البرنامج التعليمي: نشر Azure Firewall IP DNAT الخاص للشبكات المتداخلة وغير القابلة للتوجيه

يتيح لك Azure Firewall IP الخاص DNAT (ترجمة عنوان الشبكة الوجهة) ترجمة نسبة استخدام الشبكة الواردة وتصفيتها باستخدام عنوان IP الخاص بجدار الحماية بدلا من عنوان IP العام الخاص به. هذه الإمكانية مفيدة للسيناريوهات التي تتضمن شبكات متداخلة أو وصول غير قابل للتوجيه إلى الشبكة حيث لا يكون DNAT IP العام التقليدي مناسبا.

يعالج IP DNAT الخاص سيناريوهين رئيسيين:

• الشبكات المتداخلة: عندما تشترك شبكات متعددة في نفس مساحة عنوان IP
• الشبكات غير القابلة للتوجيه: عندما تحتاج إلى الوصول إلى الموارد من خلال شبكات غير قابلة للتوجيه مباشرة

في هذا البرنامج التعليمي، تتعلم كيفية:

• فهم حالات استخدام الرقم النووي الخاص بعنوان IP
• نشر Azure Firewall باستخدام إمكانية IP DNAT الخاصة
• تكوين قواعد DNAT لسيناريوهات الشبكة المتداخلة
• تكوين قواعد DNAT للوصول إلى الشبكة غير القابل للتوجيه
• اختبار وظيفة DNAT الخاص بعنوان IP
• التحقق من صحة تدفق حركة المرور ومعالجة القواعد

المتطلبات الأساسية

• اشتراك Azure. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.
• Azure Firewall Standard أو Premium (IP الخاص DNAT غير مدعوم في SKU الأساسي)
• الإلمام بمفاهيم شبكات Azure
• فهم منطق معالجة قاعدة Azure Firewall

مهم

يتوفر DNAT IP الخاص فقط في Azure Firewall Standard وPremium SKUs. لا يدعم رمز SKU الأساسي هذه الميزة.

نظرة عامة على السيناريو

يوضح هذا البرنامج التعليمي سيناريوهين شائعين لنظام أسماء الحمض النووي الخاص بعنوان IP:

السيناريو 1: الشبكات المتداخلة

لديك شبكات ظاهرية متعددة تستخدم نفس مساحة عنوان IP (على سبيل المثال، 10.0.0.0/16) وتحتاج إلى الوصول إلى الموارد عبر هذه الشبكات دون تعارضات IP.

السيناريو 2: الوصول إلى الشبكة غير القابلة للتوجيه

تحتاج إلى توفير الوصول إلى الموارد في الشبكات غير القابلة للتوجيه مباشرة من المصدر، مثل الوصول إلى الموارد المحلية من خلال Azure Firewall.

توزيع البيئة

استخدم قالب ARM المتوفر لإنشاء بيئة الاختبار مع جميع المكونات الضرورية.

تنزيل قالب النشر

1. قم بتنزيل قالب ARM من مستودع GitHub لأمان شبكة Azure.

2. احفظ الملف PrivateIpDnatArmTemplateV2.json على جهازك المحلي.

التوزيع باستخدام مدخل Microsoft Azure

1. قم بتسجيل الدخول إلى بوابة Azure.

2. حدد إنشاء توزيع قالب مورد>(التوزيع باستخدام قوالب مخصصة).

3. حدد Build your own template in the editor.

4. احذف المحتوى الموجود والصق محتوى قالب ARM الذي تم تنزيله.

5. حدد حفظ.

6. وفر المعلومات التالية:

   • الاشتراك: حدد اشتراك Azure الخاص بك
   • مجموعة الموارد: إنشاء مجموعة موارد جديدة أو تحديد مجموعة موجودة
   • المنطقة: حدد منطقة Azure المفضلة لديك
   • الموقع: يتم ملء هذه المعلمة تلقائيا استنادا إلى المنطقة المحددة

7. راجع معلمات القالب وقم بتعديلها حسب الحاجة.

8. حدد مراجعة + إنشاء، ثم إنشاء لنشر القالب.

