البرنامج التعليمي: تصفية نسبة استخدام الشبكة باستخدام مجموعة أمان الشبكة

يمكنك استخدام مجموعة أمان شبكة Azure لتصفية نسبة استخدام الشبكة من موارد Azure وإليها في الشبكة الظاهرية لـ Azure.

تحتوي مجموعات أمان الشبكة على قواعد أمان تقوم بتصفية نسبة استخدام الشبكة حسب عنوان IP والمنفذ والبروتوكول. عندما تكون مجموعة أمان الشبكة مقترنة بشبكة فرعية، يتم تطبيق قواعد الأمان على الموارد الموزعة في تلك الشبكة الفرعية.

رسم تخطيطي للموارد التي تم إنشاؤها أثناء البرنامج التعليمي.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • قم بإنشاء مجموعة أمان الشبكة وقواعد الأمان
  • إنشاء مجموعات أمان التطبيق
  • قم بإنشاء شبكة افتراضية وربط مجموعة أمان الشبكة بشبكة فرعية
  • توزيع الأجهزة الظاهرية وربط واجهات الشبكة الخاصة بها إلى مجموعات أمان التطبيق

المتطلبات الأساسية

ينشئ الإجراء التالي شبكة ظاهرية مع شبكة فرعية للمورد.

  1. في المدخل، ابحث عن Virtual networks وحددها.

  2. في صفحة ⁧⁩الشبكة الظاهرية⁧⁩، حدد ⁧+⁩ إنشاء⁧⁩.

  3. في علامة التبويب أساسياتلـ إنشاء شبكة ظاهرية، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخل test-rg في Name.
    حدد موافق.
    تفاصيل المثيل
    الاسم أدخل vnet-1.
    المنطقة حدد شرق الولايات المتحدة 2.

    لقطة شاشة تعرض علامة التبويب Basics لإنشاء شبكة ظاهرية في مدخل Microsoft Azure.

  4. حدد التالي للمتابعة إلى علامة التبويب الأمان .

  5. حدد التالي للمتابعة إلى علامة التبويب عناوين IP.

  6. في مربع مساحة العنوان ضمن الشبكات الفرعية، حدد الشبكة الفرعية الافتراضية.

  7. في جزء تحرير الشبكة الفرعية، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل الشبكة الفرعية
    قالب الشبكة الفرعية اترك الإعداد الافتراضي كافتراضي.
    الاسم أدخل subnet-1.
    عنوان البدء اترك الإعداد الافتراضي 10.0.0.0.
    حجم الشبكة الفرعية اترك الإعداد الافتراضي ل /24(256 عنوانا).

    لقطة شاشة تعرض إعادة تسمية الشبكة الفرعية الافتراضية وتكوينها.

  8. حدد حفظ.

  9. حدد Review + create في أسفل الشاشة. بعد تجاوز التحقق من الصحة، حدد إنشاء.

إنشاء مجموعات أمان التطبيق

تتيح لك مجموعة أمان التطبيقات (ASGs) تجميع الخوادم معًا بوظائف مماثلة، مثل خوادم الويب.

  1. في مربع البحث أعلى المدخل، أدخل مجموعة أمان التطبيق. حدد مجموعات أمان التطبيق في نتائج البحث.

  2. حدد + إنشاء.

  3. في علامة التبويب Basics في Create an application security group، أدخل هذه المعلومات أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل asg-web.
    المنطقة حدد شرق الولايات المتحدة 2.
  4. حدد "Review + create".

  5. حدد + إنشاء.

  6. كرر الخطوات السابقة، مع تحديد القيم التالية:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل asg-mgmt.
    المنطقة حدد شرق الولايات المتحدة 2.
  7. حدد "Review + create".

  8. حدد إنشاء.

إنشاء مجموعة أمان الشبكة

تقوم مجموعة أمان الشبكة (NSG) بتأمين حركة مرور الشبكة في شبكتك الافتراضية.

  1. في مربع البحث أعلى المدخل، أدخل Network security group. حدد "Network security group" في نتائج البحث.

    إشعار

    في نتائج البحث عن مجموعات أمان الشبكة، قد ترى مجموعات أمان الشبكة (الكلاسيكية). حدد مجموعات أمان الشبكة.

  2. حدد + إنشاء.

  3. في علامة التبويب Basics في Create network security group، أدخل هذه المعلومات أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    الاسم أدخل nsg-1.
    الموقع حدد شرق الولايات المتحدة 2.
  4. حدد "Review + create".

  5. حدد إنشاء.

إقران مجموعة أمان الشبكة بالشبكة الفرعية

في هذا القسم، يمكنك إقران مجموعة أمان الشبكة بالشبكة الفرعية للشبكة الظاهرية التي أنشأتها سابقا.

  1. في مربع البحث أعلى المدخل، أدخل Network security group. حدد "Network security group" في نتائج البحث.

  2. حدد nsg-1.

  3. حدد الشبكات الفرعية من قسم الإعدادات في nsg-1.

  4. في صفحة Subnets، حدد + Associate:

    لقطة شاشة لإقران مجموعة أمان شبكة بشبكة فرعية.

  5. ضمن Associate subnet، حدد vnet-1 (test-rg) للشبكة الظاهرية.

  6. حدد subnet-1 للشبكة الفرعية، ثم حدد OK.

إنشاء قواعد الأمان

  1. حدد Inbound security rules من قسم Settings في nsg-1.

  2. في صفحة قواعد الأمان الواردة، حدد + إضافة.

  3. إنشاء قاعدة أمان تسمح بالمنافذ 80 و443 إلى مجموعة أمان تطبيق asg-web . في صفحة إضافة قاعدة أمان واردة، أدخل المعلومات التالية أو حددها:

    الإعداد القيمة‬
    Source اترك الخيار الافتراضي "Any".
    نطاقات منافذ المصادر اترك الخيار الافتراضي (*).
    الوجهة حدد "Application security group".
    مجموعة أمان تطبيق الوجهة حدد asg-web.
    الخدمة اترك الخيار الافتراضي "Custom".
    نطاقات المنفذ الوجهات أدخل 80443.
    البروتوكول حدد TCP.
    الإجراء اترك الخيار الافتراضي "Allow".
    أولوية اترك القيمة الافتراضية 100.
    الاسم أدخل allow-web-all.
  4. حدد إضافة.

  5. أكمل الخطوات السابقة بالمعلومات التالية:

    الإعداد القيمة‬
    Source اترك الخيار الافتراضي "Any".
    نطاقات منافذ المصادر اترك الخيار الافتراضي (*).
    الوجهة حدد "Application security group".
    مجموعة أمان تطبيق الوجهة حدد asg-mgmt.
    الخدمة حدد RDP.
    الإجراء اترك الخيار الافتراضي "Allow".
    أولوية اترك القيمة الافتراضية 110.
    الاسم أدخل allow-rdp-all.
  6. حدد إضافة.

تنبيه

في هذه المقالة، يتم عرض RDP (المنفذ 3389) على الإنترنت للجهاز الظاهري الذي تم تعيينه لمجموعة أمان تطبيق asg-mgmt .

بالنسبة لبيئات الإنتاج، بدلاً من تعريض المنفذ 3389 للإنترنت، يوصى بالاتصال بموارد Azure التي تريد إدارتها باستخدام VPN أو اتصال شبكة خاصة أو Azure Bastion.

لمزيد من المعلومات حول Azure Bastion، راجع ما هو Azure Bastion؟.

أنشئ الأجهزة الظاهرية

إنشاء اثنين من الأجهزة الظاهرية (جهاز ظاهري) في هذه الشبكة الظاهرية.

  1. في المدخل، ابحث عن الأجهزة الظاهرية وحددها.

  2. في الأجهزة الظاهرية، حدد + إنشاء، ثم جهاز Azure الظاهري.

  3. في "Create a virtual machine"، أدخل هذه المعلومات أو حددها في علامة التبويب "Basics":

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد test-rg.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل vm-web.
    المنطقة حدد (US) Eeast US 2
    خيارات التوفر اترك القيمة الافتراضية لا يوجد تكرار مطلوب للبنية الأساسية.
    نوع الأمان حدد قياسي.
    الصورة حدد Windows Server 2022 Datacenter - x64 Gen2.
    مثيل Azure Spot اترك التحديد الافتراضي غير مٌحدد.
    الحجم تحديد الحجم.
    حساب المسؤول
    اسم مستخدم أدخل username.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور اعادة ادخال كلمة السر.
    قواعد المنفذ الوارد
    حدد المنافذ الداخلية حدد لا شيء.
  4. حدد Next: Disks ثم Next: Networking.

  5. في علامة التبويب شبكة الاتصال، أدخل أو حدد المعلومات التالية:

    الإعداد القيمة‬
    واجهة الشبكة
    الشبكة الظاهرية حدد vnet-1.
    الشبكة الفرعية حدد subnet-1 (10.0.0.0/24).
    عنوان IP عام اترك الإعداد الافتراضي لعنوان IP عام جديد.
    المجموعة الأمنية للشبكة NIC حدد لا شيء.
  6. حدد علامة التبويب "Review + create"، أو حدد الزر الأزرق "Review + create" أسفل الصفحة.

  7. حدد إنشاء. قد يستغرق توزيع الجهاز الظاهري بضع دقائق.

  8. كرر الخطوات السابقة لإنشاء جهاز ظاهري ثان يسمى vm-mgmt.

ربط واجهات الشبكة بـ ASG

عندما أنشأت الأجهزة الظاهرية، أنشأ Azure واجهة شبكة لكل جهاز افتراضي، وأرفقها بالجهاز الظاهري.

أضف واجهة الشبكة لكل جهاز ظاهري إلى إحدى مجموعات أمان التطبيقات التي قمت بإنشائها مسبقًا:

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد الأجهزة الظاهرية في نتائج البحث، ثم حدد vm-web.

  2. حدد Application security groups من قسم Networking في vm-web.

  3. حدد Add application security groups، ثم في علامة التبويب Add application security groups ، حدد asg-web. أخيراً، حدد Add.

    لقطة شاشة لتكوين مجموعات أمان التطبيق.

  4. كرر الخطوات السابقة ل vm-mgmt، وتحديد asg-mgmt في علامة التبويب Add application security groups.

اختبار عوامل تصفية حركة مرور البيانات

  1. في مربع البحث الموجود أعلى المدخل، أدخل Virtual machine. حدد "Virtual machines" في نتائج البحث.

  2. حدد vm-mgmt.

  3. في صفحة Overview ، حدد الزر Connect ثم حدد Native RDP.

  4. حدد Download RDP file.

  5. افتح ملف rdp الذي تم تنزيله وحدد "Connect". أدخل اسم المستخدم ورمز الوصول اللذين حددتهما عند إنشاء الجهاز الظاهري.

  6. حدد موافق.

  7. قد تتلقى تحذير شهادة أثناء عملية الاتصال. إذا تلقيت التحذير، فحدد "Yes" أو "Continue"، لمتابعة الاتصال.

    ينجح الاتصال، لأن نسبة استخدام الشبكة الواردة من الإنترنت إلى مجموعة أمان تطبيق asg-mgmt مسموح بها من خلال المنفذ 3389.

    ترتبط واجهة الشبكة ل vm-mgmt بمجموعة أمان تطبيق asg-mgmt وتسمح بالاتصال.

  8. افتح جلسة PowerShell على vm-mgmt. الاتصال ب vm-web باستخدام ما يلي:

    mstsc /v:vm-web
    

    ينجح اتصال RDP من vm-mgmt إلى vm-web لأن الأجهزة الظاهرية في نفس الشبكة يمكن أن تتواصل مع بعضها البعض عبر أي منفذ بشكل افتراضي.

    لا يمكنك إنشاء اتصال RDP بالجهاز الظاهري vm-web من الإنترنت. تمنع قاعدة الأمان الخاصة ب asg-web الاتصالات بالمنفذ 3389 الوارد من الإنترنت. تُرفض نسبة استخدام الشبكة الواردة من الإنترنت إلى كافة الموارد بشكل افتراضي.

  9. لتثبيت Microsoft IIS على الجهاز الظاهري vm-web ، أدخل الأمر التالي من جلسة PowerShell على الجهاز الظاهري vm-web :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. بعد اكتمال تثبيت IIS، اقطع الاتصال بالجهاز الظاهري vm-web ، مما يتركك في اتصال سطح المكتب البعيد للجهاز الظاهري vm-mgmt .

  11. قطع الاتصال من vm-mgmt VM.

  12. ابحث عن vm-web في مربع بحث المدخل.

  13. في صفحة نظرة عامة على vm-web، لاحظ عنوان IP العام لجهازك الظاهري. العنوان الموضح في المثال التالي هو 203.0.113.103. عنوانك مختلف:

    لقطة شاشة لعنوان IP العام لجهاز ظاهري في صفحة نظرة عامة.

  14. للتأكد من أنه يمكنك الوصول إلى خادم ويب vm-web من الإنترنت، افتح مستعرض إنترنت على الكمبيوتر واستعرض للوصول إلى http://<public-ip-address-from-previous-step>.

ترى الصفحة الافتراضية IIS، لأنه يسمح بنسبة استخدام الشبكة الواردة من الإنترنت إلى مجموعة أمان تطبيق asg-web من خلال المنفذ 80.

ترتبط واجهة الشبكة المرفقة ل vm-web بمجموعة أمان تطبيق asg-web وتسمح بالاتصال.

عند الانتهاء من استخدام الموارد التي قمت بإنشائها، يمكنك حذف مجموعة الموارد وجميع مواردها.

  1. في مدخل Azure، ابحث عن مجموعة المواردوحددها.

  2. في صفحة Resource groups ، حدد مجموعة موارد test-rg .

  3. في صفحة test-rg ، حدد Delete resource group.

  4. أدخل test-rg في Enter resource group name لتأكيد الحذف، ثم حدد Delete.

الخطوات التالية

في هذا البرنامج التعليمي، سوف تتعلّم:

  • إنشاء مجموعة أمان للشبكة وربطها بشبكة فرعية افتراضية.
  • تم إنشاء مجموعات أمان التطبيق للويب والإدارة.
  • إنشاء جهازين ظاهريين وربط واجهات الشبكة الخاصة بهما بمجموعات أمان التطبيق.
  • اختبر تصفية شبكة مجموعة أمان التطبيق.

لمعرفة المزيد حول مجموعات أمان الشبكة، راجع "Network security group overview" و"Manage a network security group".

يقوم Azure بتوجيه حركة المرور بين الشبكات الفرعية افتراضياً. يمكنك بدلا من ذلك، اختيار توجيه نسبة استخدام الشبكة بين الشبكات الفرعية من خلال جهاز ظاهري، يعمل كجدار حماية، على سبيل المثال.

لمعرفة كيفية إنشاء جدول توجيه، انتقل إلى البرنامج التعليمي التالي.