نشر وتكوين جدار حماية Azure في شبكة مختلطة باستخدام مدخل Microsoft Azure

  • مقالة

عند توصيل شبكة الاتصال المحلية بشبكة Azure الظاهرية لإنشاء شبكة مختلطة، القدرة على التحكم في الوصول إلى موارد شبكة Azure هي جزء مهم من خطة الأمان الشاملة.

يمكنك استخدام Azure Firewall للتحكم في الوصول إلى الشبكة في شبكة مختلطة باستخدام القواعد التي تحدد حركة مرور الشبكة المسموح بها والمرفوضة.

في هذه المقالة، تقوم بإنشاء ثلاث شبكات افتراضية:

  • VNet-Hub: جدار الحماية موجود في هذه الشبكة الظاهرية.
  • VNet-Spoke: تمثل الشبكة الظاهرية المحورية حمل العمل الموجود على Azure.
  • VNet-Onprem: تمثل الشبكة الظاهرية المحلية شبكة محلية. في التوزيع الفعلي، يمكنك الاتصال به باستخدام اتصال شبكة ظاهرية خاصة (VPN) أو اتصال Azure ExpressRoute. للتبسيط، تستخدم هذه المقالة اتصال بوابة VPN، وتمثل الشبكة الظاهرية الموجودة في Azure شبكة محلية.

رسم تخطيطي يظهر جدار حماية في شبكة مختلطة.

إذا كنت ترغب في استخدام Azure PowerShell بدلا من ذلك لإكمال الإجراءات الواردة في هذه المقالة، فشاهد نشر جدار حماية Azure وتكوينه في شبكة مختلطة باستخدام Azure PowerShell.

إشعار

تستخدم هذه المقالة قواعد Azure Firewall الكلاسيكية لإدارة جدار الحماية. الطريقة المفضلة هي استخدام نهج Azure Firewall Manager. لإكمال هذا الإجراء باستخدام نهج Azure Firewall Manager، راجع البرنامج التعليمي: نشر وتكوين Azure Firewall والنهج في شبكة مختلطة باستخدام مدخل Microsoft Azure.

المتطلبات الأساسية

تستخدم الشبكة المختلطة نموذج بنية النظام المحوري لتوجيه نسبة استخدام الشبكة بين شبكات Azure الظاهرية والشبكات المحلية. يحتوي تصميم المركز المحوري على المتطلبات التالية:

  • قم بتعيين استخدام بوابة هذه الشبكة الظاهرية أو Route Server عند نظير VNet-Hub إلى VNet-Spoke. في تصميم شبكة المركز المحوري، يسمح عبور البوابة للشبكات الظاهرية المحورية بمشاركة بوابة VPN في المركز، بدلاً من نشر بوابات VPN في كل شبكة ظاهرية محورية.

    بالإضافة إلى ذلك، تنتشر التوجيهات إلى الشبكات الظاهرية المتصلة بالبوابة أو الشبكات المحلية تلقائيا إلى جداول التوجيه للشبكات الظاهرية النظيرة عبر عبور البوابة. لمزيد من المعلومات، راجع تكوين بوابة نقل VPN لنظير الشبكة الظاهرية.

  • تعيين استخدام بوابات الشبكة الظاهرية البعيدة أو Route Server عند نظير VNet-Spoke إلى VNet-Hub. إذا عُينَ استخدام بوابات الشبكة الظاهرية عن بُعد أو Route Server وعُينَ استخدام بوابة الشبكة الظاهرية أو Route Server على التناظر البعيد، فإن الشبكة الظاهرية المحورية تستخدم بوابات الشبكة الظاهرية عن بُعد للنقل.

  • لتوجيه حركة مرور الشبكة الفرعية المحورية من خلال جدار حماية المركز، يمكنك استخدام مسار معرف من قبل المستخدم (UDR) يشير إلى جدار الحماية مع تعطيل خيار نشر مسار بوابة الشبكة الظاهرية. يؤدي تعطيل هذا الخيار إلى منع توزيع التوجيه إلى الشبكات الفرعية المحورية، لذلك لا يمكن أن تتعارض المسارات المستفادة مع UDR الخاص بك. إذا كنت تريد الاحتفاظ بنشر مسار بوابة الشبكة الظاهرية ممكنا، فتأكد من تحديد مسارات معينة إلى جدار الحماية لتجاوز المسارات التي يتم نشرها من أماكن العمل عبر بروتوكول بوابة الحدود (BGP).

  • تكوين UDR في بوابة مركز الشبكة الفرعية التي تُشير إلى عنوان IP جدار الحماية باعتبارها القفزة التالية إلى الشبكات المحورية. لا يلزم وجود UDR على الشبكة الفرعية لجدار حماية Azure، لأنه يتعلم المسارات من BGP.

يوضح قسم Create the routes لاحقا في هذه المقالة كيفية إنشاء هذه المسارات.

يجب أن يكون لدى Azure Firewall اتصال مباشر بالإنترنت. إذا كانت الشبكة الفرعية AzureFirewallSubnet تتعلم مسارا افتراضيا إلى شبكتك المحلية عبر BGP، يجب تجاوزه باستخدام UDR 0.0.0.0/0 مع NextHopType القيمة المعينة Internet للحفاظ على الاتصال المباشر بالإنترنت.

إشعار

يمكنك تكوين جدار حماية Azure لدعم الاتصال النفقي القسري. لمزيد من المعلومات، راجع توجيه Azure Firewall المفروض.

يتم توجيه نسبة استخدام الشبكة بين الشبكات الظاهرية المتناظرة مباشرة، حتى إذا كان UDR يشير إلى جدار حماية Azure كبوابة افتراضية. لإرسال نسبة استخدام الشبكة الفرعية إلى الشبكة الفرعية إلى جدار الحماية في هذا السيناريو، يجب أن يحتوي UDR على بادئة شبكة الشبكة الفرعية الهدف بشكل صريح على كلتا الشبكتين الفرعيتين.

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء شبكة ظاهرية بمركز جدار الحماية

أولاً، قم بإنشاء مجموعة الموارد لاحتواء الموارد:

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Resource groups>Create.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة لمجموعة الموارد، أدخل RG-fw-hybrid-test.
  5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد التي تقوم بإنشائها لاحقا في نفس المنطقة.
  6. حدد "استعراض + إنشاء".
  7. حدد إنشاء.

الآن، قم بإنشاء الشبكة الظاهرية.

إشعار

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل الشبكة الظاهرية.
  3. حدد Virtual network، ثم حدد Create.
  4. بالنسبة إلى Resource group، حدد RG-fw-hybrid-test.
  5. بالنسبة إلى اسم الشبكة الظاهرية، أدخل VNet-Hub.
  6. بالنسبة للمنطقة، حدد المنطقة التي استخدمتها سابقا.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. بالنسبة لمساحة عنوان IPv4، احذف العنوان الافتراضي وأدخل 10.5.0.0/16.
  10. ضمن الشبكات الفرعية، احذف الشبكة الفرعية الافتراضية.
  11. حدد إضافة شبكة فرعية.
  12. في صفحة إضافة شبكة فرعية، لقالب الشبكة الفرعية، حدد Azure Firewall.
  13. حدد إضافة.

إنشاء شبكة فرعية ثانية للبوابة:

  1. حدد إضافة شبكة فرعية.
  2. بالنسبة لقالب الشبكة الفرعية، حدد بوابة الشبكة الظاهرية.
  3. بالنسبة إلى عنوان البدء، اقبل القيمة الافتراضية 10.5.1.0.
  4. بالنسبة لحجم الشبكة الفرعية، اقبل القيمة الافتراضية ل /27.
  5. حدد إضافة.
  6. حدد "Review + create".
  7. حدد إنشاء.