يقوم التوزيع بإنشاء الموارد التالية:

• الشبكات الظاهرية للسيناريوهات المتداخلة وغير القابلة للتوجيه
• Azure Firewall مع تكوين IP DNAT الخاص
• الأجهزة الظاهرية لاختبار الاتصال
• مجموعات أمان الشبكة وجداول التوجيه
• جميع مكونات الشبكات الضرورية

إشعار

يتضمن قالب ARM قواعد DNAT المكونة مسبقا لاختبار كلا السيناريوهات. يمكنك فحص هذه القواعد بعد النشر أو تعديلها حسب الحاجة لمتطلباتك الخاصة.

التحقق من قواعد ال DNAT الخاصة بعنوان IP

بعد اكتمال النشر، تحقق من إنشاء قواعد DNAT بشكل صحيح لكلا السيناريوهين.

التحقق من قواعد الشبكات المتداخلة

1. في مدخل Microsoft Azure، انتقل إلى مورد Azure Firewall (azfw-hub-vnet-1).

2. ضمن الإعدادات، حدد نهج جدار الحماية.

3. حدد نهج جدار الحماية (fp-azfw-hub-vnet-1).

4. ضمن الإعدادات، حدد مجموعات مجموعة القواعد.

5. حدد DefaultDnatRuleCollectionGroup لعرض القواعد التي تم تكوينها مسبقا.

يجب أن ترى قواعد DNAT التالية:

• ToVM2-Http: يترجم 10.10.0.4:80 → 10.10.2.4:80 (جدار حماية الوصول إلى hub-vnet-2 من spoke-vnet-1)
• ToVM2-RDP: يترجم 10.10.0.4:53388 → 10.10.2.4:3389 (الوصول إلى RDP)
• ToVM3-Http: يترجم 10.10.0.4:8080 → 172.16.0.4:80 (الوصول إلى فرع-vnet-1 من spoke-vnet-1)
• ToVM3-RDP: يترجم 10.10.0.4:53389 → 172.16.0.4:3389 (وصول RDP)

التحقق من قواعد الشبكات غير القابلة للتوجيه

1. انتقل إلى مورد Azure Firewall الثاني (azfw-hub-vnet-2).

2. ضمن الإعدادات، حدد نهج جدار الحماية.

3. حدد نهج جدار الحماية (fp-azfw-hub-vnet-2).

4. ضمن الإعدادات، حدد مجموعات مجموعة القواعد.

5. حدد DefaultDnatRuleCollectionGroup لعرض قواعد السيناريو الثاني.

يجب أن ترى قواعد DNAT التالية:

• ToVM2-Http: يترجم 10.10.2.4:80 → 192.168.0.4:80 (الوصول إلى speak-vnet-2 من الشبكة الفرعية لجدار الحماية hub-vnet-1)
• ToVM2-Rdp: يترجم 10.10.2.4:3389 → 192.168.0.4:3389 (وصول RDP إلى speak-vnet-2)

توضح هذه القواعد سيناريو الشبكة المتداخلة حيث تستخدم كلتا الشبكتين المحوريتين نفس مساحة IP (192.168.0.0/24).

إعداد الأجهزة الظاهرية

أكمل تكوين الجهاز الظاهري عن طريق تشغيل البرامج النصية PowerShell المتوفرة.

تكوين الجهاز الظاهري في السيناريو 1 (شبكة متداخلة)

1. اتصل بالجهاز win-vm-2 الظاهري باستخدام Azure Bastion أو RDP.

2. افتح PowerShell كمسؤول.

3. قم بتنزيل البرنامج النصي للتكوين وتشغيله:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

تكوين الجهاز الظاهري في السيناريو 2 (شبكة غير قابلة للتوجيه)

1. اتصل بالجهاز win-vm-3 الظاهري باستخدام Azure Bastion أو RDP.

2. افتح PowerShell كمسؤول.

3. قم بتنزيل البرنامج النصي للتكوين وتشغيله:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

اختبار وظيفة DNAT الخاص بعنوان IP

تحقق من أن تكوين IP DNAT الخاص يعمل بشكل صحيح لكلا السيناريوهين.

