ميزات Azure Firewall Basic
Azure Firewall Basic هي خدمة أمان شبكة مدارة مستندة إلى السحابة تحمي موارد شبكة Azure الظاهرية.
يتضمن Azure Firewall Basic الميزات التالية:
- قابلية وصول عالية مدمجة
- مجموعات التوافر
- قواعد تصفية FQDN التطبيق
- قواعد تصفية حركة مرور الشبكة
- علامات FQDN
- علامات الخدمة
- التحليل الذكي للمخاطر في وضع التنبيه
- دعم SNAT الصادر
- دعم DNAT الوارد
- عناوين IP عامة متعددة
- تسجيل Azure Monitor
- الشهادات
لمقارنة ميزات Azure Firewall لجميع وحدات SKU لجدار الحماية، راجع اختيار Azure Firewall SKU المناسب لتلبية احتياجاتك.
قابلية وصول عالية مدمجة
تم تضمين قابلية الوصول العالية، لذلك لا توجد موازنات تحميل إضافية مطلوبة وليس هناك شيء يحتاج إلى تكوين.
مجموعات التوافر
يمكن تكوين جدار حماية Azure أثناء التوزيع ليشمل مناطق توفر متعددة لزيادة التوفر. يمكنك أيضا إقران جدار حماية Azure بمنطقة معينة لأسباب تتعلق بالتقارب. لمزيد من المعلومات حول التوفر، راجع اتفاقية مستوى خدمة جدار حماية Azure (SLA).
لا توجد تكلفة إضافية لجدار حماية تم نشره في أكثر من منطقة توفر واحدة. ومع ذلك، هناك تكاليف إضافية لنقل البيانات الواردة والصادرة المُقترنة بمناطق التوفّر. لمزيد من المعلومات، راجع تفاصيل تسعير النطاق الترددي.
تتوفر مناطق قابلية وصول Azure Firewall في المناطق التي تدعم مناطق قابلية الوصول. لمزيد من المعلومات، راجع المناطق التي تدعم مناطق التوفر في Azure.
قواعد تصفية FQDN التطبيق
يمكنك تقييد نسبة استخدام الشبكة HTTP/S الصادرة أو نسبة استخدام الشبكة Azure SQL إلى قائمة محددة من أسماء المجالات المؤهلة بالكامل (FQDN) بما في ذلك أحرف البدل. لا تتطلب هذه الميزة إنهاء TLS.
يوضح الفيديو التالي كيفية إنشاء قاعدة تطبيق:
قواعد تصفية حركة مرور الشبكة
يمكنك إنشاء قواعد تصفية شبكة الاتصال سماح أو رفض بشكل مركزي حسب عنوان IP المصدر، والوجهة، والمنفذ، والبروتوكول. نظرًا لأن حماية Azure محددة الحالة بشكل كامل، فإنها قادرة على تمييز الحزم الأصلية لأنواع مختلفة من الاتصالات. تُفرض القواعد وتُسجل عبر شبكات ظاهرية واشتراكات متعددة.
يدعم Azure Firewall التصفية الحالة لبروتوكولات شبكة الطبقة 3 والطبقة 4. يمكن تصفية بروتوكولات IP من الطبقة 3 عن طريق تحديد أي بروتوكول في قاعدة الشبكة وتحديد البطاقة البرية * للمنفذ.
علامات FQDN
تسهل علامات FQDN السماح لنسبة استخدام الشبكة لخدمة Azure المعروفة من خلال جدار الحماية الخاص بك. على سبيل المثال، لنفترض أنك تريد السماح لنسبة استخدام الشبكة Windows Update عبر جدار الحماية. تُنشئ قاعدة تطبيق وتُضمن علامة Windows Update. الآن، نسبة استخدام الشبكة من Windows Update يمكن أن تتدفق من خلال جدار الحماية الخاص بك.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عناوين IP للمساعدة في تقليل التعقيد لإنشاء قاعدة الأمان. لا يمكنك إنشاء علامة الخدمة الخاصة بك، ولا تحديد عناوين IP المُضمنة ضمن العلامة. تدير Microsoft بادئات العناوين التي تتضمنها علامة الخدمة، وتقوم تلقائيًا بتحديث علامة الخدمة عند تغيير العناوين.