إنشاء شبكة ظاهرية محورية

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل الشبكة الظاهرية.
  3. حدد Virtual network، ثم حدد Create.
  4. بالنسبة إلى Resource group، حدد RG-fw-hybrid-test.
  5. بالنسبة للاسم، أدخل VNet-Spoke.
  6. بالنسبة للمنطقة، حدد المنطقة التي استخدمتها سابقا.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. بالنسبة لمساحة عنوان IPv4، احذف العنوان الافتراضي وأدخل 10.6.0.0/16.
  10. ضمن الشبكات الفرعية، احذف الشبكة الفرعية الافتراضية.
  11. حدد إضافة شبكة فرعية.
  12. بالنسبة للاسم، أدخل SN-Workload.
  13. بالنسبة إلى عنوان البدء، اقبل القيمة الافتراضية 10.6.0.0.
  14. بالنسبة لحجم الشبكة الفرعية، اقبل القيمة الافتراضية ل /24.
  15. حدد إضافة.
  16. حدد "Review + create".
  17. حدد إنشاء.

إنشاء شبكة ظاهرية محلية

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل الشبكة الظاهرية.
  3. حدد Virtual network، ثم حدد Create.
  4. بالنسبة إلى Resource group، حدد RG-fw-hybrid-test.
  5. بالنسبة للاسم، أدخل VNet-Onprem.
  6. بالنسبة للمنطقة، حدد المنطقة التي استخدمتها سابقا.
  7. حدد التالي.
  8. في علامة التبويب الأمان ، حدد التالي.
  9. بالنسبة لمساحة عنوان IPv4، احذف العنوان الافتراضي وأدخل 192.168.0.0/16.
  10. ضمن الشبكات الفرعية، احذف الشبكة الفرعية الافتراضية.
  11. حدد إضافة شبكة فرعية.
  12. بالنسبة إلى Name، أدخل SN-Corp.
  13. بالنسبة إلى عنوان البدء، اقبل القيمة الافتراضية 192.168.0.0.
  14. بالنسبة لحجم الشبكة الفرعية، اقبل القيمة الافتراضية ل /24.
  15. حدد إضافة.

الآن، قم بإنشاء شبكة فرعية ثانية للبوابة:

  1. حدد إضافة شبكة فرعية.
  2. بالنسبة لقالب الشبكة الفرعية، حدد بوابة الشبكة الظاهرية.
  3. بالنسبة إلى عنوان البدء، اقبل القيمة الافتراضية 192.168.1.0.
  4. بالنسبة لحجم الشبكة الفرعية، اقبل القيمة الافتراضية ل /27.
  5. حدد إضافة.
  6. حدد "Review + create".
  7. حدد إنشاء.

تكوين جدار الحماية ونشره

نشر جدار الحماية في الشبكة الظاهرية لمركز جدار الحماية:

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.

  2. في مربع البحث، أدخل جدار الحماية.

  3. حدد جدار الحماية، ثم حدد إنشاء.

  4. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

    الإعداد القيمة‬
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد أدخل RG-fw-hybrid-test.
    الاسم أدخل AzFW01.
    المنطقة حدد المنطقة التي استخدمتها من قبل.
    جدار الحماية SKU حدد قياسي.
    إدارة جدار الحماية حدد استخدام قواعد جدار الحماية (الكلاسيكي) لإدارة جدار الحماية هذا.
    اختيار شبكة ظاهرية حدد Use existing>VNet-Hub.
    عنوان IP العام حدد Add new>fw-pip.

  5. حدد "Review + create".

  6. راجع الملخص، ثم حدد إنشاء لإنشاء جدار الحماية.

    يستغرق جدار الحماية بضع دقائق للتوزيع.

  7. بعد انتهاء النشر، انتقل إلى مجموعة موارد RG-fw-hybrid-test وحدد جدار حماية AzFW01 .

  8. لاحظ عنوان IP الخاص. يمكنك استخدامه لاحقا عند إنشاء المسار الافتراضي.

تكوين قواعد الشبكة

أولا، أضف قاعدة شبكة للسماح بحركة مرور الويب:

  1. في صفحة AzFW01 ، حدد Rules (classic).
  2. حدد علامة التبويب Network rule collection.
  3. حدد إضافة مجموعة قواعد الشبكة.
  4. بالنسبة للاسم، أدخل RCNet01.
  5. بالنسبة لـ Priority، أدخل 100.
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. ضمن عناوين IP القواعد، للاسم، أدخل AllowWeb.
  8. بالنسبة لـ Protocol، اختر TCP.
  9. بالنسبة لـ " Source type"، حدد " IP address".
  10. بالنسبة للمصدر، أدخل 192.168.0.0/24.
  11. بالنسبة لـ " Destination type"، حدد " IP address".
  12. بالنسبة إلى عنوان الوجهة، أدخل 10.6.0.0/16.
  13. بالنسبة لمنافذ الوجهة، أدخل 80.

الآن، أضف قاعدة للسماح بحركة مرور RDP. في صف القاعدة الثاني، أدخل المعلومات التالية:

  1. بالنسبة إلى Name، أدخل AllowRDP.
  2. بالنسبة لـ Protocol، اختر TCP.
  3. بالنسبة لـ " Source type"، حدد " IP address".
  4. بالنسبة للمصدر، أدخل 192.168.0.0/24.
  5. بالنسبة لـ " Destination type"، حدد " IP address".
  6. بالنسبة إلى عنوان الوجهة، أدخل 10.6.0.0/16.
  7. بالنسبة لـ Destination Ports، أدخل 3389.
  8. حدد إضافة.

إنشاء بوابات VPN وتوصيلها

تُوصل الشبكات الظاهرية المحلية والمركز عبر بوابات VPN.

إنشاء بوابة VPN لمركز الشبكة الظاهرية

إنشاء بوابة VPN للشبكة الظاهرية المركزية. تتطلب تكوينات الشبكة إلى الشبكة نوع VPN المستند إلى التوجيه. غالبا ما يستغرق إنشاء بوابة VPN 45 دقيقة أو أكثر، اعتمادا على SKU الذي تحدده.

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل بوابة الشبكة الظاهرية.
  3. حدد بوابة الشبكة الظاهرية، ثم حدد إنشاء.
  4. بالنسبة إلى Name، أدخل GW-hub.
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة للشبكة الظاهرية، حدد VNet-Hub.
  10. بالنسبة ل Public IP address، حدد Create new وأدخل VNet-Hub-GW-pip للاسم.
  11. بالنسبة إلى Enable active-active mode، حدد Disabled.
  12. اقبل الإعدادات الافتراضية المتبقية، ثم حدد Review + create.
  13. راجع التكوين، ثم حدد إنشاء.

إنشاء بوابة VPN للشبكة الظاهرية المحلية

إنشاء بوابة VPN للشبكة الظاهرية المحلية. تتطلب تكوينات الشبكة إلى الشبكة نوع VPN المستند إلى التوجيه. غالبا ما يستغرق إنشاء بوابة VPN 45 دقيقة أو أكثر، اعتمادا على SKU الذي تحدده.

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل بوابة الشبكة الظاهرية.
  3. حدد بوابة الشبكة الظاهرية، ثم حدد إنشاء.
  4. بالنسبة إلى Name، أدخل GW-Onprem.
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة لـ" Virtual network"، حدد " VNet-Onprem".
  10. بالنسبة ل Public IP address، حدد Create new وأدخل VNet-Onprem-GW-pip للاسم.
  11. بالنسبة إلى Enable active-active mode، حدد Disabled.
  12. اقبل الإعدادات الافتراضية المتبقية، ثم حدد Review + create.
  13. راجع التكوين، ثم حدد إنشاء.

إنشاء اتصالات VPN

الآن يمكنك إنشاء اتصالات VPN بين المركز والبوابات المحلية.

في الخطوات التالية، يمكنك إنشاء الاتصال من الشبكة الظاهرية للمركز إلى الشبكة الظاهرية المحلية. تظهر الأمثلة مفتاحا مشتركا، ولكن يمكنك استخدام القيمة الخاصة بك للمفتاح المشترك. الشيء المهم هو أن المفتاح المشترك يجب أن يتطابق مع كلا الاتصالين. قد يستغرق إنشاء اتصال فترة قصيرة لإكماله.

  1. افتح مجموعة موارد RG-fw-hybrid-test وحدد بوابة GW-hub .
  2. حدد " Connections " في العمود الأيسر.
  3. حدد إضافة.
  4. بالنسبة إلى اسم الاتصال، أدخل Hub-to-Onprem.
  5. بالنسبة لنوع الاتصال، حدد VNet-to-VNet .
  6. حدد التالي.
  7. بالنسبة لبوابة الشبكة الظاهرية الأولى، حدد GW-hub.
  8. بالنسبة لبوابة الشبكة الظاهرية الثانية، حدد GW-Onprem.
  9. بالنسبة للمفتاح المشترك (PSK)، أدخل AzureA1b2C3.
  10. حدد "استعراض + إنشاء".
  11. حدد إنشاء.

إنشاء اتصال الشبكة الظاهرية بين الموقع المحلي والمركز. الخطوات التالية مشابهة للخطوات السابقة، باستثناء إنشاء الاتصال من VNet-Onprem إلى VNet-Hub. تأكد من تطابق المفاتيح المشتركة. يتم تأسيس الاتصال بعد بضع دقائق.

  1. افتح مجموعة موارد RG-fw-hybrid-test وحدد بوابة GW-Onprem .
  2. حدد " Connections " في العمود الأيسر.
  3. حدد إضافة.
  4. بالنسبة إلى اسم الاتصال، أدخل Onprem-to-Hub.
  5. بالنسبة لنوع الاتصال، حدد VNet-to-VNet.
  6. حدد Next: Settings.
  7. بالنسبة لبوابة الشبكة الظاهرية الأولى، حدد GW-Onprem.
  8. بالنسبة لبوابة الشبكة الظاهرية الثانية، حدد GW-hub.
  9. بالنسبة للمفتاح المشترك (PSK)، أدخل AzureA1b2C3.
  10. حدد "استعراض + إنشاء".
  11. حدد إنشاء.

التحقق من الاتصالات

بعد حوالي خمس دقائق، يجب الاتصال حالة كلا الاتصالين.

لقطة شاشة تعرض اتصالات البوابة.

نظير المركز والشبكات الظاهرية المحورية

الآن، نظير المركز والشبكات الظاهرية المحورية:

  1. افتح مجموعة موارد RG-fw-hybrid-test وحدد الشبكة الظاهرية VNet-Hub .

  2. في العمود الأيسر، حدد " Peerings".

  3. حدد إضافة.

  4. ضمن This virtual network:

    اسم الإعداد الإعدادات
    اسم ارتباط التناظر أدخل HubtoSpoke.
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة حدد السماح.
    حركة المرور التي تمت إعادة توجيهها من الشبكة الظاهرية البعيدة حدد السماح.
    بوابة الشبكة الظاهرية حدد استخدام بوابة هذه الشبكة الظاهرية.

  5. ضمن " Remote virtual network":

    اسم الإعداد القيمة‬
    اسم ارتباط التناظر أدخل SpoketoHub.
    نموذج توزيع الشبكة الظاهرية حدد Resource manager.
    الاشتراك حدد Subscription الخاص بك.
    الشبكة الظاهرية حدد VNet-Spoke.
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة حدد السماح.
    حركة المرور التي تمت إعادة توجيهها من الشبكة الظاهرية البعيدة حدد السماح.
    بوابة الشبكة الظاهرية حدد استخدام بوابة الشبكة الظاهرية البعيدة.

  6. حدد إضافة.

تظهر لقطة الشاشة التالية الإعدادات التي يجب استخدامها عند الشبكات الظاهرية المحورية لمركز التناظر:

لقطة شاشة تعرض التحديدات لمركز التناظر والشبكات الظاهرية المحورية.

إنشاء المسارات

في الخطوات التالية، يمكنك إنشاء هذه المسارات:

  • مسار من الشبكة الفرعية لمركز البوابة إلى الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية
  • مسار افتراضي من الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية

لإنشاء المسارات:

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل جدول التوجيه.
  3. حدد جدول التوجيه، ثم حدد إنشاء.
  4. بالنسبة لمجموعة الموارد، حدد RG-fw-hybrid-test.
  5. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  6. للحصول على الاسم، أدخل UDR-Hub-Spoke.
  7. حدد "استعراض + إنشاء".
  8. حدد إنشاء.
  9. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  10. حدد " Routes " في العمود الأيسر.
  11. حدد إضافة.
  12. بالنسبة إلى اسم المسار، أدخل ToSpoke.
  13. بالنسبة إلى نوع الوجهة، حدد عناوين IP.
  14. بالنسبة إلى عناوين IP الوجهة/نطاقات CIDR، أدخل 10.6.0.0/16.
  15. بالنسبة لنوع القفزة التالية، حدد Virtual appliance.
  16. بالنسبة لعنوان القفزة التالي، أدخل عنوان IP الخاص بجدار الحماية الذي لاحظته سابقا.
  17. حدد إضافة.

الآن، قم بربط المسار بالشبكة الفرعية:

  1. في صفحة UDR-Hub-Spoke - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن Virtual network، حدد VNet-Hub.
  4. ضمن " Subnet"، حدد " GatewaySubnet".
  5. حدد موافق.

إنشاء المسار الافتراضي من الشبكة الفرعية المحورية:

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. في مربع البحث، أدخل جدول التوجيه.
  3. حدد جدول التوجيه، ثم حدد إنشاء.
  4. بالنسبة لمجموعة الموارد، حدد RG-fw-hybrid-test.
  5. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  6. بالنسبة إلى الاسم، أدخل UDR-DG.
  7. في "Propagate gateway route" حدد " No".
  8. حدد "استعراض + إنشاء".
  9. حدد إنشاء.
  10. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  11. حدد " Routes " في العمود الأيسر.
  12. حدد إضافة.
  13. بالنسبة إلى اسم المسار، أدخل ToHub.
  14. بالنسبة إلى نوع الوجهة، حدد عناوين IP.
  15. بالنسبة لعناوين IP الوجهة/نطاقات CIDR، أدخل 0.0.0.0/0.
  16. بالنسبة لنوع القفزة التالية، حدد Virtual appliance.
  17. بالنسبة لعنوان القفزة التالي، أدخل عنوان IP الخاص بجدار الحماية الذي لاحظته سابقا.
  18. حدد إضافة.

إقران المسار بالشبكة الفرعية:

  1. في صفحة UDR-DG - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن Virtual network، حدد VNet-Spoke.
  4. ضمن " Subnet"، حدد " SN-Workload".
  5. حدد موافق.

أنشئ الأجهزة الظاهرية

إنشاء حمل العمل المحوري والأجهزة الظاهرية المحلية، ووضعها في الشبكات الفرعية المناسبة.

إنشاء الجهاز الظاهري لحمل العمل

إنشاء جهاز ظاهري في الشبكة الظاهرية المحورية التي تعمل خدمات معلومات الإنترنت (IIS) وليس لها عنوان IP عام:

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. ضمن منتجات Marketplace الشائعة، حدد Windows Server 2019 Datacenter.
  3. أدخل هذه القيم للجهاز الظاهري:
    • مجموعة الموارد: حدد RG-fw-hybrid-test.
    • اسم الجهاز الظاهري: أدخل VM-Spoke-01.
    • المنطقة: حدد نفس المنطقة التي استخدمتها سابقا.
    • اسم المستخدم: أدخل اسم مستخدم.
    • كلمة المرور: أدخل كلمة مرور.
  4. بالنسبة للمنافذ الواردة العامة، حدد السماح بالمنافذ المحددة، ثم حدد HTTP (80) وRDP (3389).
  5. حدد التالي: الأقراص .
  6. اقبل الإعدادات الافتراضية وحدد " Next: Networking".
  7. بالنسبة للشبكة الظاهرية، حدد VNet-Spoke. الشبكة الفرعية هي SN-Workload.
  8. بالنسبة لـPublic IP، اخترNone.
  9. حدد Next: Management.
  10. قم باختيار Next: Monitoring.
  11. ضمن تشخيصات التمهيد، حدد تعطيل.
  12. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

تثبيت IIS

  1. في مدخل Microsoft Azure، افتح Azure Cloud Shell وتأكد من تعيينه إلى PowerShell.

  2. قم بتشغيل الأمر التالي لتثبيت IIS على الجهاز الظاهري، وتغيير الموقع إذا لزم الأمر:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

إنشاء شبكة ظاهرية محلية

أنشئ جهازا ظاهريا تستخدمه للاتصال عبر الوصول عن بعد إلى عنوان IP العام. من هناك، يمكنك الاتصال بالخادم المحوري من خلال جدار الحماية.

  1. في الصفحة الرئيسية لمدخل Azure، حدد Create a resource.
  2. ضمن Popular، حدد Windows Server 2019 Datacenter.
  3. أدخل هذه القيم للجهاز الظاهري:
    • مجموعة الموارد: حدد Existing، ثم حدد RG-fw-hybrid-test.
    • اسم الجهاز الظاهري: أدخل VM-Onprem.
    • المنطقة: حدد نفس المنطقة التي استخدمتها سابقا.
    • اسم المستخدم: أدخل اسم مستخدم.
    • كلمة المرور: أدخل كلمة مرور المستخدم.
  4. بالنسبة للمنافذ الواردة العامة، حدد السماح بالمنافذ المحددة، ثم حدد RDP (3389).
  5. حدد التالي: الأقراص .
  6. اقبل الإعدادات الافتراضية وحدد " Next: Networking".
  7. بالنسبة للشبكة الظاهرية، حدد VNet-Onprem. الشبكة الفرعية هي SN-Corp.
  8. حدد Next: Management.
  9. قم باختيار Next: Monitoring.
  10. ضمن تشخيصات التمهيد، حدد تعطيل.
  11. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد Azure NAT Gateway إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

اختبار جدار الحماية

  1. لاحظ عنوان IP الخاص للجهاز الظاهري VM-Spoke-01 .

  2. على مدخل Microsoft Azure، اتصل بالجهاز الظاهري VM-Onprem .

  3. افتح مستعرض ويب على VM-Onprem، واستعرض للوصول إلى http://<VM-Spoke-01 private IP>.

    يجب فتح صفحة ويب VM-Spoke-01.

    لقطة شاشة تعرض صفحة الويب للجهاز الظاهري المحوري.

  4. من الجهاز الظاهري VM-Onprem، افتح اتصال وصول عن بعد إلى VM-Spoke-01 في عنوان IP الخاص.

    يجب أن ينجح اتصالك، ويجب أن تكون قادراً على تسجيل الدخول.

الآن بعد أن تحققت من أن قواعد جدار الحماية تعمل، يمكنك:

  • استعرض للوصول إلى خادم الويب على الشبكة الظاهرية المحورية.
  • الاتصال إلى الخادم على الشبكة الظاهرية المحورية باستخدام RDP.

بعد ذلك، قم بتغيير الإجراء لمجموعة قواعد شبكة جدار الحماية إلى Deny، للتحقق من أن قواعد جدار الحماية تعمل كما هو متوقع:

  1. حدد جدار الحماية AzFW01.
  2. حدد Rules (classic).
  3. حدد علامة التبويب Network rule collection، وحدد مجموعة قواعد RCNet01.
  4. بالنسبة إلى الإجراء، حدد Deny.
  5. حدد حفظ.

أغلق أي اتصالات وصول عن بعد موجودة. قم بتشغيل الاختبارات مرة أخرى لاختبار القواعد التي تم تغييرها. يجب أن يفشلوا جميعاً هذه المرة.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لمزيد من الاختبار. إذا لم تعد بحاجة إليها، فاحذف مجموعة موارد RG-fw-hybrid-test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

مراقبة سجلات Azure Firewall