مشاركة عبر

سيناريوهات جدار حماية Azure لفحص نسبة استخدام الشبكة الموجهة إلى نقطة نهاية خاصة

  • مقالة

إشعار

إذا كنت تريد تأمين حركة المرور إلى نقاط النهاية الخاصة في Azure Virtual WAN باستخدام مركز ظاهري آمن، فراجع حركة المرور الآمنة الموجهة إلى نقاط النهاية الخاصة في Azure Virtual WAN .

Azure Private Endpoint هي لبنة الإنشاء الأساسية لـ Azure Private Link. تعمل نقاط النهاية الخاصة على تمكين موارد Azure الموزعة في شبكة ظاهرية للتواصل بشكل خاص مع موارد الارتباط الخاصة.

تسمح نقاط النهاية الخاصة بالوصول إلى الموارد إلى خدمة الارتباط الخاصة المنتشرة في شبكة ظاهرية. يعمل الوصول إلى نقطة النهاية الخاصة من خلال نظير الشبكة الظاهرية واتصالات الشبكة المحلية على توسيع الاتصال.

قد تحتاج إلى فحص أو حظر حركة مرور العملاء إلى الخدمات المكشوفة عبر نقاط النهاية الخاصة. أكمل هذا الفحص باستخدام Azure Firewall أو جهاز ظاهري للشبكة تابع لجهة خارجية.

تُطبق القيود التالية:

  • يتم تجاوز حركة مرور مجموعات أمان الشبكة (NSG) من نقاط النهاية الخاصة بسبب تعطيل نهج الشبكة لشبكة فرعية في شبكة ظاهرية بشكل افتراضي. لاستخدام نهج الشبكة مثل المسارات المعرفة من قبل المستخدم ودعم مجموعات أمان الشبكة، يجب تمكين دعم نهج الشبكة للشبكة الفرعية. ينطبق هذا الإعداد فقط على نقاط النهاية الخاصة داخل الشبكة الفرعية. يؤثر هذا الإعداد على جميع نقاط النهاية الخاصة داخل الشبكة الفرعية. بالنسبة للموارد الأخرى في الشبكة الفرعية، يتم التحكم في الوصول بناءً على قواعد الأمان في مجموعة أمان الشبكة.

  • يتم تجاوز حركة مرور المسارات المعرفة من قبل المستخدم (UDR) من نقاط النهاية الخاصة. يمكن استخدام المسارات المحددة من قبل المستخدم لتجاوز حركة المرور الموجهة لنقطة النهاية الخاصة.

  • يمكن إرفاق جدول توجيه واحد بشبكة فرعية

  • يدعم جدول التوجيه ما يصل إلى 400 طريق

يقوم Azure Firewall بتصفية حركة المرور باستخدام إما:

هام

يوصى باستخدام قواعد التطبيق على قواعد الشبكة عند فحص حركة المرور الموجهة إلى نقاط النهاية الخاصة من أجل الحفاظ على تناسق التدفق. يفضل قواعد التطبيق على قواعد الشبكة لفحص نسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة لأن Azure Firewall دائما SNATs نسبة استخدام الشبكة مع قواعد التطبيق. إذا تم استخدام قواعد الشبكة، أو تم استخدام NVA بدلا من جدار حماية Azure، يجب تكوين SNAT لنسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة من أجل الحفاظ على تماثل التدفق.

إشعار

يتم دعم تصفية SQL FQDN في وضع الوكيل فقط (المنفذ 1433). يمكن أن ينتج عن وضع الخادم الوكيل وقت استجابة أكبر مقارنةً بإعادة التوجيه . إذا كنت تريد الاستمرار في استخدام وضع إعادة التوجيه، وهو الوضع الظاهري للعملاء المتصلين داخل Azure، فيمكنك تصفية الوصول باستخدام FQDN في قواعد شبكة جدار الحماية.

السيناريو 1: مركز وبنية المتحدثين - شبكة ظاهرية مخصصة لنقاط النهاية الخاصة

Dedicated Virtual Network for Private Endpoints

هذا السيناريو هو الهيكل الأكثر قابلية للتوسيع للاتصال بشكل خاص بخدمات Azure المتعددة باستخدام نقاط النهاية الخاصة. يتم إنشاء مسار يشير إلى مساحة عنوان الشبكة حيث يتم نشر نقاط النهاية الخاصة. يقلل هذا التكوين الحمل الإداري ويمنع الوقوع في حد 400 توجيه.

تتحمل الاتصال من شبكة ظاهرية للعميل إلى جدار حماية Azure في شبكة ظاهرية مركزية رسوما إذا تم إقران الشبكات الظاهرية. لا يتم تحصيل رسوم الاتصال من جدار حماية Azure في شبكة ظاهرية مركزية إلى نقاط النهاية الخاصة في شبكة ظاهرية نظيرة.

لمزيد من المعلومات حول الرسوم المتعلقة بالاتصالات مع الشبكات الظاهرية، راجع قسم الأسئلة الشائعة في صفحة التسعير .

السيناريو 2: مركز وبنية المتحدثين - شبكة ظاهرية مشتركة لنقاط النهاية الخاصة والأجهزة الظاهرية

Private Endpoints and Virtual Machines in same Virtual Network

يتم تنفيذ هذا السيناريو عندما:

  • لا يمكن أن يكون لديك شبكة ظاهرية مخصصة لنقاط النهاية الخاصة

  • عندما يتم عرض عدد قليل من الخدمات في الشبكة الظاهرية باستخدام نقاط النهاية الخاصة

تحتوي الأجهزة الظاهرية على /32 مسار نظام تشير إلى كل نقطة نهاية خاصة. تم تكوين مسار واحد لكل نقطة نهاية خاصة لتوجيه حركة المرور عبر Azure Firewall.

يزيد الحمل الإداري للحفاظ على جدول التوجيه مع عرض الخدمات في الشبكة الظاهرية. تزداد أيضًا إمكانية الوصول إلى حد المسار.

اعتمادًا على الهيكل العام الخاص بك، من الممكن الوصول إلى حد 400 مسار. يوصى باستخدام السيناريو 1 كلما أمكن ذلك.

تتحمل الاتصال من شبكة ظاهرية للعميل إلى جدار حماية Azure في شبكة ظاهرية مركزية رسوما إذا تم إقران الشبكات الظاهرية. لا يتم تحصيل رسوم الاتصال من جدار حماية Azure في شبكة ظاهرية مركزية إلى نقاط النهاية الخاصة في شبكة ظاهرية نظيرة.

لمزيد من المعلومات حول الرسوم المتعلقة بالاتصالات مع الشبكات الظاهرية، راجع قسم الأسئلة الشائعة في صفحة التسعير .

السيناريو 3: شبكة ظاهرية واحدة

Single virtual network

استخدم هذا النمط عندما لا يكون الترحيل إلى مركز وبنية المتحدثين ممكنًا. تنطبق نفس الاعتبارات الواردة في السيناريو 2. في هذا السيناريو، لا يتم تطبيق رسوم نظير الشبكة الظاهرية.

السيناريو 4: حركة المرور المحلية إلى نقاط النهاية الخاصة

On-premises traffic to private endpoints

يمكن تنفيذ هذه البنية إذا قمت بتكوين الاتصال بشبكتك المحلية باستخدام إما:

إذا كانت متطلبات الأمان الخاصة بك تتطلب حركة مرور العميل إلى الخدمات المكشوفة عبر نقاط النهاية الخاصة ليتم توجيهها عبر جهاز أمان، فقم بنشر هذا السيناريو.

تنطبق نفس الاعتبارات الواردة في السيناريو 2 أعلاه. في هذا السيناريو، لا توجد رسوم نظير الشبكة الظاهرية. لمزيد من المعلومات حول كيفية تكوين خوادم DNS للسماح لأحمال العمل المحلية بالوصول إلى نقاط النهاية الخاصة، راجع أحمال العمل المحلية باستخدام معاد توجيه DNS.

الخطوات التالية

في هذه المقالة، قمت باستكشاف سيناريوهات مختلفة يمكنك استخدامها لتقييد حركة المرور بين جهاز ظاهري ونقطة نهاية خاصة باستخدام Azure Firewall.

للحصول على برنامج تعليمي حول كيفية تكوين Azure Firewall لفحص نسبة استخدام الشبكة الموجهة إلى نقطة نهاية خاصة، راجع البرنامج التعليمي: فحص حركة مرور نقطة النهاية الخاصة باستخدام Azure Firewall

لمعرفة المزيد حول نقطة النهاية الخاصة، راجع ما هي نقطة النهاية الخاصة في Azure؟ .