اختبار سيناريو الشبكة المتداخلة

1. من جهاز عميل في الشبكة المصدر، حاول الاتصال بعنوان IP الخاص بجدار حماية Azure باستخدام المنفذ الذي تم تكوينه.

2. تحقق من ترجمة الاتصال بنجاح إلى الجهاز الظاهري المستهدف في الشبكة المتداخلة.

3. تحقق من سجلات Azure Firewall لتأكيد نتائج القاعدة والترجمة الناجحة.

اختبار سيناريو الشبكة غير القابل للتوجيه

1. من الشبكة المصدر المناسبة، اتصل بعنوان IP الخاص بجدار حماية Azure.

2. تحقق من الوصول إلى الموارد في الشبكة غير القابلة للتوجيه من خلال جدار الحماية.

3. لضمان معالجة القواعد وتدفق حركة المرور بشكل صحيح، راقب سجلات جدار الحماية.

المراقبة واستكشاف الأخطاء وإصلاحها

لمراقبة أداء DNAT الخاص بعنوان IP، استخدم سجلات ومقاييس تشخيص Azure Firewall.

تمكين التسجيل التشخيصي

1. في مدخل Microsoft Azure، انتقل إلى مورد Azure Firewall.

2. حدد إعدادات >+ إضافة إعداد تشخيص.

3. تكوين التسجيل ل:

   • سجل قواعد تطبيق Azure Firewall
   • سجل قواعد شبكة جدار حماية Azure
   • سجل قواعد NAT لجدار حماية Azure

4. اختر وجهتك المفضلة (مساحة عمل Log Analytics أو حساب التخزين أو مراكز الأحداث).

المقاييس الرئيسية التي يجب مراقبتها

لضمان الأداء الأمثل، راقب هذه المقاييس:

• البيانات التي تمت معالجتها: إجمالي كمية البيانات التي تمت معالجتها بواسطة جدار الحماية
• عدد نتائج قاعدة الشبكة: عدد قواعد الشبكة المتطابقة
• عدد مرات قاعدة NAT: عدد قواعد DNAT المتطابقة
• معدل النقل: أداء إنتاجية جدار الحماية

أفضل الممارسات

اتبع أفضل الممارسات التالية عند تنفيذ DNAT IP الخاص:

• ترتيب القواعد: لضمان ترتيب المعالجة الصحيح، ضع قواعد أكثر تحديدا بأرقام ذات أولوية أقل
• مواصفات المصدر: استخدم نطاقات IP محددة المصدر بدلا من أحرف البدل لتحسين الأمان
• تجزئة الشبكة: لعزل الشبكات المتداخلة، قم بتنفيذ تجزئة الشبكة بشكل صحيح
• المراقبة: لتحديد مشكلات الأداء، راقب بانتظام سجلات ومقاييس جدار الحماية
• الاختبار: لضمان الموثوقية في الإنتاج ، اختبر بدقة جميع قواعد DNAT قبل التنفيذ

تنظيف الموارد

عندما لا تكون بحاجة إلى بيئة الاختبار، احذف مجموعة الموارد لإزالة جميع الموارد التي تم إنشاؤها في هذا البرنامج التعليمي.

1. في مدخل Microsoft Azure، انتقل إلى مجموعة الموارد الخاصة بك.

2. حدد Delete resource group.

3. اكتب اسم مجموعة الموارد لتأكيد الحذف.

4. حدد حذف لإزالة جميع الموارد.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية نشر وتكوين عنوان IP الخاص لجدار حماية Azure لسيناريوهات الشبكة المتداخلة وغير القابلة للتوجيه. قمت بنشر بيئة الاختبار وقواعد DNAT التي تم تكوينها والوظائف التي تم التحقق من صحتها.

لمعرفة المزيد حول إمكانات Azure Firewall DNAT:

• قاعدة DNAT لتصفية نسبة استخدام الشبكة الواردة
• منطق معالجة قاعدة جدار حماية Azure
• مراقبة سجلات ومقاييس Azure Firewall
• سيناريوهات DNAT الخاصة بعنوان IP باستخدام Azure Firewall (مدونة المجتمع التقني)