توزيع وتكوين Azure Firewall باستخدام مدخل Microsoft Azure

التحكم في الوصول إلى الشبكة الصادرة جزء هام من خطة أمان الشبكة بشكل عام. على سبيل المثال، قد تحتاج إلى تقييد الوصول إلى مواقع ويب. أو، قد تحتاج إلى الحد من عناوين IP الصادرة والمنافذ التي يمكن الوصول إليها.

إحدى الطرق التي يمكنك التحكم في الوصول إلى شبكة الاتصال الصادرة من شبكة فرعية Azure باستخدام Azure Firewall. باستخدام Azure Firewall، يمكنك تكوين:

  • قواعد التطبيق التي تعرّف أسماء المجالات المؤهلة بالكامل (FQDN)، والتي يمكن الوصول إليها من شبكة فرعية.
  • قواعد الشبكة التي تعرّف عنوان المصدر، والبروتوكول، ومنفذ الوجهة، وعنوان الوجهة.

يتم عرض حركة مرور شبكة الاتصال لقواعد جدار الحماية المكونة عند توجيه نسبة استخدام الشبكة إلى جدار الحماية كبوابة الشبكة الفرعية الافتراضية.

بالنسبة لهذه المقالة، يمكنك إنشاء شبكة ظاهرية واحدة مبسطة مع شبكتين فرعيتين لتسهيل النشر.

بالنسبة إلى عمليات نشر الإنتاج، يوصى بنموذج مركز ونموذج محوري، حيث يكون جدار الحماية في شبكته الظاهرية الخاصة. توجد خوادم حمل العمل في شبكات ظاهرية نظيرة في نفس المنطقة مع شبكة فرعية واحدة أو أكثر.

  • AzureFirewallSubnet - جدار الحماية في هذه الشبكة الفرعية.
  • Workload-SN - خادم حمل العمل في هذه الشبكة الفرعية. مرور شبكة الاتصال هذه الخاصة بالشبكة الفرعية عبر جدار الحماية.

رسم تخطيطي للبنية الأساسية لشبكة جدار الحماية.

في هذه المقالة، ستتعرف على كيفية:

  • إعداد بيئة شبكة اختبار
  • انشر جدار الحماية
  • إنشاء مسار افتراضي
  • تكوين قاعدة تطبيق للسماح بالوصول لـwww.google.com
  • تكوين قاعدة شبكة اتصال للسماح بالوصول إلى خوادم DNS الخارجية
  • تكوين قاعدة NAT للسماح لسطح مكتب بعيد بالوصول لخادم الاختبار
  • اختبار جدار الحماية

إشعار

تستخدم هذه المقالة قواعد جدار الحماية الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام Firewall Policy. لإكمال هذا الإجراء باستخدام نهج جدار الحماية، راجع البرنامج التعليمي: توزيع وتكوين Azure Firewall والنهج باستخدام مدخل Microsoft Azure

إذا كنت تفضل ذلك، يمكنك إكمال هذا الإجراء باستخدام Azure PowerShell.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إعداد الشبكة

أولاً، إنشاء مجموعة موارد لاحتواء الموارد اللازمة لتوزيع جدار الحماية. ثم قم بإنشاء شبكة ظاهرية وشبكات فرعية وخادم اختبار.

إنشاء مجموعة موارد

تحتوي مجموعة الموارد على جميع الموارد المستخدمة في هذا الإجراء.

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. وبعد ذلك، حدد إنشاء.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة إلى اسم مجموعة الموارد، أدخل Test-FW-RG.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
  6. حدد "Review + create".
  7. حدد إنشاء.

إنشاء شبكة ظاهرية

تحتوي هذه الشبكة الظاهرية على شبكتين فرعيتين.

إشعار

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. في قائمة مدخل Microsoft Azure أو من الصفحة الرئيسية ، ابحث عن الشبكات الظاهرية.
  2. حدد الشبكات الظاهرية في جزء النتائج.
  3. حدد إنشاء.
  4. بالنسبة لـ "Subscription"، حدد اشتراكك.
  5. لأجل Resource group، حدد Test-FW-RG.
  6. بالنسبة إلى اسم الشبكة الظاهرية، اكتب Test-FW-VN.
  7. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  8. حدد التالي.
  9. في علامة التبويب Security ، حدد Enable Azure Firewall.
  10. بالنسبة إلى اسم جدار حماية Azure، اكتب Test-FW01.
  11. بالنسبة إلى عنوان IP العام لجدار حماية Azure، حدد إنشاء عنوان IP عام.
  12. بالنسبة إلى Name، اكتب fw-pip وحدد OK.
  13. حدد التالي.
  14. بالنسبة لمساحة العنوان، اقبل الافتراضي 10.0.0.0/16.
  15. ضمن الشبكة الفرعية، حدد الافتراضي وغير الاسم إلى Workload-SN.
  16. بالنسبة إلى عنوان البدء، قم بتغييره إلى 10.0.2.0/24.
  17. حدد حفظ.
  18. حدد "Review + create".
  19. حدد إنشاء.

إشعار

يستخدم Azure Firewall عناوين IP العامة حسب الحاجة استنادا إلى المنافذ المتوفرة. بعد تحديد IP عام للاتصال الصادر من عشوائيا، فإنه سيستخدم عنوان IP العام التالي المتاح فقط بعد عدم إمكانية إجراء المزيد من الاتصالات من IP العام الحالي. في السيناريوهات ذات حجم حركة المرور العالية ومعدل النقل، يوصى باستخدام بوابة NAT لتوفير اتصال صادر. يتم تخصيص منافذ SNAT ديناميكيا عبر جميع عناوين IP العامة المقترنة ببوابة NAT. لمعرفة المزيد، راجع تكامل بوابة NAT مع Azure Firewall.

إنشاء جهاز ظاهري

الآن إنشاء الجهاز الظاهري حمل العمل ووضعه في الشبكة الفرعية Workload-SN.

  1. في قائمة مدخل Microsoft Azure أو من صفحة الصفحة الرئيسية، حدد إنشاء مورد.

  2. حدد Windows Server 2019 Datacenter.

  3. أدخِل هذه القيم للجهاز الظاهري:

    الإعداد القيمة‬
    مجموعة الموارد Test-FW-RG
    اسم الجهاز الظاهري Srv-Work
    المنطقة نفس السابقة
    الصورة مركز بيانات خادم ويندوز 2019
    اسم مستخدم المسؤول اكتب اسم مستخدم
    كلمة المرور إضافة كلمة مرور
  4. في Inbound port rules، Public inbound ports، حدد None.

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. تأكد من تحديد Test-FW-VN لشبكة الاتصال الظاهرية والشبكة الفرعية Workload-SN.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. اقبل الإعدادات الافتراضية وحدد Next: Monitoring.

  11. بالنسبة لتشخيصات التمهيد، حدد تعطيل لتعطيل تشخيصات التمهيد. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  12. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

  13. بعد اكتمال النشر، حدد Go to resource ولاحظ عنوان IP الخاص Srv-Work الذي ستحتاج إلى استخدامه لاحقا.

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

فحص جدار الحماية

  1. انتقل إلى مجموعة الموارد وحدد جدار الحماية.
  2. لاحظ عنواني IP الخاص والعام لجدار الحماية. يمكنك استخدام هذه العناوين لاحقا.

إنشاء مسار افتراضي

عند إنشاء مسار للاتصال الصادر والوارد من خلال جدار الحماية، يكون المسار الافتراضي إلى 0.0.0.0/0 مع IP الخاص بالأجهزة الظاهرية كوثبة تالية كافيا. يؤدي هذا إلى توجيه أي اتصالات صادرة وواردة من خلال جدار الحماية. على سبيل المثال، إذا كان جدار الحماية يفي بتأكيد اتصال TCP ويستجيب لطلب وارد، فسيتم توجيه الاستجابة إلى عنوان IP الذي أرسل حركة المرور. وهو كذلك بسبب طبيعة تصميمه.

ونتيجة لذلك، ليست هناك حاجة لإنشاء مسار معرف من قبل مستخدم آخر لتضمين نطاق IP AzureFirewallSubnet. قد يؤدي هذا إلى انقطاع الاتصالات. المسار الافتراضي الأصلي كاف.

بالنسبة إلى الشبكة الفرعية Workload-SN، قم بتكوين التوجيه الافتراضي الصادر للانتقال عبر جدار الحماية.

  1. في مدخل Microsoft Azure ابحث عن جداول التوجيه.
  2. حدد Route tables في جزء النتائج.
  3. حدد إنشاء.
  4. بالنسبة لـ "Subscription"، حدد اشتراكك.
  5. لأجل Resource group، حدد Test-FW-RG.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. لأجل Name، اكتب Firewall-route.
  8. حدد "Review + create".
  9. حدد إنشاء.

بعد اكتمال التوزيع، حدد «Go to resource».

  1. في صفحة توجيه جدار الحماية، حدد شبكات فرعية ثم حدد اقتران.

  2. بالنسبة للشبكة الظاهرية، حدد Test-FW-VN.

  3. لأجل Subnet، حدد Workload-SN. تأكد من تحديد الشبكة الفرعية Workload-SN لهذا التوجيه فقط،‏ وإلا فلن يعمل جدار الحماية بشكل صحيح.

  4. حدد موافق.

  5. حدد Routes ثم حدد Add.

  6. لأجل Route name، اكتب fw-dg.

  7. بالنسبة إلى Destination type، حدد IP Addresses.

  8. بالنسبة إلى Destination IP addresses/CIDR ranges، اكتب 0.0.0.0/0.

  9. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

  10. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

  11. حدد إضافة.

تكوين قاعدة تطبيق

هذه هي قاعدة التطبيق التي تسمح بالوصول الصادر إلى www.google.com.

  1. افتح Test-FW-RG، وحدد جدار الحماية Test-FW01.
  2. في صفحة Test-FW01، ضمن الإعدادات، حدد Rules (classic).
  3. حدد علامة التبويب Application rule collection.
  4. حدد Add application rule collection.
  5. لأجل Name، اكتب App-Coll01.
  6. لأجل Priority، اكتب 200.
  7. من أجل الإجراء، حدد Allow.
  8. ضمن القواعد، FQDNs المستهدفة، لـ الاسم، اكتب Allow-Google.
  9. بالنسبة لـ " Source type"، حدد " IP address".
  10. لأجل Source، اكتب 10.0.2.0/24.
  11. لأجل Protocol:port، اكتب http, https.
  12. بالنسبة إلى FQDNS المستهدفة، اكتب www.google.com
  13. حدد إضافة.

يتضمن جدار حماية Azure مجموعة قواعد مضمنة لأجل FQDNs البنية الأساسية المسموح بها بشكل افتراضي. FQDNs هي خاصة بالمنصة ولا يمكن استخدامها لأغراض أخرى. لمزيد من المعلومات، راجع FQDNs البنية التحتية.

تكوين قاعدة شبكة

هذه هي قاعدة شبكة الاتصال التي تسمح بالوصول الصادر إلى عنواني IP في المنفذ 53 (DNS).

  1. حدد علامة التبويب Network rule collection.

  2. حدد إضافة مجموعة قواعد الشبكة.

  3. لأجل Name، اكتب Net-Coll01.

  4. لأجل Priority، اكتب 200.

  5. من أجل الإجراء، حدد Allow.

  6. ضمن القواعد، عناوين IP، لـ الاسم، اكتب Allow-DNS.

  7. بالنسبة لـ Protocol، اختر UDP.

  8. بالنسبة لـ " Source type"، حدد " IP address".

  9. لأجل Source، اكتب 10.0.2.0/24.

  10. لأجل Destination type، حدد IP address.

  11. بالنسبة إلى عنوان الوجهة، اكتب 209.244.0.3,209.244.0.4

    هذه هي خوادم DNS العامة التي تديرها المستوى 3.

  12. بالنسبة لـ " Destination Ports"، اكتب " 53".

  13. حدد إضافة.

تكوين قاعدة DNAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Work من خلال جدار الحماية.

  1. حدد علامة التبويب مجموعة قواعد NAT.
  2. حدد إضافة مجموعة قواعد NAT.
  3. بالنسبة إلى Name، حدد rdp.
  4. لأجل Priority، اكتب 200.
  5. ضمن قواعد، بالنسبة لـ Name، اكتب rdp-nat.
  6. بالنسبة لـ Protocol، اختر TCP.
  7. بالنسبة لـ " Source type"، حدد " IP address".
  8. بالنسبة إلى Source، اكتب *.
  9. بالنسبة إلى عنوان الوجهة، اكتب عنوان IP العام لجدار الحماية.
  10. بالنسبة لـ " Destination Ports"، اكتب " 3389".
  11. بالنسبة إلى العنوان المترجم، اكتب عنوان IP الخاص ب Srv-work.
  12. بالنسبة إلى المدخل المترجم، اكتب 3389.
  13. حدد إضافة.

تغيير عنوان DNS الأساسي والثانوي لواجهة شبكة Srv-Work

لأغراض الاختبار، قم بتكوين عناوين DNS الأساسية والثانوية للخادم. هذا ليس مطلبا عاما لجدار حماية Azure.

  1. في قائمة Azure portal، حدد Resource groups، أو ابحث عن Resource groups وحددها من أي صفحة. حدد مجموعة موارد Test-FW-RG.
  2. حدد واجهة شبكة الاتصال للجهاز الظاهري Srv-Work.
  3. ضمن Settings، اختر DNS servers.
  4. ضمن DNS servers، اختر Custom.
  5. اكتب 209.244.0.3 واضغط على Enter في مربع النص إضافة خادم DNS، و209.244.0.4 في مربع النص التالي.
  6. حدد حفظ.
  7. أعد تشغيل الجهاز الظاهري Srv-Work.

اختبار جدار الحماية

الآن، اختبر جدار الحماية للتأكد من أنه يعمل كما هو متوقع.

  1. ربط سطح مكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول إلى الجهاز الظاهري Srv-Work.

  2. افتح Internet Explorer واذهب إلى https://www.google.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Google الرئيسية.

  4. استعرض إلى https://www.microsoft.com.

    يجب أن يمنعك جدار الحماية.

حتى الآن قمت بالتحقق من أن قواعد جدار الحماية تعمل:

  • يمكنك الاتصال بالجهز الظاهري باستخدام RDP.
  • يمكنك التصفح للوصول إلى اسمح المجال المؤهل بالكامل (FQDN) المسموح به، ولكن ليس لأي مجالٍ آخر.
  • يمكنك حل أسماء DNS باستخدام خادم DNS الخارجي المكون.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لمتابعة الاختبار، أو إذا لم تعد هناك حاجة، فاحذف مجموعة موارد Test-FW-RG لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية