البرنامج التعليمي: نشر Azure Firewall وتكوينه والنهج في شبكة مختلطة باستخدام مدخل Azure

عند توصيل شبكة الاتصال المحلية بشبكة Azure الظاهرية لإنشاء شبكة مختلطة، القدرة على التحكم في الوصول إلى موارد شبكة Azure هي جزء مهم من خطة الأمان الشاملة.

يمكنك استخدام Azure Firewall وFirewall Policy للتحكم في الوصول إلى الشبكة في الشبكة المختلطة باستخدام القواعد التي تُحدد نسبة استخدام الشبكة المسموح بها والمفروضة.

لهذا البرنامج التعليمي، يمكنك إنشاء ثلاث شبكات ظاهرية:

  • VNet-Hub - جدار الحماية موجود في هذه الشبكة الظاهرية.
  • VNet-Spoke - تُمثل الشبكة الظاهرية المحورية حمل العمل الموجود على Azure.
  • VNet-Onprem - تمثل الشبكة الظاهرية المحلية شبكة محلية. في التوزيع الفعلي، يمكن توصيلها بواسطة اتصال VPN أو ExpressRoute. للتبسيط، يَستخدم هذا البرنامج التعليمي اتصال بوابة VPN، ويستخدم شبكة اتصال ظاهرية موجودة في Azure لتمثيل شبكة محلية.

Firewall in a hybrid network

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكة ظاهرية بمركز جدار الحماية
  • إنشاء شبكة ظاهرية محورية
  • إنشاء شبكة ظاهرية محلية
  • تكوين ونشر جدار الحماية والنهج
  • إنشاء بوابات VPN وتوصيلها
  • نظير المركز والشبكات الظاهرية المحورية
  • إنشاء المسارات
  • إنشاء الأجهزة الظاهرية
  • اختبار جدار الحماية

إذا كنت تريد استخدام Azure PowerShell بدلاً من ذلك لإكمال هذا الإجراء، فراجع نشر وتكوين Azure Firewall في شبكة مختلطة باستخدام Azure PowerShell.

المتطلبات الأساسية

تستخدم الشبكة المختلطة نموذج تصميم المركز المحوري لمسار نسبة استخدام الشبكة بين Azure VNets والشبكات المحلية. يحتوي تصميم المركز المحوري على المتطلبات التالية:

  • تعيين استخدام بوابة الشبكة الظاهرية أو Route Server عند تناظر VNet-Hub إلى VNet-Spoke. في تصميم شبكة المركز المحوري، يسمح عبور البوابة للشبكات الظاهرية المحورية بمشاركة بوابة VPN في المركز، بدلاً من نشر بوابات VPN في كل شبكة ظاهرية محورية.

    بالإضافة إلى ذلك، ستُنشر المسارات إلى الشبكات الظاهرية المتصلة بالبوابة أو الشبكات المحلية تلقائياً إلى جداول التوجيه للشبكات الظاهرية النظيرة باستخدام بوابة النقل. لمزيد من المعلومات، راجع تكوين بوابة نقل VPN لنظير الشبكة الظاهرية.

  • تعيين استخدام بوابات الشبكة الظاهرية عن بُعد أو Route Server عند تناظر VNet-Spoke إلى VNet-Hub. إذا عُينَ استخدام بوابات الشبكة الظاهرية عن بُعد أو Route Server وعُينَ استخدام بوابة الشبكة الظاهرية أو Route Server على التناظر البعيد، فإن الشبكة الظاهرية المحورية تستخدم بوابات الشبكة الظاهرية عن بُعد للنقل.

  • لتوجيه نقل الشبكة الفرعية المحورية عبر مركز جدار حماية، يمكنك استخدام توجيه مُعرف من قِبل المستخدم (UDR) يُشير إلى جدار الحماية مع تعطيل خيار نشر مسار بوابة الشبكة الظاهرية. يمنع خيار تعطيل نشر مسار بوابة الشبكة الظاهرية توزيع المسار إلى الشبكات الفرعية المحورية. وهذا يمنع المسارات المُعرفة من التعارض مع UDR. إذا كنت ترغب في الاحتفاظ بخدمة نشر مسار بوابة الشبكة الظاهرية ممكنة، فتأكد من تعريف مسارات معينة إلى جدار الحماية لتجاوز تلك التي تُنشر من أماكن العمل عبر BGP.

  • تكوين UDR في بوابة مركز الشبكة الفرعية التي تُشير إلى عنوان IP جدار الحماية باعتبارها القفزة التالية إلى الشبكات المحورية. لا يلزم وجود UDR على الشبكة الفرعية لـ Azure Firewall، حيث إنها تتعرف على المسارات من BGP.

راجع المقطع إنشاء المسارات في هذا البرنامج التعليمي لمعرفة كيفية إنشاء هذه المسارات.

إشعار

يجب أن يكون لدى Azure Firewall اتصال إنترنت مباشر. إذا تعلم AzureFirewallSubnet مساراً افتراضياً لشبكة الاتصال المحلية عبر BGP، فيجب تجاوز هذا باستخدام 0.0.0.0/0 UDR مع تعيين قيمة NextHopTypeInternet للحفاظ على اتصال إنترنت مباشر.

يمكن تكوين Azure Firewall لدعم التوجيه المفروض. لمزيد من المعلومات، راجع توجيه Azure Firewall المفروض.

إشعار

يتم توجيه النقل بين VNets المتناظرة مباشرة حتى إذا كان UDR يُشير إلى Azure Firewall كبوابة افتراضية. لإرسال شبكة فرعية إلى نقل الشبكة الفرعية إلى جدار الحماية في هذا السيناريو، يجب أن يحتوي UDR على بادئة الشبكة الفرعية المستهدفة بشكل صريح على كلتا الشبكتين الفرعيتين.

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء شبكة ظاهرية بمركز جدار الحماية

أولاً، أنشئ مجموعة الموارد لتحتوي على جميع الموارد لهذا البرنامج التعليمي:

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Resource groups>Create.
  3. بالنسبة لـ "Subscription"، حدد اشتراكك.
  4. بالنسبة لـ Resource group name، اكتب "FW-Hybrid-Test".
  5. بالنسبة للمنطقة "Region"، حدد "(US) East US". يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها لاحقاً في نفس الموقع.
  6. حدد "استعراض + إنشاء".
  7. حدد إنشاء.

الآن، إنشاء VNet:

إشعار

حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن "Networking"، حدد "Virtual network".
  3. حدد إنشاء.
  4. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  5. بالنسبة للاسم "Name"، اكتب "VNet-hub".
  6. حدد "Next: IP addresses".
  7. بالنسبة لـ IPv4 Address space، احذف العنوان الافتراضي واكتب 10.5.0.0/16.
  8. ضمن "Subnet name"، حدد "Add subnet".
  9. بالنسبة لـ "Subnet name" اكتب "AzureFirewallSubnet". جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.
  10. بالنسبة لـ "Subnet address range"، اكتب "10.5.0.0/26".
  11. حدد إضافة.
  12. حدد "Review + create".
  13. حدد إنشاء.

إنشاء شبكة ظاهرية محورية

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في "Networking"، حدد "Virtual network".
  3. حدد إنشاء.
  4. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  5. بالنسبة للاسم "Name"، اكتب "VNet-Spoke".
  6. بالنسبة للمنطقة "Region"، حدد "(US) East US".
  7. حدد "Next: IP addresses".
  8. بالنسبة لـ "IPv4 address space"، احذف العنوان الافتراضي واكتب "10.6.0.0/16".
  9. ضمن "Subnet name"، حدد "Add subnet".
  10. بالنسبة لـ "Subnet name "، اكتب "SN-Workload".
  11. بالنسبة لـ "Subnet address range"، اكتب "10.6.0.0/24".
  12. حدد إضافة.
  13. حدد "Review + create".
  14. حدد إنشاء.

إنشاء شبكة ظاهرية محلية

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في "Networking"، حدد "Virtual network".
  3. بالنسبة لـ "Resource group"، حدد "FW-Hybrid-Test".
  4. بالنسبة للاسم "Name"، اكتب "VNet-OnPrem".
  5. بالنسبة للمنطقة "Region"، حدد "(US) East US".
  6. حدد "Next : IP Addresses"
  7. بالنسبة لـ "IPv4 address space"، احذف العنوان الافتراضي واكتب "192.168.0.0/16".
  8. ضمن "Subnet name"، حدد "Add subnet".
  9. بالنسبة لـ "Subnet name "، اكتب "SN-Corp".
  10. بالنسبة إلى نطاق عنوان الشبكة الفرعية، اكتب 192.168.1.0/24.
  11. حدد إضافة.
  12. حدد "Review + create".
  13. حدد إنشاء.

الآن أنشئ شبكة فرعية ثانية للبوابة.

  1. في صفحة "VNet-Onprem"، حدد "Subnets".
  2. حدد "+Subnet".
  3. "Name"، اكتب "GatewaySubnet".
  4. بالنسبة لـ "Subnet address range"، اكتب "192.168.2.0/24".
  5. حدد حفظ.

تكوين جدار الحماية ونشره

الآن انشر جدار الحماية في الشبكة الظاهرية المركزية لجدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

  2. في العمود الأيسر، حدد Networking، ثم ابحث عن Firewall ثم حدد Create.

  3. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

    الإعداد القيمة‬
    الاشتراك <اشتراكك>
    مجموعة الموارد FW-Hybrid-Test
    الاسم AzFW01
    المنطقة شرق الولايات المتحدة
    Firewall tier قياسي
    Firewall management Use a Firewall Policy to manage this firewall
    نهج جدار الحماية إضافة جديد:
    hybrid-test-pol
    شرق الولايات المتحدة
    اختر شبكة ظاهرية استخدم الموجود:
    VNet-hub
    عنوان IP العام إضافة جديد:
    fw-pip
  4. حدد "Review + create".

  5. راجع الملخص، ثم حدد إنشاء لإنشاء جدار الحماية.

    يستغرق هذا الأمر بضع دقائق للنشر.

  6. بعد اكتمال التوزيع، انتقل إلى مجموعة موارد " FW-Hybrid-Test "، وحدد جدار الحماية " AzFW01 ".

  7. لاحظ عنوان IP الخاص. ستستخدمه لاحقاً عند إنشاء المسار الافتراضي.

تكوين قواعد الشبكة

أولا، أضف قاعدة شبكة للسماح بنقل الويب.

  1. من مجموعة الموارد "FW-Hybrid-Test" حدد نهج جدار الحماية "hybrid-test-pol".
  2. حدد "Network rules".
  3. حدد "Add a rule collection".
  4. بالنسبة للاسم " Name"، اكتب " RCNet01".
  5. بالنسبة لـ"Priority"، اكتب "100".
  6. بالنسبة لـ Rule collection action، اختر Allow.
  7. ضمن " Rules"، بالنسبة للاسم " Name"، اكتب " AllowWeb".
  8. بالنسبة لـ " Source type"، حدد " IP address".
  9. بالنسبة لـ"Source"، اكتب "192.168.1.0/24".
  10. بالنسبة لـ Protocol، اختر TCP.
  11. بالنسبة لـ " Destination Ports"، اكتب " 80".
  12. بالنسبة لـ " Destination type"، حدد " IP address".
  13. بالنسبة لـ " Destination"، اكتب " 10.6.0.0/16".

الآن أضف قاعدة للسماح بنقل RDP.

في صف القاعدة الثاني، اكتب المعلومات التالية:

  1. "Name"، اكتب " AllowRDP".
  2. بالنسبة لـ " Source type"، حدد " IP address".
  3. بالنسبة لـ"Source"، اكتب "192.168.1.0/24".
  4. بالنسبة لـ Protocol، اختر TCP.
  5. بالنسبة لـ " Destination Ports"، اكتب " 3389".
  6. بالنسبة لـ " Destination type"، حدد " IP address".
  7. بالنسبة لـ "Destination"، اكتب " 10.6.0.0/16
  8. حدد إضافة.

إنشاء بوابات VPN وتوصيلها

تُوصل الشبكات الظاهرية المحلية والمركز عبر بوابات VPN.

إنشاء بوابة VPN لمركز الشبكة الظاهرية

الآن أنشئ بوابة VPN لمركز الشبكة الظاهرية. تتطلب تكوينات شبكة إلى شبكة RouteBased VpnType. قد يستغرق إنشاء بوابة VPN في كثير من الأحيان 45 دقيقة أو أكثر، اعتماداً على SKU لبوابة VPN المُحددة.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب " virtual network gateway".
  3. حدد "Virtual network gateway"، وحدد " Create".
  4. بالنسبة للاسم "Name"، اكتب "GW-hub".
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة لـ" Virtual network"، حدد " VNet-hub".
  10. بالنسبة لـ" Public IP address"، حدد " Create new"، واكتب " VNet-hub-GW-pip " للاسم.
  11. اقبل الإعدادات الافتراضية المتبقية ثم حدد " Review + create".
  12. راجع التكوين، ثم حدد " Create".

إنشاء بوابة VPN للشبكة الظاهرية المحلية

الآن أنشئ بوابة VPN للشبكة الظاهرية المحلية. تتطلب تكوينات شبكة إلى شبكة RouteBased VpnType. قد يستغرق إنشاء بوابة VPN في كثير من الأحيان 45 دقيقة أو أكثر، اعتماداً على SKU لبوابة VPN المُحددة.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب " virtual network gateway " واضغط " Enter".
  3. حدد "Virtual network gateway"، وحدد " Create".
  4. بالنسبة للاسم " Name"، اكتب " GW-Onprem".
  5. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.
  6. بالنسبة لـ " Gateway type"، حدد " VPN".
  7. بالنسبة لـ" VPN type"، حدد " Route-based".
  8. بالنسبة لـ" SKU"، حدد " Basic".
  9. بالنسبة لـ" Virtual network"، حدد " VNet-Onprem".
  10. بالنسبة لـ" Public IP address"، حدد " Create new"، واكتب " VNet-Onprem-GW-pip " للاسم.
  11. اقبل الإعدادات الافتراضية المتبقية ثم حدد " Review + create".
  12. راجع التكوين، ثم حدد " Create".

إنشاء اتصالات VPN

الآن يمكنك إنشاء اتصالات VPN بين المركز والبوابات المحلية.

في هذه الخطوة، يمكنك إنشاء الاتصال من مركز الشبكة الظاهرية إلى الشبكة الظاهرية المحلية. سترى مفتاحاً مشتركاً مُشاراً إليه في الأمثلة. يمكنك استخدام قيمك للمفتاح المشترك. الشيء المهم هو أن المفتاح المشترك يجب أن يتطابق مع كلا الاتصالين. قد يستغرق إنشاء اتصال فترة قصيرة لإكماله.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد بوابة " GW-hub ".
  2. حدد " Connections " في العمود الأيسر.
  3. حدد إضافة.
  4. اسم الاتصال، اكتب " Hub-to-Onprem".
  5. حدد "VNet-to-VNet" لـ"Connection type".
  6. بالنسبة لـ" Second virtual network gateway"، حدد " GW-Onprem".
  7. بالنسبة لـ" Shared key (PSK)"، اكتب " AzureA1b2C3".
  8. حدد موافق.

إنشاء محلية لاتصال مركز الشبكة الظاهرية. تشبه هذه الخطوة سابقتها، باستثناء إنشاء الاتصال من VNet-Onprem إلى VNet-hub. تأكد من تطابق المفاتيح المشتركة. سيتم تأسيس الاتصال بعد بضع دقائق.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد بوابة " GW-Onprem ".
  2. حدد " Connections " في العمود الأيسر.
  3. حدد إضافة.
  4. اسم الاتصال، اكتب " Onprem-to-Hub".
  5. حدد "VNet-to-VNet" لـ"Connection type".
  6. بالنسبة لـ" Second virtual network gateway"، حدد " GW-hub".
  7. بالنسبة لـ" Shared key (PSK)"، اكتب " AzureA1b2C3".
  8. حدد موافق.

تحقق من الاتصال

بعد حوالي خمس دقائق أو نحو ذلك، يجب أن تكون حالة الاتصالين " Connected".

Gateway connections

نظير المركز والشبكات الظاهرية المحورية

الآن نظير المركز والشبكات الظاهرية المحورية.

  1. افتح مجموعة موارد " FW-Hybrid-Test " وحدد الشبكة الظاهرية " VNet-hub ".

  2. في العمود الأيسر، حدد " Peerings".

  3. حدد إضافة.

  4. ضمن This virtual network:

    اسم الإعداد القيمة‬
    اسم رابط النظير HubtoSpoke
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة السماح (افتراضي)
    نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة السماح (افتراضي)
    بوابة الشبكة الظاهرية استخدم بوابة الشبكة الظاهرية هذه
  5. ضمن " Remote virtual network":

    اسم الإعداد القيمة‬
    اسم رابط النظير SpoketoHub
    نموذج توزيع الشبكة الظاهرية مدير الموارد
    الاشتراك <اشتراكك>
    الشبكة الظاهرية VNet-Spoke
    نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة السماح (افتراضي)
    نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة السماح (افتراضي)
    بوابة الشبكة الظاهرية استخدم بوابة الشبكة الظاهرية عن بُعد هذه
  6. حدد إضافة.

