وارفع ملف المفتاح .pem الخاص الذي قمت بتحميله عند إنشاء الجهاز الافتراضي.

4. اختر Connect لفتح جلسة SSH.

5. في جلسة SSH، شغل الأمر التالي لاختبار الوصول إلى مايكروسوفت:

   curl https://www.microsoft.com
   

   يجب أن ترى عودة محتوى HTML، مما يؤكد السماح بالوصول.

6. اختبار الوصول إلى جوجل (والذي يجب حظره):

   curl https://www.google.com
   

   يجب أن ينتهي وقت الطلب أو يفشل، مما يدل على أن جدار الحماية يمنع هذا الموقع.

حتى الآن قمت بالتحقق من أن قاعدة تطبيق جدار الحماية تعمل:

• يمكنك التصفح للوصول إلى اسمح المجال المؤهل بالكامل (FQDN) المسموح به، ولكن ليس لأي مجالٍ آخر.

اختبار قاعدة الشبكة

الآن اختبر قاعدة الشبكة عن طريق الاتصال من Srv-Workload-01 إلى Srv-Workload-02 باستخدام HTTP.

1. اختبار اتصال HTTP بخادم الويب Nginx على Srv-Workload-02:

   curl http://<Srv-Workload-02-private-IP>
   

   يجب أن ترى الحالة التي يردعها خادم الويب.

تنظيف الموارد

عند انتهائك من اختبار موارد جدار الحماية، احذف مجموعة الموارد fw-manager-rg لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

تعرف على شركاء الأمان الموثوق بهم