إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة بين موارد Azure في شبكات Azure الظاهرية. تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح أو ترفض نسبة استخدام الشبكة الواردة إلى عدة أنواع من موارد Azure أو نسبة استخدام الشبكة الصادرة منها.
تشرح هذه المقالة خصائص قاعدة مجموعة أمان الشبكة وقواعد الأمان الافتراضية التي يطبقها Azure. كما يصف كيفية تعديل خصائص القاعدة لإنشاء قاعدة أمان معززة.
قواعد الأمان
تحتوي مجموعة أمان الشبكة على قواعد أمان الشبكة حسب الرغبة، ضمن حدود اشتراك Azure. تحدد كل قاعدة الخصائص التالية:
| Property | Explanation |
|---|---|
| Name | اسم فريد داخل مجموعة أمان الشبكة. يمكن أن يصل طول الاسم إلى 80 حرفا. يجب أن تبدأ بحرف كلمة، ويجب أن تنتهي بحرف كلمة أو ب _. يمكن أن يحتوي الاسم على أحرف كلمة أو .-أو أو \_. |
| Priority | رقم بين 100 و4096. تتم معالجة القواعد بترتيب الأولوية، مع معالجة الأرقام الأقل قبل الأرقام الأعلى لأن الأرقام الأقل لها أولوية أعلى. تتوقف المعالجة بمُجرد تطابق نسبة استخدام الشبكة مع القاعدة. ونتيجة لذلك، لا تتم معالجة أي قواعد موجودة ذات أولويات أقل (أرقام أعلى) لها نفس سمات القواعد ذات الأولويات الأعلى. يتم إعطاء قواعد الأمان الافتراضية ل Azure أقل أولوية (أعلى رقم) لضمان معالجة القواعد المخصصة دائما أولا. |
| المصدر أو الوجهة | يمكنك تحديد أي أو عنوان IP فردي أو كتلة CIDR (على سبيل المثال، 10.0.0.0/24) أو علامة خدمة أو مجموعة أمان تطبيق. لتحديد مورد Azure معين، استخدم عنوان IP الخاص المعين للمورد. بالنسبة لنسبة استخدام الشبكة الواردة، تعالج مجموعات أمان الشبكة نسبة استخدام الشبكة بعد أن يترجم Azure عناوين IP العامة إلى عناوين IP خاصة. بالنسبة لنسبة استخدام الشبكة الصادرة، تعالج مجموعات أمان الشبكة نسبة استخدام الشبكة قبل ترجمة عناوين IP الخاصة إلى عناوين IP العامة.
أدخل نطاقا أو علامة خدمة أو مجموعة أمان التطبيقات لتقليل عدد قواعد الأمان المطلوبة. تسمح قواعد الأمان المعززة بتحديد عناوين IP ونطاقات فردية متعددة في قاعدة واحدة. ومع ذلك، لا يمكنك تحديد علامات خدمة متعددة أو مجموعات تطبيقات في قاعدة واحدة. تتوفر قواعد الأمان المعززة فقط في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. في نموذج النشر الكلاسيكي، لا يمكن تحديد عناوين IP ونطاقات متعددة في قاعدة واحدة. على سبيل المثال، إذا كان المصدر هو الشبكة الفرعية 10.0.1.0/24 (حيث يوجد VM1) والوجهة هي الشبكة الفرعية 10.0.2.0/24 (حيث يوجد VM2)، تقوم مجموعة أمان الشبكة بتصفية نسبة استخدام الشبكة ل VM2. يحدث هذا السلوك لأن NSG مقترن بواجهة شبكة VM2. |
| Protocol | TCP أو UDP أو ICMP أو ESP أو AH أو أي شيء. بروتوكولات ESP و AH غير متوفرة حاليا عبر مدخل Microsoft Azure ولكن يمكن استخدامها عبر قوالب ARM. |
| Direction | ما إذا كانت القاعدة تنطبق على نسبة استخدام الشبكة الواردة أو الصادرة. |
| نطاق الميناء | يمكنك تحديد منفذ فردي أو نطاقات من المنافذ. على سبيل المثال، يمكنك تحديد 80 أو 10000-10005؛ أو للحصول على مزيج من المنافذ والنطاقات الفردية، يمكنك فصلها بفواصل، مثل 80، 10000-10005. تحديد النطاقات وفصل الفاصلة يمكنك من إنشاء قواعد أمان أقل. لا يمكن إنشاء قواعد الأمان المعززة إلا في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج توزيع Resource Manager. لا يمكنك تحديد منافذ متعددة أو نطاقات منافذ في نفس قاعدة الأمان في مجموعات أمان الشبكة التي تم إنشاؤها من خلال نموذج التوزيع الكلاسيكي. |
| Action | السماح بنسبة استخدام الشبكة المحددة أو رفضها. |
يتم تقييم قواعد الأمان وتطبيقها استنادا إلى معلومات المصدر والمنفذ المصدر والوجهة ومنفذ الوجهة والبروتوكول المكون من خمس مجموعات. لا يمكنك إنشاء قاعدتي أمان بنفس الأولوية والاتجاه. يمكن أن تؤدي قاعدتان أمنيتان بنفس الأولوية والاتجاه إلى حدوث تعارض في كيفية معالجة النظام لنسبة استخدام الشبكة. يتم إنشاء سجل تدفق للاتصالات الموجودة. يسمح بالاتصال أو يتم رفضه استناداً إلى حالة اتصال سجل التدفق. يسمح سجل التدفق لمجموعة أمان شبكة بأن تكون إشارة حالة. إذا قمت بتحديد قاعدة أمان صادرة لأي عنوان عبر المنفذ 80، على سبيل المثال، فليس من الضروري تحديد قاعدة أمان واردة للاستجابة لنسبة استخدام الشبكة الصادرة. ما عليك سوى تحديد قاعدة أمان واردة إذا بدأ الاتصال خارجياً. والعكس هو الصحيح. إذا تم السماح بنسبة استخدام الشبكة الواردة عبر أحد المنافذ، فليس من الضروري تحديد قاعدة أمان صادرة للاستجابة لنسبة استخدام الشبكة عبر المنفذ.
عند إزالة قاعدة أمان سمحت باتصال، تظل الاتصالات الموجودة دون انقطاع. تؤثر قواعد مجموعة أمان الشبكة على الاتصالات الجديدة فقط. تنطبق القواعد الجديدة أو المحدثة في مجموعة أمان الشبكة حصريا على الاتصالات الجديدة، تاركة الاتصالات الموجودة غير متأثرة بالتغييرات. على سبيل المثال، إذا كان لديك جلسة SSH نشطة إلى جهاز ظاهري ثم أزلت قاعدة الأمان التي تسمح بحركة مرور SSH هذه، تظل جلسة SSH الحالية متصلة وظيفية. ومع ذلك، إذا حاولت إنشاء اتصال SSH جديد بعد إزالة قاعدة الأمان، حظر محاولة الاتصال الجديدة هذه.
هناك حدود لعدد قواعد الأمان التي يمكنك إنشاؤها في مجموعة أمان الشبكة والخصائص الأخرى لمجموعة أمان الشبكة. للحصول على التفاصيل، راجع حدود Azure.
قواعد الأمان الافتراضية
ينشئ Azure القواعد الافتراضية التالية في كل مجموعة أمان الشبكة التي تقوم بإنشائها:
Inbound
AllowVNetInBound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Any | Allow |
AllowAzureLoadBalancerInBound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | Allow |
DenyAllInbound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | Deny |
Outbound
AllowVnetOutBound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Any | Allow |
AllowInternetOutBound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Any | Allow |
DenyAllOutBound
| Priority | Source | منافذ المصدر | Destination | موانئ الوجهة | Protocol | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | Deny |
في عمودي المصدروالوجهة ، تعد VirtualNetworkوAzureLoadBalancerوالإنترنتعلامات خدمة بدلا من عناوين IP. في عمود البروتوكول ، يشمل أي TCP وUDP وICMP. عند إنشاء قاعدة، يمكنك تحديد TCP أو UDP أو ICMP أو أي. يمثل 0.0.0.0/0 في عمودي المصدروالوجهة جميع عناوين IP. يمكن للعملاء مثل مدخل Azure أو Azure CLI أو PowerShell استخدام * أو أي من هذا التعبير.
لا يمكنك إزالة القواعد الافتراضية، ولكن يمكنك تجاوزها بإنشاء قواعد ذات أولويات أعلى.
قواعد الأمان المعززة
تعمل قواعد الأمان المعززة على تبسيط تعريف الأمان للشبكات الظاهرية، ما يسمح لك بتعريف نهج أمان الشبكة الأكبر والمعقدة بقواعد أقل. يمكنك دمج منافذ متعددة ونطاقات وعناوين IP صريحة متعددة في قاعدة أمان واحدة مفهومة بسهولة. استخدم القواعد المعززة في حقول المصدر والوجهة والمنفذ الخاصة بقاعدة ما. لتبسيط صيانة تعريف قاعدة الأمان، ادمج قواعد الأمان المعززة مع علامات الخدمة أو مجموعات أمان التطبيق. هناك حدود لعدد العناوين والنطاقات والمنافذ التي يمكنك تحديدها في قاعدة أمان. للحصول على التفاصيل، راجع حدود Azure.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. يساعد على تقليل تعقيد التحديثات المتكررة على قواعد أمان الشبكة.
لمزيد من المعلومات، راجع علامات خدمة Azure. للحصول على مثال حول كيفية استخدام علامة خدمة التخزين لتقييد الوصول إلى الشبكة، راجع تقييد الوصول إلى الشبكة لموارد PaaS.
مجموعات أمان التطبيقات
تتيح لك مجموعات أمان التطبيقات تكوين أمان الشبكة كامتداد طبيعي لهيكل التطبيق، ما يسمح لك بتجميع الأجهزة الظاهرية وتحديد نُهج أمان الشبكة بناءً على تلك المجموعات. يمكنك إعادة استخدام نهج الأمان الخاص بك على نطاق واسع دون الصيانة اليدوية لعناوين IP الصريحة. للتعرف على المزيد، راجع مجموعات أمان التطبيقات.
قواعد مسؤول الأمان
قواعد مسؤول الأمان هي قواعد أمان الشبكة العمومية التي تفرض نهج الأمان على الشبكات الظاهرية. تنشأ قواعد مسؤول الأمان من Azure Virtual Network Manager، وهي خدمة إدارة تمكن مسؤولي الشبكة من تجميع الشبكات الظاهرية وتكوينها ونشرها وإدارتها عالميا عبر الاشتراكات.
دائما ما يكون لقواعد مسؤول الأمان أولوية أعلى من قواعد مجموعة أمان الشبكة وبالتالي يتم تقييمها أولا. تستمر قواعد مسؤول الأمان "السماح" للتقييم من خلال مطابقة قواعد مجموعة أمان الشبكة. "السماح دائما" و"رفض" قواعد مسؤول الأمان، ومع ذلك، إنهاء تقييم نسبة استخدام الشبكة بعد معالجة قاعدة مسؤول الأمان. ترسل قواعد مسؤول الأمان "السماح دائما" حركة المرور مباشرة إلى المورد، متجاوزة قواعد مجموعة أمان الشبكة التي يحتمل أن تكون متعارضة. تحظر قواعد مسؤول الأمان "رفض" نسبة استخدام الشبكة دون تسليمها إلى الوجهة. تفرض هذه القواعد نهج الأمان الأساسي دون خطر حدوث تعارض في مجموعة أمان الشبكة أو تكوين خاطئ أو إدخال ثغرات أمنية. يمكن أن تكون أنواع إجراءات قاعدة مسؤول الأمان هذه مفيدة لفرض تسليم نسبة استخدام الشبكة ومنع السلوك المتعارض أو غير المقصود من خلال قواعد مجموعة أمان الشبكة المتلقية للمعلومات.
من المهم فهم هذا السلوك، حيث لا تصل قواعد مسؤول أمان مطابقة نسبة استخدام الشبكة لأنواع الإجراءات "السماح دائما" أو "الرفض" إلى قواعد مجموعة أمان الشبكة لمزيد من التقييم. لمعرفة المزيد، راجع قواعد مسؤول الأمان.