    Vnet peering

إنشاء المسارات

بعد ذلك، أنشئ مسارين:

  • مسار من الشبكة الفرعية لمركز البوابة إلى الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية
  • مسار افتراضي من الشبكة الفرعية المحورية عبر عنوان IP الخاص بجدار الحماية
  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب route table واضغط على " Enter".
  3. حدد " Route table".
  4. حدد إنشاء.
  5. حدد "FW-Hybrid-Test" لمجموعة الموارد.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. الاسم اكتب " UDR-Hub-Spoke".
  8. حدد "استعراض + إنشاء".
  9. حدد إنشاء.
  10. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  11. حدد " Routes " في العمود الأيسر.
  12. حدد إضافة.
  13. الاسم، اكتب " ToSpoke".
  14. بالنسبة إلى وجهة بادئة العنوان، حدد عناوين IP.
  15. بالنسبة إلى عناوين IP الوجهة/نطاقات CIDR، اكتب 10.6.0.0/16.
  16. نوع Next hop حدد "Virtual appliance".
  17. لعنوان القفز التالي، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.
  18. حدد إضافة.

الآن اقرن المسار إلى الشبكة الفرعية.

  1. في صفحة UDR-Hub-Spoke - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن " Virtual network"، حدد " VNet-hub".
  4. ضمن " Subnet"، حدد " GatewaySubnet".
  5. حدد موافق.

الآن أنشئ المسار الافتراضي من الشبكة الفرعية المحورية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. في مربع نص البحث، اكتب route table واضغط على " Enter".
  3. حدد " Route table".
  4. حدد إنشاء.
  5. حدد "FW-Hybrid-Test" لمجموعة الموارد.
  6. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
  7. الاسم، اكتب "UDR-Hub-Spoke".
  8. في "Propagate gateway route" حدد " No".
  9. حدد "استعراض + إنشاء".
  10. حدد إنشاء.
  11. بعد إنشاء جدول المسار، حدده لفتح صفحة جدول المسار.
  12. حدد " Routes " في العمود الأيسر.
  13. حدد إضافة.
  14. بالنسبة لاسم المسار، اكتب " ToHub".
  15. بالنسبة إلى وجهة بادئة العنوان، حدد عناوين IP.
  16. بالنسبة إلى عناوين IP الوجهة/نطاقات CIDR، اكتب 0.0.0.0/0.
  17. نوع Next hop حدد "Virtual appliance".
  18. لعنوان القفز التالي، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.
  19. حدد إضافة.

الآن اقرن المسار إلى الشبكة الفرعية.

  1. في صفحة UDR-DG - المسارات، حدد " Subnets".
  2. حدد + Associate.
  3. ضمن " Virtual network"، حدد " VNet-spoke".
  4. ضمن " Subnet"، حدد " SN-Workload".
  5. حدد موافق.

أنشئ الأجهزة الظاهرية

الآن أنشئ حمل العمل المحوري والأجهزة الظاهرية المحلية، ووضعها في الشبكات الفرعية المناسبة.

إنشاء الجهاز الظاهري لحمل العمل

إنشاء جهاز ظاهري في شبكة الاتصال الظاهرية المحورية، تشغيل IIS دون عنوان IP عام.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن منتجات Marketplace الشائعة، حدد Windows Server 2019 Datacenter.
  3. أدخل هذه القيم للجهاز الظاهري:
    • "Resource group" - حدد "FW-Hybrid-Test"
    • اسم الجهاز الظاهري: "VM-Spoke-01"
    • المنطقة - نفس المنطقة التي استخدمتها سابقًا
    • اسم المستخدم: <اكتب اسم المستخدم>
    • كلمة المرور: <اكتب كلمة مرور>
  4. بالنسبة لـ Public inbound ports، حدد Allow selected ports، ثم حدد HTTP (80) وRDP (3389).
  5. حدد "Next:Disks".
  6. اقبل الإعدادات الافتراضية وحدد " Next: Networking".
  7. حدد "VNet-Spoke" للشبكة الظاهرية والشبكة الفرعية "SN-Workload".
  8. بالنسبة لـPublic IP، اخترNone.
  9. حدد " Next:Management".
  10. "Boot diagnostics"، حدد "Disable".
  11. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

تثبيت IIS

بعد إنشاء الجهاز الظاهري، قم بتثبيت IIS.

  1. من مدخل Microsoft Azure، افتح Cloud Shell وتأكد من تعيينه إلى PowerShell.

  2. تشغيل الأمر التالي لتثبيت IIS على الجهاز الظاهري وتغيير الموقع إذا لزم الأمر:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

إنشاء شبكة ظاهرية محلية

هذا هو الجهاز الظاهري الذي تستخدمه للاتصال باستخدام سطح المكتب البعيد بعنوان IP العام. ومن هناك، يمكنك الاتصال بالخادم المحلي عبر جدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.
  2. ضمن منتجات Marketplace الشائعة، حدد Windows Server 2019 Datacenter.
  3. أدخل هذه القيم للجهاز الظاهري:
    • مجموعة الموارد - حدد "existing"، ثم حدد " FW-Hybrid-Test".
    • اسم الجهاز الظاهري: " - VM-Onprem".
    • المنطقة - نفس المنطقة التي استخدمتها سابقاً.
    • اسم المستخدم: <اكتب اسم المستخدم>.
    • كلمة المرور: <اكتب كلمة مرور المستخدم>.
  4. بالنسبة لـ"Public inbound ports"، حدد "Allow selected ports"، ثم حدد " RDP (3389)"
  5. حدد "Next:Disks".
  6. اقبل الإعدادات الافتراضية وحدد " Next:Networking".
  7. حدد " VNet-Onprem " للشبكة الظاهرية والشبكة الفرعية " SN-Corp".
  8. حدد " Next:Management".
  9. "Boot diagnostics"، حدد "Disable".
  10. حدد " Review+Create"، راجع الإعدادات في صفحة الملخص، ثم حدد " Create".

إشعار

يوفر Azure عنوان IP افتراضيا للوصول الصادر للأجهزة الظاهرية التي لم يتم تعيين عنوان IP عام لها أو الموجودة في تجمع الواجهة الخلفية لموازن تحميل Azure الأساسي الداخلي. توفر آلية IP للوصول الصادر الافتراضي عنوان IP صادر غير قابل للتكوين.

يتم تعطيل عنوان IP الافتراضي للوصول الصادر عند حدوث أحد الأحداث التالية:

  • يتم تعيين عنوان IP عام إلى الجهاز الظاهري.
  • يتم وضع الجهاز الظاهري في تجمع الواجهة الخلفية لموازن التحميل القياسي، مع قواعد صادرة أو بدونها.
  • يتم تعيين مورد بوابة Azure Virtual Network NAT إلى الشبكة الفرعية للجهاز الظاهري.

لا تتمتع الأجهزة الظاهرية التي تقوم بإنشائها باستخدام مجموعات مقياس الجهاز الظاهري في وضع التنسيق المرن بالوصول الصادر الافتراضي.

لمزيد من المعلومات حول الاتصالات الصادرة في Azure، راجع الوصول الصادر الافتراضي في Azure واستخدام ترجمة عنوان الشبكة المصدر (SNAT) للاتصالات الصادرة.

اختبار جدار الحماية

  1. أولاً، لاحظ عنوان IP الخاص للجهاز الظاهري VM-spoke-01.

  2. من مدخل Azure، اتصل بالجهاز الظاهري VM-Onprem.

  3. افتح مستعرض ويب على VM-Onprem، وتصفح إلى http://<VM-spoke-01 private IP>.

    يجب أن تشاهد صفحة ويب VM-spoke-01 : VM-Spoke-01 web page

  4. من الجهاز الظاهري VM-Onprem افتح سطح مكتب بعيداً إلى VM-spoke-01 في عنوان IP الخاص.

    يجب أن ينجح اتصالك، ويجب أن تكون قادراً على تسجيل الدخول.

إذن الآن، تحققت من أن قواعد جدار الحماية تعمل:

  • يمكنك استعراض خادم الويب على الشبكة الظاهرية المحورية.
  • يمكنك الاتصال بالخادم على شبكة الاتصال الظاهرية المحورية باستخدام RDP.

بعد ذلك، غيّر إجراء مجموعة قاعدة شبكة جدار الحماية إلى " Deny " للتحقق من أن قواعد جدار الحماية تعمل كما هو متوقع.

  1. حدد نهج جدار الحماية "hybrid-test-pol".
  2. حدد "Rule Collections".
  3. حدد مجموعة قواعد "RCNet01".
  4. بالنسبة لـ"Rule collection action"، حدد "Deny".
  5. حدد حفظ.

أغلق أي أجهزة كمبيوتر سطح مكتب بعيدة موجودة قبل اختبار القواعد التي غُيرت. الآن شغّل الاختبارات مرة أخرى. يجب أن يفشلوا جميعاً هذه المرة.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية الخاصة بك من أجل البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة، فاحذف مجموعة الموارد FW-Hybrid-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية