ميزات Azure Firewall القياسية
إن Azure Firewall Premium هي خدمة أمان شبكة مُدارة ومستندة إلى السحابة تحمي موارد شبكة Azure الظاهرية.
يحتوي جدار حماية Azure على الميزات التالية:
- قابلية وصول عالية مدمجة
- مجموعات التوافر
- قابلية توسعية غير مقيدة للسحابة
- قواعد تصفية FQDN التطبيق
- قواعد تصفية حركة مرور الشبكة
- علامات FQDN
- علامات الخدمة
- تحليل ذكي للمخاطر
- وكيل نظام أسماء المجالات (DNS)
- نظام أسماء مجالات مخصصة
- FQDN في قواعد الشبكة
- النشر دون عنوان IP عام في وضع النفق القسري
- دعم SNAT الصادر
- دعم DNAT الوارد
- عناوين IP عامة متعددة
- تسجيل Azure Monitor
- اتصال نفقي قسري
- فئات ويب
- الشهادات
لمقارنة ميزات Azure Firewall لجميع وحدات SKU لجدار الحماية، راجع اختيار Azure Firewall SKU المناسب لتلبية احتياجاتك.
قابلية وصول عالية مدمجة
تم تضمين قابلية الوصول العالية، لذلك لا توجد موازنات تحميل إضافية مطلوبة وليس هناك شيء يحتاج إلى تكوين.
مجموعات التوافر
يمكن تكوين جدار حماية Azure أثناء التوزيع ليشمل مناطق توفر متعددة لزيادة التوفر. مع مناطق التوفر، يزيد قابلية وصولك إلى 99.99٪ وقت التشغيل. لمزيد من المعلومات، راجع Azure Firewall اتفاقية مستوى الخدمة (SLA). يتم تقديم الـ 99.99٪ من وقت التشغيل SLA عند تحديد منطقتين أو أكثر من مناطق التوفّر.
كما يمكنك إقران جدار حماية Azure بمنطقة معينة لأسباب تتعلق بالقرب فقط، وذلك باستخدام SLA بنسبة 99.95٪ من معيار الخدمة.
لا توجد تكلفة إضافية لجدار حماية تم نشره في أكثر من منطقة توفر واحدة. ومع ذلك، هناك تكاليف إضافية لنقل البيانات الواردة والصادرة المُقترنة بمناطق التوفّر. لمزيد من المعلومات، راجع تفاصيل تسعير النطاق الترددي.
مع تحجيم جدار الحماية، فإنه ينشئ مثيلات في المناطق التي يوجد فيها. لذلك، إذا كان جدار الحماية في المنطقة 1 فقط، يتم إنشاء مثيلات جديدة في المنطقة 1. إذا كان جدار الحماية في جميع المناطق الثلاث، فإنه ينشئ مثيلات عبر المناطق الثلاث أثناء تحجيمه.
تتوفر مناطق قابلية وصول Azure Firewall في المناطق التي تدعم مناطق قابلية الوصول. لمزيد من المعلومات، راجع المناطق التي تدعم مناطق التوفر في Azure.
إشعار
يمكن تكوين مناطق قابلية الوصول فقط أثناء النشر. لا يمكنك تكوين جدار حماية موجود لتضمين مناطق قابلية الوصول.
لمزيدٍ من المعلومات، راجع مناطق ونطاقات قابلية الوصول في Azure.
قابلية توسعية غير مقيدة للسحابة
يمكن لـ Azure Firewall التوسع بالقدر الذي تحتاجه لاستيعاب التدفقات المتغيرة لنسبة استخدام الشبكة، لذلك لا تحتاج إلى تخصيص موازنة لذروة نسبة استخدام الشبكة الخاصة بك.
قواعد تصفية FQDN التطبيق
يمكنك تقييد نسبة استخدام الشبكة HTTP/S الصادرة أو نسبة استخدام الشبكة Azure SQL إلى قائمة محددة من أسماء المجالات المؤهلة بالكامل (FQDN) بما في ذلك أحرف البدل. لا تتطلب هذه الميزة إنهاء TLS.
يوضح الفيديو التالي كيفية إنشاء قاعدة تطبيق:
قواعد تصفية حركة مرور الشبكة
يمكنك إنشاء قواعد تصفية شبكة الاتصال سماح أو رفض بشكل مركزي حسب عنوان IP المصدر، والوجهة، والمنفذ، والبروتوكول. نظرًا لأن حماية Azure محددة الحالة بشكل كامل، فإنها قادرة على تمييز الحزم الأصلية لأنواع مختلفة من الاتصالات. تُفرض القواعد وتُسجل عبر شبكات ظاهرية واشتراكات متعددة.
يدعم Azure Firewall التصفية الحالة لبروتوكولات شبكة الطبقة 3 والطبقة 4. يمكن تصفية بروتوكولات IP من الطبقة 3 عن طريق تحديد أي بروتوكول في قاعدة الشبكة وتحديد بطاقة بدل * للمنفذ.
علامات FQDN
تسهل علامات FQDN السماح لنسبة استخدام الشبكة لخدمة Azure المعروفة من خلال جدار الحماية الخاص بك. على سبيل المثال، لنفترض أنك تريد السماح لنسبة استخدام الشبكة Windows Update عبر جدار الحماية. تُنشئ قاعدة تطبيق وتُضمن علامة Windows Update. الآن، نسبة استخدام الشبكة من Windows Update يمكن أن تتدفق من خلال جدار الحماية الخاص بك.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عناوين IP للمساعدة في تقليل التعقيد لإنشاء قاعدة الأمان. لا يمكنك إنشاء علامة الخدمة الخاصة بك، ولا تحديد عناوين IP المُضمنة ضمن العلامة. تدير Microsoft بادئات العناوين التي تتضمنها علامة الخدمة، وتقوم تلقائيًا بتحديث علامة الخدمة عند تغيير العناوين.
تحليل ذكي للمخاطر
يمكن تمكين التصفية المستندة إلى تحليل ذكي للمخاطر لجدار الحماية الخاص بك لتنبيه حركة المرور من/إلى عناوين IP ومجالات ضارة معروفة ورفضها. ونحصل على عناوين IP والمجالات من موجز التحليل الذكي للمخاطر لـ Microsoft.
وكيل نظام أسماء المجالات (DNS)
مع تمكين وكيل DNS، يمكن لجدار الحماية Azure معالجة استعلامات DNS وإعادة توجيهها من شبكة (شبكات) ظاهرية إلى خادم DNS المطلوب. هذه الوظيفة ضرورية ومطلوبة للحصول على تصفية FQDN موثوقة في قواعد الشبكة. يمكنك تمكين وكيل DNS في إعدادات Azure Firewall وFirewall Policy. لمعرفة المزيد بشأن وكيل DNS، راجع إعدادات DNS لجدار حماية Azure.
نظام أسماء مجالات مخصصة
يسمح لك DNS المخصص بتكوين Azure Firewall لاستخدام خادم DNS الخاص بك، مع ضمان استمرار حل تبعيات جدار الحماية الصادرة باستخدام Azure DNS. يمكنك تكوين خادم DNS واحد أو خوادم متعددة في Azure Firewall وإعدادات DNS لنهج جدار الحماية. تعرف على المزيد بشأن DNS المخصص، راجع إعدادات Azure Firewall DNS.
يمكن لجدار حماية Azure أيضاً حل الأسماء باستخدام Azure Private DNS. يلزم ربط الشبكة الظاهرية حيث يوجد جدار حماية Azure بمنطقة Azure الخاصة. لمعرفة المزيد، انظراستخدام جدار حماية Azure كمحول DNS مع رابط خاص.
FQDN في قواعد الشبكة
يمكنك استخدام أسماء المجالات المؤهلة بالكامل (FQDNs) في قواعد الشبكة حسب دقة نظام أسماء المجالات في نهج جدار الحماية وAzure Firewall.
تتم ترجمة FQDNs المحددة في مجموعات القواعد الخاصة بك إلى عناوين IP استنادا إلى إعدادات DNS لجدار الحماية الخاص بك. تسمح لك هذه الإمكانية بتصفية نسبة استخدام الشبكة الناتجة باستخدام FQDNs مع أي بروتوكول TCP/UDP (بما فيها NTP وSSH وRDP وغير ذلك). نظرا لأن هذه الإمكانية تستند إلى دقة DNS، فمن المستحسن للغاية تمكين وكيل DNS لضمان اتساق تحليل الاسم مع الأجهزة الظاهرية المحمية وجدار الحماية.
نشر جدار حماية Azure دون عنوان IP عام في وضع النفق المفروض
تتطلب خدمة Azure Firewall عنوان IP عاما للأغراض التشغيلية. بينما تكون آمنة، تفضل بعض عمليات التوزيع عدم عرض عنوان IP عام مباشرة على الإنترنت.
في مثل هذه الحالات، يمكنك توزيع جدار حماية Azure في وضع النفق القسري. ينشئ هذا التكوين NIC للإدارة التي يستخدمها Azure Firewall لعملياته. يمكن تكوين شبكة Tenant Datapath دون عنوان IP عام، ويمكن فرض نقل بيانات الإنترنت نفقيا إلى جدار حماية آخر أو حظرها.
لا يمكن تكوين وضع النفق القسري في وقت التشغيل. يمكنك إما إعادة توزيع جدار الحماية أو استخدام منشأة الإيقاف والبدء لإعادة تكوين جدار حماية Azure موجود في وضع النفق القسري. يتم دائماً نشر جدران الحماية المنشورة في المراكز الآمنة في وضع النفق القسري.
دعم SNAT الصادر
تتم ترجمة كافة عناوين IP حركة مرور الشبكة الظاهرية الصادرة إلى عنوان IP العمومي لـ Azure Firewall (ترجمة عنوان شبكة الاتصال المصدر). يمكنك تعريف نسبة استخدام الشبكة التي تنشأ من الشبكة الظاهرية الخاصة بك إلى وجهات الإنترنت البعيدة والسماح لها. لا يقوم جدار الحماية Azure Firewall بترجمة عنوان شبكة المصدر SNAT عندما يكون عنوان IP الوجهة هو نطاق IP خاص لكل IANA RFC 1918.
إذا كانت مؤسستك تستخدم نطاق عنوان IP عام للشبكات الخاصة، فإن جدار حماية Azure Firewall سيقوم بترجمة عنوان شبكة المصدر SNAT لحركة المرور لأحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. يمكنك تكوين جدار حماية Azure Firewall على عدم ترجمة عنوان شبكة المصدر SNAT لنطاق عنوان IP العام الخاص بك. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.
يمكنك مراقبة استخدام منفذ SNAT في قياسات Azure Firewall. تعرف على المزيد واطلع على توصيتنا بشأن استخدام منفذ SNAT في سجلات جدار الحماية ووثائق المقاييس.
لمزيد من المعلومات التفصيلية حول سلوكيات Azure Firewall NAT، راجع سلوكيات Azure Firewall NAT.
دعم DNAT الوارد
تتم ترجمة حركة مرور شبكة الإنترنت الواردة إلى عنوان IP العام لجدار الحماية الخاص بك (ترجمة عنوان الشبكة الوجهة) وتصفيتها إلى عناوين IP الخاصة على شبكاتك الافتراضية.
عناوين IP عامة متعددة
يمكنك إقران عناوين IP عامة متعددة (حتى 250 عنواناً) بجدار الحماية.
وهذا يمكن السيناريوهات التالية:
- DNAT - يمكنك ترجمة مثيلات منفذ قياسية متعددة إلى خوادم الخلفية. على سبيل المثال، إذا كان لديك عنوانا IP عامان، فيمكنك ترجمة منفذ TCP رقم 3389 (RDP) لكل من عنواني IP.
- SNAT - تتوفر منافذ أكثر لاتصالات SNAT الصادرة، ما يقلل من احتمال استنفاد منفذ SNAT. في هذا الوقت، يقوم Azure Firewall بتحديد عنوان IP العام المصدر لاستخدامه للاتصال بشكل عشوائي. إذا كان لديك أي تصفية في اتجاه المصب على الشبكة، فستحتاج إلى السماح لجميع عناوين "IP" العامة المُقترنة بجدار الحماية. فكر في استخدام بادئة عنوان "IP" العام لتبسيط هذا التكوين.
لمزيد من المعلومات حول سلوكيات NAT، راجع سلوكيات NAT لجدار حماية Azure.
تسجيل Azure Monitor
يتم دمج جميع الأحداث مع Azure Monitor، ما يسمح لك بأرشفة السجلات إلى حساب تخزين، أو دفق الأحداث إلى مركز الأحداث الخاص بك، أو إرسالها إلى سجلات Azure Monitor. للحصول على نماذج سجل مراقبة Azure، راجع سجلات مراقبة Azure لـ Azure Firewall.
لمزيد من المعلومات، راجع البرنامج التعليمي: مراقبة سجلات وقياسات Azure Firewall.
يوفر مصنف Azure Firewall مادة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية ثرية من خلال مدخل Microsoft Azure. لمزيد من المعلومات، راجع مراقبة السجلات باستخدام مصنف Azure Firewall.
اتصال نفقي قسري
يمكنك تكوين Azure Firewall لتوجيه كافة نسبة استخدام الشبكة المرتبطة بالإنترنت إلى وثبة معينة بدلاً من الانتقال مباشرة إلى الإنترنت. على سبيل المثال، يمكن أن يكون لديك جدار حماية حافة محلي أو جهاز ظاهري آخر للشبكة (NVA) لمعالجة حركة مرور الشبكة قبل تمريرها إلى الإنترنت. لمزيد من المعلومات، راجع توجيه Azure Firewall المفروض.
فئات ويب
تتيح فئات الويب للمسؤولين السماح أو رفض وصول المستخدم إلى فئات مواقع الويب مثل مواقع المقامرة ومواقع التواصل الاجتماعي وغيرها. يتم تضمين فئات الويب في Azure Firewall Standard، ولكن يتم ضبطها بشكل أفضل في جدار حماية Azure Premium. بدلًا من إمكانية فئات الويب في SKU القياسية التي تُطابق الفئة استنادًا إلى اسم مجال مؤهل بالكامل FQDN، يُطابق SKU المُميز الفئة وفقًا لعنوان الويب بأكمله لكل من نسبة استخدام الشبكة لـ HTTP وHTTPS. لمزيد من المعلومات حول Azure Firewall Premium، راجع ميزات Azure Firewall Premium.
على سبيل المثال، إذا اعترض Azure Firewall طلب HTTPS www.google.com/news، فمن المتوقع أن يكون التصنيف التالي:
Firewall Standard – يتم فحص جزء FQDN فقط، لذلك
www.google.comيتم تصنيفه كمحرك بحث.Firewall Premium – يتم فحص عنوان URL الكامل، لذلك
www.google.com/newsيتم تصنيفه على أنه News.
يتم تنظيم الفئات بناءً على درجة الخطورة ضمن المسؤولية، والنطاق الترددي العالي، واستخدام الأعمال، وفقدان الإنتاجية، والتصفح العام، وغير المصنف.
استثناءات الفئة
يمكنك إنشاء استثناءات لقواعد فئة الويب الخاصة بك. أنشئ مجموعة قواعد سماح أو رفض منفصلة ذات أولوية أعلى ضمن مجموعة القواعد. على سبيل المثال، يمكنك تهيئة مجموعة قواعد تسمح لـ www.linkedin.com بالأولوية 100، مع مجموعة قواعد ترفض الشبكات الاجتماعية ذات الأولوية 200. يؤدي هذا إلى إنشاء استثناء لفئة ويب الشبكات الاجتماعية المعرفة مسبقا.
الشهادات
جدار حماية Azure هو صناعة بطاقات الدفع (PCI)، وعناصر تحكم منظمة الخدمة (SOC)، والمنظمة الدولية للتوحيد القياسي (ISO). لمزيد من المعلومات، راجع شهادات التوافق مع Azure Firewall.