البرنامج التعليمي: تأمين المركز الظاهري باستخدامAzure Firewall Manager

باستخدام Azure Firewall Manager، يمكنك إنشاء مراكز افتراضية آمنة لتأمين حركة نقل الشبكة السحابية الموجهة إلى عناوين IP الخاصة وAzure PaaS والإنترنت. حيث يتم توجيه حركة النقل إلى جدار الحماية تلقائياً، لذلك ليست هناك حاجة لإنشاء مسارات محددة عبر المستخدم (UDRs).

يدعم Firewall Manager أيضاً تصميم الشبكة الظاهرية للمركز. للحصول على مقارنة بين تصميم المركز الظاهري الآمن ومركز الشبكة الظاهرية، راجع ما هي خيارات تصميم Azure Firewall Manager؟

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكة ظاهرية محورية
  • إنشاء الشبكة الظاهرية الآمنة
  • الاتصال بالمركز والشبكات الظاهرية المحورية
  • توجيه حركة المرور إلى المركز الخاص بك
  • توزيع الخوادم
  • قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك
  • اختبار جدار الحماية

هام

يستخدم الإجراء في هذا البرنامج التعليمي مدير جدار الحماية من Azure لإنشاء مركز Azure Virtual WAN آمن جديد. يمكنك استخدام مدير جدار الحماية لترقية مركز موجود، ولكن لا يمكنك تكوين Azure مناطق توفر لـ جدار الحماية من Azure. من الممكن أيضا تحويل مركز موجود إلى مركز آمن باستخدام مدخل Microsoft Azure، كما هو موضح في تكوين جدار حماية Azure في مركز Virtual WAN. ولكن مثل مدير جدار الحماية من Azure لا يمكنك تكوين مناطق التوفر. لترقية مركز موجود وتحديد مناطق التوفر لجدار حماية Azure (مستحسن) يجب اتباع إجراء الترقية في البرنامج التعليمي: تأمين المركز الظاهري باستخدام Azure PowerShell.

Diagram showing the secure cloud network.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء بنية النظام المحوري

أولاً، قم بإنشاء شبكات افتراضية للتحدث بحيث يمكنك وضع الخوادم الخاصة بك.

قم بإنشاء شبكتين تحدث وشبكات فرعية افتراضية

تحتوي كل من الشبكتين الظاهريتين على خادم حمل عمل فيها ومحمية بواسطة جدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ابحث عن الشبكة الظاهرية، وحددها، وحدد إنشاء.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. أما بالنسبة إلى مجموعة الموارد، فعليك باختيار إنشاء جديد، ثم اكتب fw-manager-rg للاسم ثم اختر موافق.
  5. بالنسبة إلى اسم الشبكة الظاهرية، اكتب Spoke-01.
  6. بالنسبة للمنطقة "Region"، حدد "East US".
  7. حدد التالي.
  8. في صفحة الأمان ، حدد التالي.
  9. ضمن إضافة مساحة عنوان IPv4، اقبل الافتراضي 10.0.0.0/16.
  10. ضمن Subnets، حدد default.
  11. بالنسبة للاسم، اكتب Workload-01-SN.
  12. بالنسبة إلى عنوان البدء، اكتب 10.0.1.0/24.
  13. حدد حفظ.
  14. حدد "Review + create".
  15. حدد إنشاء.

كرر هذا الإجراء لإنشاء شبكة ظاهرية مشابهة أخرى في مجموعة موارد fw-manager-rg :

الاسم: Spoke-02
Address space: 10.1.0.0/16
اسم الشبكة Workload-02-SN
عنوان البدء: 10.1.1.0/24

إنشاء مركز ظاهري آمن

قم بإنشاء المركز الظاهري الآمن الخاص بك باستخدام Firewall Manager.

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

  2. اكتب في مربع البحث Firewall Manager ثم اختر Firewall Manager.

  3. في صفحة مدير جدار الحماية ضمن توزيعات، حدد مراكز ظاهرية.

  4. في صفحة مدير جدار الحماية | المراكز الظاهرية الآمنة، اختر إنشاء مركز ظاهري آمن جديد.

    Screenshot of creating a new secured virtual hub.

  5. حدد اشتراكك.

  6. بالنسبة لـ Resource group، اختر fw-manager-rg.

  7. بالنسبة للمنطقة "Region"، حدد "East US".

  8. بالنسبة إلى اسم المركز الظاهري الآمن، اكتب Hub-01.

  9. بالنسبة إلى Hub address space، اكتب 10.2.0.0/16.

  10. حدد New vWAN.

  11. بالنسبة لاسم شبكة vWAN الظاهرية الجديدة، اكتب Vwan-01.

  12. بالنسبة إلى النوع حدد قياسي.

  13. اترك نطاق تضمين بوابة VPN لتمكين شركاء الأمان الموثوق بهم دون تحديد.

    Screenshot of creating a new virtual hub with properties.

  14. اختر التالي: Azure Firewall.

  15. اقبل الإعداد الافتراضي جدار الحماية من Azureتمكين.

  16. بالنسبة إلى طبقة جدار حماية Azure، حدد قياسي.

  17. حدد المجموعة المطلوبة من مناطق التوفر.

هام

شبكة WAN الظاهرية هي مجموعة من المراكز والخدمات المتوفرة داخل المركز. يمكنك توزيع العديد من شبكات WAN الظاهرية التي تحتاج إليها. في مركز WAN الظاهري، هناك خدمات متعددة مثل VPN وExpressRoute وما إلى ذلك. يتم توزيع كل من هذه الخدمات تلقائيا عبر مناطق التوفر باستثناء جدار حماية Azure، إذا كانت المنطقة تدعم مناطق التوفر. للمحاذاة مع مرونة أجهزة WAN الظاهرية من Azure، يجب عليك تحديد جميع مناطق التوفر المتوفرة.

Screenshot of configuring Azure Firewall parameters.

  1. اكتب 1 في مربع النص تحديد عدد عناوين IP العامة.

  2. ضمن نهج جدار الحماية ، تأكد من تحديد نهج الرفض الافتراضي. يمكنك تحسين الإعدادات لاحقا في هذه المقالة.

  3. حدد Next: Security Partner Provider.

    Screenshot of configuring Trusted Partners parameters.

  4. اقبل الإعداد الافتراضي لـ شريك الأمان الموثوق بهمعطل، ثم اختر التالي: مراجعة + إنشاء.

  5. حدد إنشاء.

    Screenshot of creating the Firewall instance.

إشعار

قد يستغرق إنشاء مركز ظاهري آمن ما يصل إلى 30 دقيقة.

يمكنك العثور على عنوان IP العام لجدار الحماية بعد اكتمال النشر.

  1. افتح Firewall Manager.
  2. اختر المراكز الظاهرية.
  3. اختر hub-01.
  4. حدد AzureFirewall_Hub-01.
  5. راقب عنوان IP العام لاستخدامه فيما بعد.

الاتصال بالمركز والشبكات الظاهرية المحورية

الآن يمكنك النظر إلى المركز والشبكات الظاهرية المحورية.

  1. اختر مجموعة الموارد fw-Manager-rg، ثم اختر WAN الظاهري Vwan-01.

  2. تحت قسم الاتصالات، اختر اتصالات الشبكة الافتراضية.

    Screenshot of adding Virtual Network connections.

  3. حدد إضافة اتصال.

  4. بالنسبة إلى اسم الاتصال، اكتب hub-speak-01.

  5. بالنسبة لـ Hubs، اختر Hub-01.

  6. بالنسبة لـ Resource group، اختر fw-manager-rg.

  7. بالنسبة لـ Virtual network، اختر Spoke-01.

  8. حدد إنشاء.

  9. كرر الاتصال بالشبكة الظاهرية Spoke-02 : اسم الاتصال - hub-spoke-02.

توزيع الخوادم

  1. في مدخل Microsoft Azure، حدد "Create a resource".

  2. حدد Windows Server 2019 Datacenter في القائمة "Popular".

  3. أدخِل هذه القيم للجهاز الظاهري:

    الإعداد القيمة‬
    مجموعة الموارد fw-manager-rg
    اسم الجهاز الظاهري Srv-workload-01
    المنطقة شرق الولايات المتحدة
    اسم مستخدم المسؤول اكتب اسم المستخدم
    كلمة المرور كتابة كلمة مرور
  4. في Inbound port rules، الخاصة بـ Public inbound ports، حدد None.

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. حدد Spoke-01 للشبكة الظاهرية وحدد Workload-01-SN للشبكة الفرعية.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Next:Monitoring.

  11. حدد Disable لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  12. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

استخدم المعلومات الواردة في الجدول التالي لتكوين جهاز ظاهري آخر باسم Srv-Workload-02. باقي التكوين هو نفس الجهاز الظاهري Srv-workload-01.

الإعداد القيمة‬
الشبكة الظاهرية Spoke-02
الشبكة الفرعية Workload-02-SN

بعد نشر الخوادم، حدد مورد الخادم، وفي الشبكات دوّن عنوان IP الخاص لكل خادم.

قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك

تحدد سياسة جدار الحماية مجموعات القواعد لتوجيه حركة النقل على مركز أو أكثر من المراكز الظاهرية الآمنة. يمكنك إنشاء نهج جدار الحماية الخاص بك ثم تأمين المركز الخاص بك.

  1. من مدير جدار الحماية، حدد سياسات جدار حماية Azure.

    Screenshot of creating an Azure Policy with first step.

  2. حدد إنشاء نهج Azure Firewall.

    Screenshot of configuring Azure Policy settings in first step.

  3. بالنسبة لـ Resource group، اختر fw-manager-rg.

  4. في تفاصيل السياسة، بالنسبة إلى الاسم اكتب Policy-01 وبالنسبة إلى المنطقة حدد شرق الولايات المتحدة.

  5. لـ طبقة النهج، حدد قياسي.

  6. حدد التالي: إعدادات DNS.

    Screenshot of configuring DNS settings.

  7. حدد التالي: فحص TLS.

    Screenshot of configuring TLS settings.

  8. حدد التالي: القواعد.

  9. في علامة التبويب القواعد، حدد Add a rule collection.

    Screenshot of configuring Rule Collection.

  10. في صفحة Add a rule collection، اكتب App-RC-01 بالنسبة لـ الاسم.

  11. بالنسبة لـ Rule collection type، اختر Application.

  12. بالنسبة لـ"Priority"، اكتب "100".

  13. تأكد من أن Rule collection action على خيار Allow.

  14. بالنسبة إلى اسم القاعدة، اكتب Allow-msft.

  15. بالنسبة لـ "Source type"، حدد "IP address".

  16. بالنسبة إلى Source، اكتب *.

  17. لأجل Protocol، اكتب http, https.

  18. تأكد من أن Destination type هو FQDN.

  19. بالنسبة إلى الوجهة، اكتب *.microsoft.com.

  20. حدد إضافة.

  21. أضف قاعدة DNAT حتى تتمكن من توصيل سطح مكتب البعيد بالجهاز الظاهري Srv-Workload-01.

    1. حدد Add a rule collection.
    2. بالنسبة للاسم "Name"، اكتب "dnat-rdp".
    3. بالنسبة لـ Rule collection type، اختر DNAT.
    4. بالنسبة لـ"Priority"، اكتب "100".
    5. بالنسبة إلى القاعدة Name، اكتب Allow-rdp.
    6. بالنسبة لـ "Source type"، حدد "IP address".
    7. بالنسبة إلى Source، اكتب *.
    8. بالنسبة لـ Protocol، اختر TCP.
    9. بالنسبة لـ " Destination Ports"، اكتب " 3389".
    10. لأجل Destination، اكتب عنوان IP العام لجدار الحماية الذي دونته من قبل.
    11. بالنسبة للنوع المترجم، حدد عنوان IP.
    12. بالنسبة إلى العنوان المترجم، اكتب عنوان IP الخاص المتعلق بـ Srv-Workload-01 الذي سجلته سابقاً.
    13. بالنسبة إلى المدخل المترجم، اكتب 3389.
    14. حدد إضافة.
  22. أضف قاعدة شبكة حتى تتمكن من توصيل سطح المكتب البعيد من Srv-Workload-01 إلى Srv-Workload-02.

    1. حدد Add a rule collection.
    2. بالنسبة للاسم "Name"، اكتب "vnet-rdp".
    3. بالنسبة لـ Rule collection type، اختر Network.
    4. بالنسبة لـ"Priority"، اكتب "100".
    5. بالنسبة لـ Rule collection action، اختر Allow.
    6. بالنسبة للقاعدة Name اكتب Allow-vnet.
    7. بالنسبة لـ "Source type"، حدد "IP address".
    8. بالنسبة إلى Source، اكتب *.
    9. بالنسبة لـ Protocol، اختر TCP.
    10. بالنسبة لـ " Destination Ports"، اكتب " 3389".
    11. بالنسبة لـ Destination Type، أدخل IP Address.
    12. بالنسبة إلى الوجهة، اكتب عنوان IP الخاص Srv-Workload-02 الذي سجلته سابقاً.
    13. حدد إضافة.
  23. حدد Next: IDPS.

