مشاركة عبر

تصفية حركة المرور الواردة عبر الإنترنت باستخدام Azure Firewall DNAT باستخدام بوابة Azure

يمكنك تكوين ترجمة عناوين الشبكة (DNAT) لترجمة وتصفية حركة الإنترنت الواردة إلى شبكاتك الفرعية. عند تكوين DNAT، يتم تعيين إجراء مجموعة قاعدة NAT إلى DNAT. يمكن بعد ذلك استخدام كل قاعدة في مجموعة قواعد NAT لترجمة عنوان IP العام أو الخاص لجدار الحماية والمنفذ إلى عنوان IP خاص ومنفذ. تضيف قواعد DNAT ضمنياً قاعدة شبكة مقابلة للسماح بحركة البيانات المترجمة. لأسباب أمنية، أضف مصدرا محددا للسماح بوصول DNAT إلى الشبكة وتجنب استخدام البطاقات الاحتياطية. لمعرفة المزيد عن منطق معالجة قاعدة Azure Firewall، راجع منطق معالجة قاعدة Azure Firewall.

إشعار

تستخدم هذه المقالة قواعد جدار الحماية الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام Firewall Policy. لإكمال هذا الإجراء باستخدام نهج جدار الحماية، راجع البرنامج التعليمي: تصفية حركة مرور الإنترنت الواردة باستخدام نهج Azure Firewall DNAT باستخدام مدخل Microsoft Azure.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء مجموعة موارد

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Resource groups، وحدد Create.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة إلى Resource group، اكتب RG-DNAT-Test.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
  6. حدد "Review + create".
  7. حدد إنشاء.

إعداد بيئة شبكة اختبار

بالنسبة لهذه المقالة، يمكنك إنشاء شبكتين ظاهريتين مقترنتين:

  • VN-Hub - جدار الحماية موجود في هذه الشبكة الظاهرية.
  • VN-Spoke - خادم حمل العمل موجود في هذه الشبكة الظاهرية.

أنشئ الشبكات الظاهرية أولاً، ثم قم بإقرانها.

إنشاء الشبكة الظاهرية Hub

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".
  2. ضمن إنشاء الشبكات، حدد Virtual networks.
  3. حدد إنشاء.
  4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
  5. بالنسبة إلى الاسم، اكتب VN-Hub.
  6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.
  10. ضمن Subnets، حدد default.
  11. بالنسبة لقالب الشبكة الفرعية، حدد Azure Firewall.

جدار الحماية موجود في هذه الشبكة الفرعية، ويجب أن يكون اسم الشبكة الفرعية AzureFirewallSubnet.

إشعار

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. حدد حفظ.
  2. حدد "Review + create".
  3. حدد إنشاء.

إنشاء شبكة ظاهرية محورية

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".
  2. ضمن إنشاء الشبكات، حدد Virtual networks.
  3. حدد إنشاء.
  4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
  5. بالنسبة إلى الاسم، اكتب VN-Spoke.
  6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. بالنسبة إلى مساحة عنوان IPv4، حرر الافتراضي واكتب 192.168.0.0/16.
  10. ضمن Subnets، حدد default.
  11. بالنسبة إلى اسم الشبكة الفرعية، اكتب SN-Workload.
  12. بالنسبة إلى عنوان البدء، اكتب 192.168.1.0.
  13. بالنسبة لحجم الشبكة الفرعية، حدد /24.
  14. حدد حفظ.
  15. حدد "Review + create".
  16. حدد إنشاء.

نظير الشبكة الظاهرية

الآن قم بإقران الشبكتين الافتراضيتين.

  1. حدد الشبكة الظاهرية VN-Hub.
  2. ضمن الإعدادات، حدد Peerings.
  3. حدد إضافة.
  4. ضمن هذه الشبكة الظاهرية، بالنسبة إلى Peering link name، اكتب Peer-HubSpoke.
  5. Under الشبكة الظاهرية البعيدة، بالنسبة إلى Peering link name، اكتب Peer-SpokeHub.
  6. حدد VN-Spoke باعتبارها شبكة ظاهرية.
  7. اقبل جميع الإعدادات الافتراضية الأخرى، ثم حدد Add.

إنشاء جهاز ظاهري

أنشئ جهازاً ظاهرياً لحمل العمل، وضعه في الشبكة الفرعية Workload-SN.

  1. من قائمة مدخل Azure، حدد إنشاء مورد.
  2. تحت منتجات السوق الشعبية، اختر خادم أوبونتو 22.04 LTS.

الأساسيات

  1. بالنسبة لـ "Subscription"، حدد اشتراكك.
  2. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
  3. بالنسبة إلى Virtual machine name، اكتب Srv-Workload.
  4. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  5. للصورة، اختر Ubuntu Server 22.04 LTS - x64 Gen2.
  6. بالنسبة للحجم، اختر Standard_B2s.
  7. لنوع المصادقة، اختر مفتاح SSH العام.
  8. لمستخدم المستخدم، اكتب azureuser.
  9. للحصول على مصدر المفتاح العام في SSH، اختر إنشاء زوج مفاتيح جديد.
  10. لاسم زوج المفاتيح، اكتب Srv-Workload_key.
  11. حدد التالي: الأقراص .

اقراص

  1. حدد Next: Networking.

التواصل الشبكي

  1. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".
  2. ضمن الشبكة الفرعية، حدد SN-Workload.
  3. بالنسبة لـPublic IP، اخترNone.
  4. ضمن المنافذ العامة الواردة، حدد None.
  5. اترك الإعدادات الافتراضية الأخرى وحدد Next: Management.

الإدارة

  1. قم باختيار Next: Monitoring.

رصد

  1. ضمن تشخيصات التمهيد، حدد تعطيل.
  2. حدد "استعراض + إنشاء".

مراجعة + إنشاء

راجع الملخص، ثم حدّد Create. تستغرق هذه العملية بضع دقائق لإكمالها.

  1. في مربع الحوار إنشاء زوج مفاتيح جديد ، اختر تحميل المفتاح الخاص وإنشاء مورد. احفظ ملف المفتاح ك Srv-Workload_key.pem.

بعد انتهاء النشر، لاحظ عنوان IP الخاص للجهاز الظاهري. تحتاج إلى عنوان IP هذا لاحقا عند تكوين جدار الحماية. حدد اسم الجهاز الظاهري، وانتقل إلى Overview، وضمن Networking، لاحظ عنوان IP الخاص.

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

تثبيت خادم الويب

استخدم ميزة تشغيل أوامر في بوابة Azure لتثبيت خادم ويب على الجهاز الافتراضي.

  1. انتقل إلى الآلة الافتراضية Srv-Workload في بوابة Azure.

  2. تحت العمليات، اختر أمر الجري.

  3. اختر RunShellScript.

  4. في نافذة Run Command Script ، الصق السكربت التالي:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. حدد تشغيل.

  6. انتظر حتى يكتمل النص. يجب أن يظهر الناتج تثبيت Nginx بنجاح.

انشر جدار الحماية

  1. من الصفحة الرئيسية للمدخل، حدد Create a resource.

  2. ابحث عن Firewallثم حدد Firewall.

  3. حدد إنشاء.

  4. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

    الإعداد القيمة‬
    الاشتراك <اشتراكك>
    مجموعة الموارد تحديد RG-DNAT-Test
    الاسم اختبار FW-DNAT
    المنطقة تحديد نفس الموقع المستخدم مسبقا
    جدار الحماية SKU قياسي
    إدارة جدار الحماية استخدام قواعد جدار الحماية (الكلاسيكي) لإدارة جدار الحماية هذا
    اختر شبكة ظاهرية استخدم الموجود: VN-Hub
    عنوان IP العام إضافة جديد، الاسم: fw-pip

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  6. راجع الملخص، ثم حدد Create لنشر جدار الحماية.

    تستغرق هذه العملية بضع دقائق لإكمالها.

  7. بعد اكتمال النشر، انتقل إلى مجموعة موارد RG-DNAT-Test وحدد جدار الحماية FW-DNAT-test .

  8. لاحظ عناوين IP الخاصة والعامة لجدار الحماية. يمكنك استخدامها لاحقا عند إنشاء المسار الافتراضي وقاعدة NAT.

إنشاء مسار افتراضي

بالنسبة للشبكة الفرعية SN-Workload ، قم بتكوين المسار الافتراضي الصادر للانتقال عبر جدار الحماية.

هام

لا تحتاج إلى تكوين مسار صريح مرة أخرى إلى جدار الحماية في الشبكة الفرعية الوجهة. Azure Firewall هو خدمة ذات حالة ويعالج الحزم والجلسات تلقائيا. سيؤدي إنشاء هذا المسار إلى بيئة توجيه غير متماثلة، مما يؤدي إلى مقاطعة منطق جلسة العمل ذات الحالة والتسبب في إسقاط الحزم والاتصالات.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

  2. ابحث عن جدول التوجيه وحدده.

  3. حدد إنشاء.

  4. بالنسبة لـ "Subscription"، حدد اشتراكك.

  5. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

  6. بالنسبة للمنطقة، حدد نفس المنطقة المستخدمة سابقا.

  7. بالنسبة إلى الاسم، اكتب RT-FWroute.

  8. حدد "Review + create".

  9. حدد إنشاء.

  10. حدد الانتقال إلى المورد.

  11. حدد الشبكات الفرعية، ثم حدد Associate.

  12. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".

  13. ضمن الشبكة الفرعية، حدد SN-Workload.

  14. حدد موافق.

  15. حدد مسارات، ثم حدد إضافة.

  16. بالنسبة إلى اسم المسار، اكتب fw-dg.

  17. بالنسبة إلى Destination type، حدد IP Addresses.

  18. بالنسبة إلى Destination IP addresses/CIDR ranges، اكتب 0.0.0.0/0.

  19. بالنسبة إلى Next hop type، حدد Virtual appliance.

    Azure Firewall هي خدمة مدارة، ولكن تحديد الجهاز الظاهري يعمل في هذه الحالة.

  20. بالنسبة إلى عنوان الوثب التالي، اكتب عنوان IP الخاص بجدار الحماية المذكور سابقا.

  21. حدد إضافة.

تكوين قاعدة DNAT

تسمح هذه القاعدة لحركة مرور HTTP الواردة من الإنترنت بالوصول إلى خادم الويب عبر جدار الحماية.

  1. افتح مجموعة موارد RG-DNAT-Test، وحدد جدار الحماية FW-DNAT-test.
  2. في صفحة FW-DNAT-test، ضمن الإعدادات، حدد Rules (classic).
  3. حدد علامة التبويب مجموعة قواعد NAT.
  4. حدد إضافة مجموعة قواعد NAT.
  5. بالنسبة للاسم، اكتب web-access.
  6. لأجل Priority، اكتب 200.
  7. تحت القواعد، للاسم، اكتب http-dnat.
  8. بالنسبة لـ Protocol، اختر TCP.
  9. بالنسبة لـ " Source type"، حدد " IP address".
  10. بالنسبة للمصدر (Source)، اكتب * للسماح بحركة المرور من أي مصدر.
  11. بالنسبة لعناوين الوجهة، اكتب عنوان IP العام في جدار الحماية.
  12. بالنسبة لمنافذ الوجهة، انوعها 80.
  13. لأجل العنوان المترجم، اكتب عنوان IP الخاص Srv-work.
  14. بالنسبة لمنفذ الترجمة، اكتب النوع 80.
  15. حدد إضافة.

اختبار جدار الحماية

  1. افتح متصفح ويب وانتقل إلى عنوان IP العام للجدار الناري:

    http://<firewall-public-ip>

    يجب أن ترى صفحة الويب التي تعرض "Azure Firewall DNAT Demo - Srv-Workload."

  2. تؤكد هذه الإجراء أن قاعدة DNAT تترجم بنجاح حركة مرور HTTP الواردة على عنوان IP العام للجدار الناري إلى عنوان IP الخاص بخادم الويب.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لإجراء مزيد من الاختبارات، أو إذا لم تعد هناك حاجة، فاحذف مجموعة موارد RG-DNAT-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

بعد ذلك، يمكنك رصد سجلات جدار حماية Azure.

البرنامج التعليمي: رصد سجلات جدار حماية Azure

  • Last updated on