توزيع وتكوين Azure Firewall في شبكة مختلطة باستخدام مدخل Microsoft Azure

عند توصيل شبكة الاتصال المحلية بـ Azure Virtual Network لإنشاء شبكة مختلطة، تعد القدرة على التحكم في الوصول إلى موارد شبكة Azure جزءاً مهماً من خطة الأمان الشاملة.

يمكنك استخدام Azure Firewall للتحكم في الوصول إلى الشبكة في شبكة مختلطة باستخدام القواعد التي تحدد نسبة استخدام الشبكة المسموح بها والمرفوضة.

في هذه المقالة، تقوم بإنشاء ثلاث شبكات افتراضية:

  • VNet-Hub - جدار الحماية موجود في هذه الشبكة الظاهرية.
  • VNet-Spoke - تُمثل الشبكة الظاهرية المحورية حمل العمل الموجود على Azure.
  • VNet-Onprem - تمثل الشبكة الظاهرية المحلية شبكة محلية. في التوزيع الفعلي، يمكن توصيلها بواسطة اتصال VPN أو ExpressRoute. للتبسيط، يستخدم هذا الإجراء اتصال بوابة VPN، ويتم استخدام شبكة ظاهرية موجودة في Azure لتمثيل شبكة محلية.

جدار الحماية في شبكة مختلطة

في هذا المقال، ستتعلم كيفية إجراء ما يلي:

  • إنشاء شبكة ظاهرية بمركز جدار الحماية
  • إنشاء شبكة ظاهرية محورية
  • إنشاء شبكة ظاهرية محلية
  • تكوين جدار الحماية ونشره
  • إنشاء بوابات VPN وتوصيلها
  • نظير المركز والشبكات الظاهرية المحورية
  • إنشاء المسارات
  • إنشاء الأجهزة الظاهرية
  • اختبار جدار الحماية

إذا كنت تريد استخدام Azure PowerShell بدلاً من ذلك لإكمال هذا الإجراء، فراجع نشر وتكوين Azure Firewall في شبكة مختلطة باستخدام Azure PowerShell.

ملاحظة

تستخدم هذه المقالة قواعد جدار الحماية الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام Firewall Policy. لإكمال هذا الإجراء باستخدام نهج جدار الحماية، راجع البرنامج التعليمي: نشر وتكوين Azure Firewall والنهج في شبكة مختلطة باستخدام مدخل Microsoft Azure.

المتطلبات الأساسية

تستخدم الشبكة المختلطة نموذج تصميم المركز المحوري لمسار نسبة استخدام الشبكة بين Azure VNets والشبكات المحلية. يحتوي تصميم المركز المحوري على المتطلبات التالية:

  • تعيين استخدام بوابة الشبكة الظاهرية أو Route Server عند تناظر VNet-Hub إلى VNet-Spoke. في تصميم شبكة المركز المحوري، يسمح عبور البوابة للشبكات الظاهرية المحورية بمشاركة بوابة VPN في المركز، بدلاً من نشر بوابات VPN في كل شبكة ظاهرية محورية.

    بالإضافة إلى ذلك، ستُنشر المسارات إلى الشبكات الظاهرية المتصلة بالبوابة أو الشبكات المحلية تلقائياً إلى جداول التوجيه للشبكات الظاهرية النظيرة باستخدام بوابة النقل. لمزيد من المعلومات، راجع تكوين بوابة نقل VPN لنظير الشبكة الظاهرية.

  • تعيين استخدام بوابات الشبكة الظاهرية عن بُعد أو Route Server عند تناظر VNet-Spoke إلى VNet-Hub. إذا عُينَ استخدام بوابات الشبكة الظاهرية عن بُعد أو Route Server وعُينَ استخدام بوابة الشبكة الظاهرية أو Route Server على التناظر البعيد، فإن الشبكة الظاهرية المحورية تستخدم بوابات الشبكة الظاهرية عن بُعد للنقل.

  • لتوجيه نقل الشبكة الفرعية المحورية عبر مركز جدار حماية، يمكنك استخدام توجيه مُعرف من قِبل المستخدم (UDR) يُشير إلى جدار الحماية مع تعطيل خيار نشر مسار بوابة الشبكة الظاهرية. يمنع خيار تعطيل نشر مسار بوابة الشبكة الظاهرية توزيع المسار إلى الشبكات الفرعية المحورية. وهذا يمنع المسارات المُعرفة من التعارض مع UDR. إذا كنت ترغب في الاحتفاظ بخدمة نشر مسار بوابة الشبكة الظاهرية ممكنة، فتأكد من تعريف مسارات معينة إلى جدار الحماية لتجاوز تلك التي تُنشر من أماكن العمل عبر BGP.

  • تكوين UDR في بوابة مركز الشبكة الفرعية التي تُشير إلى عنوان IP جدار الحماية باعتبارها القفزة التالية إلى الشبكات المحورية. لا يلزم وجود UDR على الشبكة الفرعية لـ Azure Firewall، حيث إنها تتعرف على المسارات من BGP.

راجع قسم Create Routes في هذه المقالة للتعرف على كيفية إنشاء هذه المسارات.

ملاحظة

يجب أن يكون لدى Azure Firewall اتصال إنترنت مباشر. إذا تعلم AzureFirewallSubnet مساراً افتراضياً لشبكة الاتصال المحلية عبر BGP، فيجب تجاوز هذا باستخدام 0.0.0.0/0 UDR مع تعيين قيمة NextHopTypeInternet للحفاظ على اتصال إنترنت مباشر.

يمكن تكوين Azure Firewall لدعم التوجيه المفروض. لمزيد من المعلومات، راجع توجيه Azure Firewall المفروض.

ملاحظة

يتم توجيه النقل بين VNets المتناظرة مباشرة حتى إذا كان UDR يُشير إلى Azure Firewall كبوابة افتراضية. لإرسال شبكة فرعية إلى نقل الشبكة الفرعية إلى جدار الحماية في هذا السيناريو، يجب أن يحتوي UDR على بادئة الشبكة الفرعية المستهدفة بشكل صريح على كلتا الشبكتين الفرعيتين.

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إنشاء شبكة ظاهرية بمركز جدار الحماية

أولاً، قم بإنشاء مجموعة الموارد لاحتواء الموارد:

  1. سجّل الدخول إلى مدخل Microsoft Azure على https://portal.azure.com.
  2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد "Resource groups>Add".
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة لـ Resource group name، اكتب "FW-Hybrid-Test".
  5. بالنسبة للمنطقة "Region"، حدد " (US) East US". يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها لاحقاً في نفس الموقع.
  6. حدد "استعراض + إنشاء".
  7. حدد Create.

الآن، إنشاء VNet:

ملاحظة

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن "Networking"، حدد "Virtual network".
  3. حدد Create.
  4. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  5. بالنسبة للاسم "Name"، اكتب "VNet-hub".
  6. حدد "Next: IP addresses".
  7. بالنسبة لـ IPv4 Address space، احذف العنوان الافتراضي واكتب 10.5.0.0/16.
  8. ضمن "Subnet name"، حدد "Add subnet".
  9. بالنسبة لـ "Subnet name" اكتب "AzureFirewallSubnet". جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.
  10. بالنسبة لـ "Subnet address range"، اكتب "10.5.0.0/26".
  11. حدد ⁧⁩إضافة⁧⁩.
  12. حدد Review + create.
  13. حدد Create.

إنشاء شبكة ظاهرية محورية

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في "Networking"، حدد "Virtual network".
  3. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  4. بالنسبة للاسم "Name"، اكتب "VNet-Spoke".
  5. بالنسبة للمنطقة "Region"، حدد " (US) East US".
  6. حدد "Next: IP addresses".
  7. بالنسبة لـ "IPv4 address space"، احذف العنوان الافتراضي واكتب "10.6.0.0/16".
  8. ضمن "Subnet name"، حدد "Add subnet".
  9. بالنسبة لـ "Subnet name "، اكتب "SN-Workload".
  10. بالنسبة لـ "Subnet address range"، اكتب "10.6.0.0/24".
  11. حدد ⁧⁩إضافة⁧⁩.
  12. حدد Review + create.
  13. حدد Create.

إنشاء شبكة ظاهرية محلية

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في "Networking"، حدد "Virtual network".
  3. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  4. بالنسبة للاسم "Name"، اكتب "VNet-OnPrem".
  5. بالنسبة للمنطقة "Region"، حدد " (US) East US".
  6. حدد "Next : IP Addresses"
  7. بالنسبة لـ "IPv4 address space"، احذف العنوان الافتراضي واكتب "192.168.0.0/16".
  8. ضمن "Subnet name"، حدد "Add subnet".
  9. بالنسبة لـ "Subnet name "، اكتب "SN-Corp".
  10. بالنسبة لـ "Subnet address range"، اكتب "192.168.1.0/24".
  11. حدد ⁧⁩إضافة⁧⁩.
  12. حدد Review + create.
  13. حدد Create.

الآن أنشئ شبكة فرعية ثانية للبوابة.

  1. في صفحة "VNet-Onprem"، حدد "Subnets".
  2. حدد " +Subnet".
  3. "Name"، اكتب "GatewaySubnet".
  4. بالنسبة لـ "Subnet address range"، اكتب "192.168.2.0/24".
  5. حدد "OK".

تكوين جدار الحماية ونشره

الآن انشر جدار الحماية في الشبكة الظاهرية المركزية لجدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

  2. في العمود الأيسر، حدد "Networking"، ثم ابحث عن "Firewall" ثم حدده.

  3. في صفحة "Create a Firewall "، استخدم الجدول التالي لتكوين جدار الحماية:

    إعداد القيمة
    الاشتراك <اشتراكك>
    مجموعة الموارد FW-Hybrid-Test
    الاسم AzFW01
    المنطقة شرق الولايات المتحدة
    إدارة جدار الحماية استخدم قواعد جدار الحماية (كلاسيكي) لإدارة جدار الحماية هذا
    اختر شبكة ظاهرية استخدم الموجود:
    VNet-hub
    عنوان IP العام إضافة جديد:
    fw-pip.
  4. حدد Review + create.

  5. راجع الملخص، ثم حدد " Create " لإنشاء جدار الحماية.

    يستغرق هذا بضع دقائق للنشر.

  6. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد " FW-Hybrid-Test "، وحدد جدار الحماية " AzFW01 ".

  7. لاحظ عنوان IP الخاص. ستستخدمه لاحقاً عند إنشاء المسار الافتراضي.

تكوين قواعد الشبكة

أولا، أضف قاعدة شبكة للسماح بنقل الويب.

  1. في صفحة AzFW01، حدد Rules.
  2. حدد علامة التبويب Network rule collection.
  3. حدد إضافة مجموعة قواعد الشبكة.
  4. بالنسبة للاسم " Name"، اكتب " RCNet01".
  5. بالنسبة لـ " Priority"، اكتب " 100".
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. ضمن " Rules"، بالنسبة للاسم " Name"، اكتب " AllowWeb".
  8. بالنسبة لـ " Source type"، حدد " IP address".
  9. بالنسبة لـ " Source"، اكتب " 192.168.1.0/24".
  10. بالنسبة لـ Protocol، اختر TCP.
  11. بالنسبة لـ " Destination Ports"، اكتب " 80".
  12. بالنسبة لـ " Destination type"، حدد " IP address".
  13. بالنسبة لـ " Destination"، اكتب " 10.6.0.0/16".

الآن أضف قاعدة للسماح بنقل RDP.

في صف القاعدة الثاني، اكتب المعلومات التالية:

  1. "Name"، اكتب " AllowRDP".
  2. بالنسبة لـ " Source type"، حدد " IP address".
  3. بالنسبة لـ " Source"، اكتب " 192.168.1.0/24".
  4. بالنسبة لـ Protocol، اختر TCP.
  5. بالنسبة لـ " Destination Ports"، اكتب " 3389".
  6. بالنسبة لـ " Destination type"، حدد " IP address".
  7. بالنسبة لـ "Destination"، اكتب " 10.6.0.0/16
  8. حدد ⁧⁩إضافة⁧⁩.

إنشاء بوابات VPN وتوصيلها

تُوصل الشبكات الظاهرية المحلية والمركز عبر بوابات VPN.

إنشاء بوابة VPN لمركز الشبكة الظاهرية

الآن أنشئ بوابة VPN لمركز الشبكة الظاهرية. تتطلب تكوينات شبكة إلى شبكة RouteBased VpnType. قد يستغرق إنشاء بوابة VPN في كثير من الأحيان 45 دقيقة أو أكثر، اعتماداً على SKU لبوابة VPN المُحددة.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب " virtual network gateway".
  3. حدد "Virtual network gateway"، وحدد " Create".
  4. بالنسبة للاسم " Name"، اكتب " GW-hub".
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة لـ" Virtual network"، حدد " VNet-hub".
  10. بالنسبة لـ" Public IP address"، حدد " Create new"، واكتب " VNet-hub-GW-pip " للاسم.
  11. اقبل الإعدادات الافتراضية المتبقية ثم حدد " Review + create".
  12. راجع التكوين، ثم حدد " Create".

إنشاء بوابة VPN للشبكة الظاهرية المحلية

الآن أنشئ بوابة VPN للشبكة الظاهرية المحلية. تتطلب تكوينات شبكة إلى شبكة RouteBased VpnType. قد يستغرق إنشاء بوابة VPN في كثير من الأحيان 45 دقيقة أو أكثر، اعتماداً على SKU لبوابة VPN المُحددة.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب " virtual network gateway " واضغط " Enter".
  3. حدد "Virtual network gateway"، وحدد " Create".
  4. بالنسبة للاسم " Name"، اكتب " GW-Onprem".
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة لـ" Virtual network"، حدد " VNet-Onprem".
  10. بالنسبة لـ" Public IP address"، حدد " Create new"، واكتب " VNet-Onprem-GW-pip " للاسم.
  11. اقبل الإعدادات الافتراضية المتبقية ثم حدد " Review + create".
  12. راجع التكوين، ثم حدد " Create".

إنشاء اتصالات VPN

الآن يمكنك إنشاء اتصالات VPN بين المركز والبوابات المحلية.

في هذه الخطوة، يمكنك إنشاء الاتصال من مركز الشبكة الظاهرية إلى الشبكة الظاهرية المحلية. سترى مفتاحاً مشتركاً مُشاراً إليه في الأمثلة. يمكنك استخدام قيمك للمفتاح المشترك. الشيء المهم هو أن المفتاح المشترك يجب أن يتطابق مع كلا الاتصالين. قد يستغرق إنشاء اتصال فترة قصيرة لإكماله.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد بوابة " GW-hub ".
  2. حدد " Connections " في العمود الأيسر.
  3. حدد ⁧⁩إضافة⁧⁩.
  4. اسم الاتصال، اكتب " Hub-to-Onprem".
  5. حدد " VNet-to-VNet " لـ " Connection type".
  6. بالنسبة لـ" Second virtual network gateway"، حدد " GW-Onprem".
  7. بالنسبة لـ" Shared key (PSK) "، اكتب " AzureA1b2C3".
  8. حدد "OK".

إنشاء محلية لاتصال مركز الشبكة الظاهرية. تشبه هذه الخطوة سابقتها، باستثناء إنشاء الاتصال من VNet-Onprem إلى VNet-hub. تأكد من تطابق المفاتيح المشتركة. سيتم تأسيس الاتصال بعد بضع دقائق.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد بوابة " GW-Onprem ".
  2. حدد " Connections " في العمود الأيسر.
  3. حدد ⁧⁩إضافة⁧⁩.
  4. اسم الاتصال، اكتب " Onprem-to-Hub".
  5. حدد " VNet-to-VNet " لـ " Connection type".
  6. بالنسبة لـ" Second virtual network gateway"، حدد " GW-hub".
  7. بالنسبة لـ" Shared key (PSK) "، اكتب " AzureA1b2C3".
  8. حدد "OK".

تحقق من الاتصال

بعد حوالي خمس دقائق أو نحو ذلك، يجب أن تكون حالة الاتصالين " Connected".

اتصالات البوابة

نظير المركز والشبكات الظاهرية المحورية

الآن نظير المركز والشبكات الظاهرية المحورية.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد الشبكة الظاهرية " VNet-hub ".

  2. في العمود الأيسر، حدد " Peerings".

  3. حدد ⁧⁩إضافة⁧⁩.

  4. ضمن This virtual network:

    اسم الإعداد القيمة
    اسم رابط النظير HubtoSpoke
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة السماح (افتراضي)
    نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة السماح (افتراضي)
    بوابة الشبكة الظاهرية استخدم بوابة الشبكة الظاهرية هذه
  5. ضمن " Remote virtual network":

    اسم الإعداد القيمة
    اسم رابط النظير SpoketoHub
    نموذج توزيع الشبكة الظاهرية إدارة الموارد
    الاشتراك <اشتراكك>
    Virtual network VNet-Spoke
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة السماح (افتراضي)
    نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة السماح (افتراضي)
    بوابة الشبكة الظاهرية استخدم بوابة الشبكة الظاهرية عن بُعد هذه
  6. حدد ⁧⁩إضافة⁧⁩.

    نظير Vnet

إنشاء المسارات

بعد ذلك، أنشئ مسارين:

  • مسار من الشبكة الفرعية لمركز البوابة إلى الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية
  • مسار افتراضي من الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية
  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب route table واضغط على " Enter".
  3. حدد " Route table".
  4. حدد Create.
  5. حدد " FW-Hybrid-Test " لمجموعة الموارد.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. الاسم اكتب " UDR-Hub-Spoke".
  8. حدد "استعراض + إنشاء".
  9. حدد Create.
  10. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  11. حدد " Routes " في العمود الأيسر.
  12. حدد ⁧⁩إضافة⁧⁩.
  13. الاسم، اكتب " ToSpoke".
  14. بالنسبة لبادئة العنوان، اكتب 10.6.0.0/16.
  15. نوع Next hop حدد "Virtual appliance" .
  16. لعنوان القفز التالي، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.
  17. حدد "OK".

الآن اقرن المسار إلى الشبكة الفرعية.

  1. في صفحة UDR-Hub-Spoke - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن " Virtual network"، حدد " VNet-hub".
  4. ضمن " Subnet"، حدد " GatewaySubnet".
  5. حدد "OK".

الآن أنشئ المسار الافتراضي من الشبكة الفرعية المحورية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب route table واضغط على " Enter".
  3. حدد " Route table".
  4. حدد Create.
  5. حدد " FW-Hybrid-Test " لمجموعة الموارد.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. الاسم، اكتب " UDR-Hub-Spoke".
  8. في "Propagate gateway route" حدد " No".
  9. حدد "استعراض + إنشاء".
  10. حدد Create.
  11. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  12. حدد " Routes " في العمود الأيسر.
  13. حدد ⁧⁩إضافة⁧⁩.
  14. بالنسبة لاسم المسار، اكتب " ToHub".
  15. بالنسبة لبادئة العنوان، اكتب 0.0.0.0/0.
  16. نوع Next hop حدد "Virtual appliance" .
  17. لعنوان القفز التالي، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.
  18. حدد "OK".

الآن اقرن المسار إلى الشبكة الفرعية.

  1. في صفحة UDR-DG - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن " Virtual network"، حدد " VNet-spoke".
  4. ضمن " Subnet"، حدد " SN-Workload".
  5. حدد "OK".

أنشئ الأجهزة الظاهرية

الآن أنشئ حمل العمل المحوري والأجهزة الظاهرية المحلية، ووضعها في الشبكات الفرعية المناسبة.

إنشاء الجهاز الظاهري لحمل العمل

إنشاء جهاز ظاهري في شبكة الاتصال الظاهرية المحورية، تشغيل IIS دون عنوان IP عام.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن "Popular" ، حدد "Windows Server 2016 Datacenter" .
  3. أدخل هذه القيم للجهاز الظاهري:
    • "Resource group " - حدد " FW-Hybrid-Test".
    • اسم الجهاز الظاهري: " VM-Spoke-01".
    • المنطقة - نفس المنطقة التي استخدمتها سابقاً.
    • اسم المستخدم: <اكتب اسم المستخدم>.
    • كلمة المرور: <اكتب كلمة مرور>
  4. بالنسبة لـ "Public inbound ports"، حدد " Allow selected ports"، ثم حدد " HTTP (80) " و" RDP (3389)
  5. حدد " Next:Disks".
  6. اقبل الإعدادات الافتراضية وحدد " Next: Networking".
  7. حدد " VNet-Spoke " للشبكة الظاهرية والشبكة الفرعية " SN-Workload".
  8. بالنسبة لـPublic IP، اخترNone.
  9. حدد " Next:Management".
  10. " Boot diagnostics"، حدد " Disable".
  11. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

تثبيت IIS

  1. من مدخل Microsoft Azure، افتح Cloud Shell وتأكد من تعيينه إلى PowerShell.

  2. تشغيل الأمر التالي لتثبيت IIS على الجهاز الظاهري وتغيير الموقع إذا لزم الأمر:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

إنشاء شبكة ظاهرية محلية

هذا هو الجهاز الظاهري الذي تستخدمه للاتصال باستخدام سطح المكتب البعيد بعنوان IP العام. ومن هناك، يمكنك الاتصال بالخادم المحلي عبر جدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن "Popular" ، حدد "Windows Server 2016 Datacenter" .
  3. أدخل هذه القيم للجهاز الظاهري:
    • مجموعة الموارد - حدد "existing"، ثم حدد " FW-Hybrid-Test".
    • اسم الجهاز الظاهري: " - VM-Onprem".
    • المنطقة - نفس المنطقة التي استخدمتها سابقاً.
    • اسم المستخدم: <اكتب اسم المستخدم>.
    • كلمة المرور: <اكتب كلمة مرور المستخدم>.
  4. بالنسبة لـ "Public inbound ports"، حدد " Allow selected ports"، ثم حدد " RDP (3389)
  5. حدد " Next:Disks".
  6. اقبل الإعدادات الافتراضية وحدد " Next:Networking".
  7. حدد " VNet-Onprem " للشبكة الظاهرية والشبكة الفرعية " SN-Corp".
  8. حدد " Next:Management".
  9. " Boot diagnostics"، حدد " Disable".
  10. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

ملاحظة

يوفر Azure عنوان IP افتراضياً للوصول الصادر للأجهزة الظاهرية التي إما لم يتم تعيين عنوان IP عام لها أو موجودة في التجمع الخلفي لموازن تحميل Azure الداخلي الأساسي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

لمزيدٍ من المعلومات، راجع الوصول الصادر الافتراضي في Azure.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند تعيين عنوان IP عام للجهاز الظاهري أو وضع الجهاز الظاهري في التجمع الخلفي لموازن التحميل القياسي، مع أو بدون قواعد صادرة. إذا تم تعيين مورد بوابة ترجمة عناوين الشبكة (NAT) لAzure Virtual Network إلى الشبكة الفرعية للجهاز الظاهري، فسيتم تعطيل عنوان IP الافتراضي للوصول الصادر.

لا تحتوي الأجهزة الظاهرية التي تم إنشاؤها بواسطة مجموعات مقياس الجهاز الظاهري في وضع التزامن المرن على وصول صادر افتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع استخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

اختبار جدار الحماية

  1. أولاً، لاحظ عنوان IP الخاص للجهاز الظاهري VM-spoke-01.

  2. من مدخل Microsoft Azure، اتصل بالجهاز الظاهري VM-Onprem.

  1. افتح مستعرض ويب على VM-Onprem، وتصفح إلى http://<VM-spoke-01 private IP>.

    يجب أن تشاهد صفحة ويب VM-spoke-01: صفحة ويب VM-Spoke-01

  2. من الجهاز الظاهري VM-Onprem افتح سطح مكتب بعيداً إلى VM-spoke-01 في عنوان IP الخاص.

    يجب أن ينجح اتصالك، ويجب أن تكون قادراً على تسجيل الدخول.

حتى الآن كنت قد تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك استعراض خادم الويب على الشبكة الظاهرية المحورية.
  • يمكنك الاتصال بالخادم على شبكة الاتصال الظاهرية المحورية باستخدام RDP.

بعد ذلك، غيّر إجراء مجموعة قاعدة شبكة جدار الحماية إلى " Deny " للتحقق من أن قواعد جدار الحماية تعمل كما هو متوقع.

  1. حدد جدار الحماية AzFW01.
  2. حدد Rules.
  3. حدد علامة التبويب Network rule collection وحدد مجموعة القواعد RCNet01.
  4. بالنسبة إلى الإجراء، حدد Deny.
  5. حدد ⁧⁩حفظ⁧⁩.

أغلق أي أجهزة كمبيوتر سطح مكتب بعيدة موجودة قبل اختبار القواعد التي غُيرت. الآن شغّل الاختبارات مرة أخرى. يجب أن يفشلوا جميعاً هذه المرة.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لإجراء مزيد من الاختبارات، أو إذا لم تعد هناك حاجة، فاحذف مجموعة موارد FW-Hybrid-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

بعد ذلك، يمكنك رصد سجلات جدار حماية Azure.

البرنامج التعليمي: رصد سجلات جدار حماية Azure