مهلة التدفق
Important
سيتم إيقاف سجلات تدفق مجموعة أمان الشبكة (NSG) في 30 سبتمبر 2027. بعد 30 يونيو 2025، لن تتمكن بعد الآن من إنشاء سجلات تدفق NSG جديدة. نوصي بالترحيل إلى سجلات تدفق الشبكة الظاهرية، والتي تعالج قيود سجلات تدفق NSG. بعد تاريخ الإيقاف، لن يتم دعم تحليلات نسبة استخدام الشبكة الممكنة لسجلات تدفق NSG، وسيتم حذف موارد سجل تدفق NSG الموجودة في اشتراكاتك. ومع ذلك، لن يتم حذف سجلات سجل تدفق NSG الحالية من Azure Storage وستستمر في اتباع نهج الاستبقاء التي تم تكوينها. لمزيد من المعلومات، راجع الإعلان الرسمي.
تحدد إعدادات مهلة التدفق المدة التي يبقى فيها سجل التدفق نشطا قبل انتهاء صلاحيته. يمكنك تكوين هذا الإعداد باستخدام مدخل Microsoft Azure أو من خلال سطر الأوامر. لمزيد من المعلومات، راجع نظرة عامة على سجلات تدفق NSG.
اعتبارات النظام الأساسي من Azure
بروتوكول الإنترنت الظاهري لعقدة المضيف: يتم توفير خدمات البنية التحتية الأساسية مثل DHCP وDNS وIMDS ومراقبة الصحة من خلال عنواني بروتوكول الإنترنت الظاهريين للمضيف 168.63.129.16 و169.254.169.254. تنتمي عناوين IP هذه إلى Microsoft وهي عناوين IP الظاهرية الوحيدة المستخدمة في كل المناطق لهذا الغرض. بشكل افتراضي، لا تخضع هذه الخدمات لمجموعات أمان الشبكة التي تم تكوينها ما لم يتم استهدافها بواسطة علامات الخدمة الخاصة بكل خدمة. لتجاوز اتصال البنية الأساسية هذا، يمكنك إنشاء قاعدة أمان لرفض نسبة استخدام الشبكة باستخدام علامات الخدمة التالية على قواعد مجموعة أمان الشبكة: AzurePlatformDNS، AzurePlatformIMDS، AzurePlatformLKM. تعرّف على كيفية تشخيص تصفية نسبة استخدام الشبكة وتشخيص توجيه الشبكة.
الترخيص (خدمة إدارة المفاتيح): يجب ترخيص نسخ Windows التي تعمل في الأجهزة الظاهرية. لضمان الترخيص، يرسل النظام طلبا إلى خوادم مضيف خدمة إدارة المفاتيح التي تتعامل مع مثل هذه الاستعلامات. يتم تقديم الطلب الصادر من خلال المنفذ 1688. بالنسبة إلى عمليات التوزيع التي تستخدم التوجيه الافتراضي 0.0.0.0/0 ، يتم تعطيل قاعدة النظام الأساسي هذه.
الأجهزة الظاهرية في تجمعات متوازنة التحميل: منفذ المصدر ونطاق العناوين المطبقان هما من الكمبيوتر الأصلي، وليس موازن التحميل. منفذ الوجهة ونطاق العناوين مخصصان للكمبيوتر الوجهة، وليس موازن التحميل.
مثيلات خدمة Azure: يتم نشر مثيلات العديد من خدمات Azure، مثل HDInsight وبيئات خدمة التطبيقات ومجموعات مقياس الجهاز الظاهري في الشبكات الفرعية للشبكة الظاهرية. راجع قائمة كاملة بالخدمات التي يمكنك نشرها في الشبكات الظاهرية. قبل تطبيق مجموعة أمان شبكة على الشبكة الفرعية، تعرف على متطلبات المنفذ لكل خدمة. إذا رفضت المنافذ المطلوبة من قبل الخدمة، فلن تعمل الخدمة بشكل صحيح.
إرسال بريد إلكتروني صادر: توصي Microsoft بأن تستخدم خدمات ترحيل SMTP المصادق عليها (عادة ما تكون متصلة عبر منفذ TCP 587، ولكن غالباً ما تكون هناك منافذ أخرى أيضاً) لإرسال بريد إلكتروني من أجهزة Azure الظاهرية. تتخصص خدمات ترحيل SMTP في سمعة المرسل، لتقليل إمكانية رفض موفري البريد الإلكتروني الشركاء للرسائل. تتضمن خدمات الترحيل عبر SMTP، على سبيل المثال لا الحصر، Exchange Online Protection وSendGrid. لا يتم تقييد استخدام خدمات ترحيل SMTP بأي حال في Azure، بغض النظر عن نوع اشتراكك.
إذا قمت بإنشاء اشتراك Azure قبل 15 نوفمبر 2017، بالإضافة إلى القدرة على استخدام خدمات ترحيل SMTP، يمكنك إرسال بريد إلكتروني مباشرة عبر منفذ TCP 25. إذا قمت بإنشاء اشتراكك بعد 15 نوفمبر 2017، فقد لا تتمكن من إرسال بريد إلكتروني مباشرة عبر المنفذ 25. يعتمد سلوك الاتصال الصادر عبر المنفذ 25 على نوع اشتراكك، كما يلي:
اتفاقية المؤسسة: بالنسبة للأجهزة الظاهرية التي يتم نشرها في اشتراكات اتفاقية Enterprise القياسية، لا يتم حظر اتصالات SMTP الصادرة على منفذ TCP 25. ومع ذلك، لا يوجد ضمان بأن المجالات الخارجية تقبل رسائل البريد الإلكتروني الواردة من الأجهزة الظاهرية. إذا رفضت المجالات الخارجية رسائل البريد الإلكتروني أو تصفيتها، فاتصل بموفري خدمات البريد الإلكتروني في المجالات الخارجية لحل المشكلات. لا يغطي دعم Azure هذه المشاكل.
بالنسبة لاشتراكات اختبار/ تطوير Enterprise، يتم حظر المنفذ 25 بشكل افتراضي. من الممكن إزالة هذه الكتلة. لطلب إزالة الكتلة، انتقل إلى قسم لا يمكن إرسال البريد الإلكتروني (SMTP-Port 25) في صفحة Diagnostic and Solve settings لمورد Azure Virtual Network في مدخل Microsoft Azure وقم بتشغيل التشخيص. يعفي هذا الإجراء اشتراكات تطوير/اختبار المؤسسة المؤهلة تلقائيا.
بعد استثناء الاشتراك من هذا الحظر وتوقف الأجهزة الظاهرية وإعادة تشغيلها، يتم استثناء جميع الأجهزة الظاهرية التابعة لهذا الاشتراك من العمل. ينطبق الإعفاء فقط على الاشتراك المطلوب وفقط على حركة مرور الجهاز الظاهري التي توجه مباشرة إلى الإنترنت.
الدفع أولا بأول: يتم حظر اتصال المنفذ الصادر 25 من جميع الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
MSDN وAzure Pass وAzure في Open و Education و Free trial: تم حظر اتصال المنفذ الصادر 25 من جميع الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
موفر خدمة السحابة: يتم حظر اتصال المنفذ الصادر 25 من كل الموارد. لا يمكن إجراء أي طلبات لإزالة التقييد، لأنه لا يتم منح الطلبات. إذا كنت بحاجة إلى إرسال بريد إلكتروني من جهازك الظاهري، يجب عليك استخدام خدمة ترحيل SMTP.
الخطوات التالية
تعرف على موارد Azure التي يمكنك نشرها في شبكة ظاهرية. راجع تكامل الشبكة الظاهرية لخدمات Azure لفهم كيفية إقران مجموعات أمان الشبكة بها.
لمعرفة كيفية تقييم مجموعات أمان الشبكة لنسبة استخدام الشبكة، راجع كيفية عمل مجموعات أمان الشبكة.
قم بإنشاء مجموعة أمان الشبكة باتباع هذا البرنامج التعليمي السريع.
إذا كنت معتاداً على مجموعات أمان الشبكة وتحتاج إلى إدارتها، فراجع إدارة مجموعة أمان شبكة.
إذا كنت تواجه مشاكل في الاتصال وتحتاج إلى استكشاف أخطاء مجموعات أمان الشبكة وإصلاحها، فراجع تشخيص مشكلة عامل تصفية حركة نسبة استخدام الشبكة على جهاز ظاهري.
تعرف على كيفية تمكين سجلات تدفق الشبكة الظاهرية لتحليل نسبة استخدام الشبكة المتدفقة عبر شبكة ظاهرية قد تتطابق مع مجموعة أمان شبكة مرتبطة.