تحليل ذكي للمخاطر
يمكن تمكين التصفية المستندة إلى التحليل الذكي للمخاطر لجدار الحماية الخاص بك لتنبيه نسبة استخدام الشبكة من/إلى عناوين IP والمجالات الضارة المعروفة. ونحصل على عناوين IP والمجالات من موجز التحليل الذكي للمخاطر لـ Microsoft.
دعم SNAT الصادر
تتم ترجمة كافة عناوين IP حركة مرور الشبكة الظاهرية الصادرة إلى عنوان IP العمومي لـ Azure Firewall (ترجمة عنوان شبكة الاتصال المصدر). يمكنك تعريف نسبة استخدام الشبكة التي تنشأ من الشبكة الظاهرية الخاصة بك إلى وجهات الإنترنت البعيدة والسماح لها. لا يقوم جدار الحماية Azure Firewall بترجمة عنوان شبكة المصدر SNAT عندما يكون عنوان IP الوجهة هو نطاق IP خاص لكل IANA RFC 1918.
إذا كانت مؤسستك تستخدم نطاق عنوان IP عام للشبكات الخاصة، فإن جدار حماية Azure Firewall سيقوم بترجمة عنوان شبكة المصدر SNAT لحركة المرور لأحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. يمكنك تكوين جدار حماية Azure Firewall على عدم ترجمة عنوان شبكة المصدر SNAT لنطاق عنوان IP العام الخاص بك. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.
يمكنك مراقبة استخدام منفذ SNAT في قياسات Azure Firewall. تعرف على المزيد واطلع على توصيتنا بشأن استخدام منفذ SNAT في سجلات جدار الحماية ووثائق المقاييس.
لمزيد من المعلومات التفصيلية حول سلوكيات Azure Firewall NAT، راجع سلوكيات Azure Firewall NAT.
دعم DNAT الوارد
تتم ترجمة حركة مرور شبكة الإنترنت الواردة إلى عنوان IP العام لجدار الحماية الخاص بك (ترجمة عنوان الشبكة الوجهة) وتصفيتها إلى عناوين IP الخاصة على شبكاتك الافتراضية.
عناوين IP عامة متعددة
يمكنك إقران عناوين IP عامة متعددة بجدار الحماية الخاص بك.
وهذا يمكن السيناريوهات التالية:
- DNAT - يمكنك ترجمة مثيلات منفذ قياسية متعددة إلى خوادم الخلفية. على سبيل المثال، إذا كان لديك عنوانا IP عامان، فيمكنك ترجمة منفذ TCP رقم 3389 (RDP) لكل من عنواني IP.
- SNAT - تتوفر منافذ أكثر لاتصالات SNAT الصادرة، ما يقلل من احتمال استنفاد منفذ SNAT. في هذا الوقت، يقوم Azure Firewall بتحديد عنوان IP العام المصدر لاستخدامه للاتصال بشكل عشوائي. إذا كان لديك أي تصفية في اتجاه المصب على الشبكة، فستحتاج إلى السماح لجميع عناوين "IP" العامة المُقترنة بجدار الحماية. فكر في استخدام بادئة عنوان "IP" العام لتبسيط هذا التكوين.
تسجيل Azure Monitor
يتم دمج جميع الأحداث مع Azure Monitor، ما يسمح لك بأرشفة السجلات إلى حساب تخزين، أو دفق الأحداث إلى مركز الأحداث الخاص بك، أو إرسالها إلى سجلات Azure Monitor. للحصول على نماذج سجل مراقبة Azure، راجع سجلات مراقبة Azure لـ Azure Firewall.
لمزيد من المعلومات، راجع البرنامج التعليمي: مراقبة سجلات وقياسات Azure Firewall.
يوفر مصنف Azure Firewall مادة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية ثرية من خلال مدخل Microsoft Azure. لمزيد من المعلومات، راجع مراقبة السجلات باستخدام مصنف Azure Firewall.
الشهادات
جدار حماية Azure هو صناعة بطاقات الدفع (PCI)، وعناصر تحكم منظمة الخدمة (SOC)، والمنظمة الدولية للتوحيد القياسي (ISO). لمزيد من المعلومات، راجع شهادات التوافق مع Azure Firewall.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