  24. في صفحة IDPS ، حدد Next: Threat Intelligence

    Screenshot of configuring IDPS settings.

  25. في صفحة تحليل ذكي للمخاطر، اقبل الإعدادات الافتراضية وحدد مراجعة وإنشاء:

    Screenshot of configuring Threat Intelligence settings.

  26. راجع لتأكيد التحديد ثم حدد إنشاء.

سياسة الاقتران

إقران نهج جدار الحماية بالمركز.

  1. من Firewall Manager، حدد سياسات Azure Firewall.

  2. حدِّد خانة الاختيار لـ Policy-01.

  3. حدد إدارة الإقران، المراكز المقترنة.

    Screenshot of configuring Policy association.

  4. اختر hub-01.

  5. حدد إضافة.

    Screenshot of adding Policy and Hub settings.

توجيه حركة المرور إلى المركز الخاص بك

الآن يجب عليك التأكد من أن حركة نقل الشبكة يتم توجيهها عبر جدار الحماية لديك.

  1. من Firewall Manager، حدد المراكز الظاهرية.

  2. اختر hub-01.

  3. في الإعدادات، حدد تكوين الأمان.

  4. في حركة النقل على الإنترنت، حدد Azure Firewall.

  5. في حركة النقل الخاصة ، حدد إرسال عبر Azure Firewall.

    إشعار

    إذا كنت تستخدم نطاقات عناوين IP العامة للشبكات الخاصة في شبكة ظاهرية أو فرع محلي، فأنت بحاجة إلى تحديد بادئات عناوين IP هذه بشكل صريح. حدد قسم Private Traffic Prefixes ثم أضفها إلى جانب بادئات عنوان RFC1918.

  6. ضمن Inter-hub، حدد Enabled لتمكين ميزة هدف توجيه Virtual WAN. هدف التوجيه هو الآلية التي يمكنك من خلالها تكوين شبكة WAN الظاهرية لتوجيه نسبة استخدام الشبكة من فرع إلى فرع (محلي إلى محلي) عبر Azure Firewall المنشور في Virtual WAN Hub. لمزيد من المعلومات حول المتطلبات الأساسية والاعتبارات المرتبطة بميزة هدف التوجيه، راجع وثائق هدف التوجيه.

  7. حدد حفظ.

  8. حدد موافق في مربع الحوار تحذير.

    Screenshot of Secure Connections.

  9. حدد موافق في مربع الحوار ترحيل لاستخدام بين لوحة الوصل .

    إشعار

    يستغرق تحديث جداول التوجيه بضع دقائق.

  10. تحقق من أن الاتصالين يظهران أن Azure Firewall يؤمن كلاً من الإنترنت وحركة النقل الخاصة.

    Screenshot of Secure Connections final status.

اختبار جدار الحماية

لاختبار قواعد جدار الحماية، قم بتوصيل سطح مكتب بعيد باستخدام عنوان IP العام لجدار الحماية، وهو NATed إلى Srv-Workload-01. من هناك، استخدم متصفحا لاختبار قاعدة التطبيق وتوصيل سطح مكتب بعيد ب Srv-Workload-02 لاختبار قاعدة الشبكة.

اختبار التطبيق باستخدام القاعدة

الآن، اختبر قواعد جدار الحماية للتأكد من أنه يعمل على النحو المتوقع.

  1. ربط سطح المكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول.

  2. افتح Internet Explorer واذهب إلى https://www.microsoft.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Microsoft الرئيسية.

  4. استعرض إلى https://www.google.com.

    يجب أن يمنع جدار الحماية هذا.

حتى الآن قمت بالتحقق من أن قاعدة تطبيق جدار الحماية تعمل:

  • يمكنك التصفح للوصول إلى اسمح المجال المؤهل بالكامل (FQDN) المسموح به، ولكن ليس لأي مجالٍ آخر.

اختبار قاعدة الشبكة

اختبر قاعدة الشبكة الآن.

  • من Srv-Workload-01، افتح سطح مكتب البعيد على عنوان IP الخاص Srv-Workload-02.

    يجب أن يتصل سطح المكتب البعيد بـ Srv-Workload-02.

حتى الآن قمت بالتحقق من أن قاعدة شبكة جدار الحماية تعمل:

  • يمكنك توصيل سطح مكتب بعيد بخادم موجود في شبكة افتراضية أخرى.

تنظيف الموارد

عند انتهائك من اختبار موارد جدار الحماية، احذف مجموعة الموارد fw-manager-rg لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية