Azure Firewall Policy rule sets
نهج جدار الحماية هو مورد من المستوى الأعلى يحتوي على إعدادات الأمان والتشغيل لجدار حماية Azure. يمكنك استخدام "نهج جدار الحماية" لإدارة مجموعات القواعد التي يستخدمها جدار حماية Azure لتصفية نسبة استخدام الشبكة. ينظم نهج جدار الحماية مجموعات القواعد ويحدد أولوياتها ويعالجها استنادًا إلى تسلسل هرمي مع المكونات التالية: مجموعات مجموعات القواعد ومجموعات القواعد والقواعد.
مجموعات مجموعة القواعد
يتم استخدام مجموعة قواعد لتجميع مجموعات القواعد. إنها الوحدة الأولى التي يعالجها جدار الحماية، ويتبعون ترتيب الأولوية استنادا إلى القيم. هناك ثلاث مجموعات مجموعة قواعد افتراضية، ويتم تعيين قيم الأولوية الخاصة بها مسبقا حسب التصميم. تتم معالجتها بالترتيب التالي:
| اسم مجموعة تشكيلة قواعد | أولوية |
|---|---|
| مجموعة قواعد DNAT الافتراضية (ترجمة عناوين الشبكة الوجهة) | 100 |
| مجموعة قواعد الشبكة الافتراضية | 200 |
| مجموعة قواعد التطبيق الافتراضية | 300 |
على الرغم من أنه لا يمكنك حذف مجموعات مجموعة القواعد الافتراضية أو تعديل قيم الأولوية الخاصة بها، يمكنك معالجة ترتيب المعالجة بطريقة مختلفة. إذا كنت بحاجة إلى تحديد ترتيب أولوية يختلف عن التصميم الافتراضي، يمكنك إنشاء مجموعات مجموعة قواعد مخصصة بقيم الأولوية المطلوبة. في هذا السيناريو، لا تستخدم مجموعات مجموعة القواعد الافتراضية على الإطلاق وتستخدم المجموعات التي تقوم بإنشائها فقط لتخصيص منطق المعالجة.
تحتوي مجموعات مجموعة القواعد على مجموعة قواعد واحدة أو عدة مجموعات، والتي يمكن أن تكون من نوع DNAT أو الشبكة أو التطبيق. على سبيل المثال، يمكنك تجميع القواعد التي تنتمي إلى نفس أحمال العمل أو ظاهرية في مجموعة قواعد.
للحصول على حدود حجم مجموعة مجموعة القواعد، راجع اشتراك Azure وحدود الخدمة والحصص النسبية والقيود.
مجموعات القواعد
تنتمي مجموعة القواعد إلى مجموعة قواعد، وتحتوي على قاعدة واحدة أو عدة قواعد. إنها الوحدة الثانية التي تتم معالجتها بواسطة جدار الحماية وتتبع ترتيب الأولوية استنادًا إلى القيم. يجب أن يكون لمجموعات القواعد إجراء محدد (السماح أو الرفض) وقيمة الأولوية. ينطبق الإجراء المحدد على جميع القواعد داخل مجموعة القواعد. تحدد قيمة الأولوية ترتيب معالجة مجموعات القواعد.
هناك ثلاثة أنواع من مجموعات القواعد:
- DNAT
- الشبكة
- طلب
يجب أن تتطابق أنواع القواعد مع فئة مجموعة القواعد الأصلية الخاصة بها. على سبيل المثال، يمكن أن تكون قاعدة DNAT جزءا فقط من مجموعة قواعد DNAT.
القواعد
تنتمي القاعدة إلى مجموعة قواعد، وتحدد حركة المرور المسموح بها أو مرفوضة في شبكتك. إنها الوحدة الثالثة التي يعالجها جدار الحماية ولا تتبع ترتيب الأولوية استنادا إلى القيم. يتبع منطق المعالجة للقواعد نهجا من أعلى لأسفل. يستخدم جدار الحماية قواعد محددة لتقييم جميع نسبة استخدام الشبكة التي تمر عبر جدار الحماية لتحديد ما إذا كان يطابق شرط السماح أو الرفض. إذا لم تكن هناك قاعدة تسمح بنسبة استخدام الشبكة، فسيتم رفض نسبة استخدام الشبكة بشكل افتراضي.
تعالج مجموعة قواعد البنية الأساسية المضمنة نسبة استخدام الشبكة لقواعد التطبيق قبل رفضها بشكل افتراضي.
الوارد مقابل الصادر
تحمي قاعدة جدار الحماية الواردة شبكتك من التهديدات التي تنشأ من خارج شبكتك (نسبة استخدام الشبكة المصدر من الإنترنت) وتحاول التسلل إلى شبكتك إلى الداخل.
تحمي قاعدة جدار الحماية الصادرة من نسبة استخدام الشبكة الشائنة التي تنشأ داخليا (نسبة استخدام الشبكة المصدر من عنوان IP خاص داخل Azure) وتنتقل إلى الخارج. عادة ما تكون هذه حركة المرور من داخل موارد Azure التي تتم إعادة توجيهها عبر جدار الحماية قبل الوصول إلى الوجهة.
أنواع القواعد
لاحظ أن هناك ثلاثة أنواع:
- DNAT
- الشبكة
- طلب
قواعد DNAT
تسمح قواعد DNAT بنسبة استخدام الشبكة الواردة أو ترفضها من خلال عنوان IP عام لجدار حماية واحد أو أكثر. يمكنك استخدام قاعدة DNAT عندما تريد ترجمة عنوان IP عام إلى عنوان IP خاص. يمكن استخدام عناوين IP العامة لجدار حماية Azure للاستماع إلى نسبة استخدام الشبكة الواردة من الإنترنت، وتصفية نسبة استخدام الشبكة وترجمة نسبة استخدام الشبكة هذه إلى الموارد الداخلية في Azure.
قواعد الشبكة
تسمح قواعد الشبكة أو ترفض نسبة استخدام الشبكة الواردة والصادرة على الشرق والغرب استنادًا إلى طبقة الشبكة (L3) وطبقة النقل (L4).
يمكنك استخدام قاعدة شبكة عندما تريد تصفية نسبة استخدام الشبكة استنادًا إلى عناوين IP وأي منافذ وأي بروتوكولات.
قواعد التطبيق
تسمح قواعد التطبيق أو ترفض نسبة استخدام الشبكة الصادرة على الشرق والغرب استنادًا إلى طبقة التطبيق (L7). يمكنك استخدام قاعدة تطبيق عندما تريد تصفية نسبة استخدام الشبكة استنادًا إلى أسماء المجالات المؤهلة بالكامل (FQDNs) وبروتوكولات HTTP/HTTPS.
الخطوات التالية
- تعرف على المزيد حول معالجة قاعدة جدار حماية Azure: تكوين قواعد جدار حماية Azure.