إدارة الوصول الآمن إلى الموارد في VNets الناطقة لعملاء User VPN

  • مقالة

توضح هذه المقالة كيفية استخدام قواعد وعوامل تصفية Virtual WAN وAzure Firewall لإدارة الوصول الآمن للاتصالات بمواردك في Azure عبر اتصالات IKEv2 أو OpenVPN من نقطة إلى موقع. يكون هذا التكوين مفيداً إذا كان لديك مستخدمون بعيدون تريد تقييد وصولهم إلى موارد Azure، أو لتأمين مواردك في Azure.

تساعدك الخطوات الواردة في هذه المقالة في إنشاء البنية في الرسم التخطيطي التالي للسماح لعملاء User VPN بالوصول إلى مورد معين (VM1) في VNet الناطق المتصل بالمركز الظاهرية، ولكن ليست الموارد الأخرى (VM2). استخدم مثال البنية هذا كمبدأ توجيهي أساسي.

رسم تخطيطي لمحور ظاهري آمن.

المتطلبات الأساسية

  • لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure، فأنشئ حسابًا مجانًا.

  • لديك شبكة ظاهرية تريد الاتصال بها.

    • تحقق من أن أي من الشبكات الفرعية من الشبكات المحلية تتداخل مع الشبكات الظاهرية التي ترغب في الاتصال بها.
    • لإنشاء شبكة ظاهرية في مدخل Microsoft Azure، راجع مقالة التشغيل السريع .

  • يجب ألا يكون لدى الشبكة الظاهرية أية عبارات شبكة ظاهرية موجودة.

    • إذا كان لدى الشبكة الظاهرية بالفعل عبارات (VPN أو ExpressRoute)، يجب إزالة كافة العبارات قبل المتابعة.
    • يتطلب هذا التكوين ألا تتصل الشبكات الظاهرية إلا بعبارة Virtual WAN.

  • حدد نطاق عنوان IP الذي تريد استخدامه لمساحة العنوان الخاصة بمركزك الظاهري. تُستخدم هذه المعلومات عند تكوين مركزك الظاهري. المركز الظاهري عبارة عن شبكة ظاهرية يتم إنشاؤها واستخدامها من قبل Virtual WAN. إنها أساس شبكة Virtual WAN في منطقة ما. يجب أن يتوافق نطاق مساحة العنوان مع قواعد معينة:

    • نطاق العنوان الذي تحدده للمركز لا يمكن أن يتراكب مع أي من الشبكات الظاهرية الموجودة التي تتصل بها.
    • لا يمكن أن يتراكب نطاق العنوان مع نطاقات العناوين المحلية التي تتصل بها.
    • إذا لم تكن معتاداً على نطاقات عناوين IP الموجودة في تكوين الشبكة المحلية، فنسق مع شخص يمكنه تقديم هذه التفاصيل لك.
  • لديك القيم المتاحة لتكوين المصادقة التي تريد استخدامها. على سبيل المثال، خادم RADIUS أو مصادقة Microsoft Entra أو إنشاء شهادات وتصديرها.

إنشاء شبكة WAN ظاهرية

  1. في المدخل، في شريط موارد البحث، اكتب شبكة WAN الظاهرية في مربع البحث وحدد إدخال.

  2. حدد شبكات WAN الظاهرية من النتائج. في صفحة شبكات WAN الظاهرية، حدد + إنشاء لفتح صفحة إنشاء WAN.

  3. في الصفحة إنشاء WAN، في علامة التبويب الأساسيات، قم بتعبئة الحقول. قم بتعديل قيم المثال لتطبيقها على البيئة الخاصة بك.

    لقطة شاشة تعرض جزء إنشاء WAN مع تحديد علامة التبويب

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه.
    • مجموعة الموارد: أنشئ جديدًا أو استخدِم الموجود.
    • موقع مجموعة الموارد: اختر موقع مورد من القائمة المنسدلة. تعد WAN مصدراً عالمياً ولا تعيش في منطقة معينة. ومع ذلك، يجب عليك تحديد منطقة من أجل إدارة مورد WAN الذي تقوم بإنشائه وتحديد موقعه بسهولة أكبر.
    • الاسم: اكتب الاسم الذي تريد استدعاء شبكة WAN الظاهرية.
    • النوع: أساسي أو قياسي. حدد قياسي. إذا قمت بتحديد أساسي، فعليك أن تُدرك أن شبكات WAN الظاهرية الأساسية يمكن أن تحتوي فقط على لوحات الوصل الأساسية. يمكن استخدام لوحات الوصل الأساسية للاتصالات من موقع إلى موقع فقط.

  4. بعد الانتهاء من ملء الحقول، حدد مراجعة +إنشاء في أسفل الصفحة.

  5. بمجرد انتهاء التحقق من الصحة، انقر فوق إنشاء لإنشاء شبكة WAN الظاهرية.

تحديد معلمات تكوين P2S

يحدد تكوين نقطة إلى موقع (P2S) معلمات توصيل العملاء البعيدين. يساعدك هذا القسم على تحديد معلمات تكوين P2S، ثم إنشاء التكوين الذي سيتم استخدامه لملف تعريف عميل VPN. تعتمد الإرشادات التي تتبعها على أسلوب المصادقة الذي ترغب في استخدامه.

طرق المصادقة

عند تحديد طريقة المصادقة، لديك ثلاثة خيارات. وكل أسلوب له مُتطلبات محددة. حدد أحد الأساليب التالية، ثم أكمِل الخطوات.

  • مصادقة Microsoft Entra: الحصول على ما يلي:

    • معرف التطبيق لتطبيق Azure VPN Enterprise المسجل في مستأجر Microsoft Entra.
    • المُصدر . مثال:https://sts.windows.net/your-Directory-ID.
    • مستأجر Microsoft Entra. مثال:https://login.microsoftonline.com/your-Directory-ID.

  • المصادقة المستندة إلى بروتوكول Radius: قم بالحصول على عنوان IP لخادم بروتوكول Radius، ومفتاح سر خادم بروتوكول Radius ومعلومات الشهادة.

  • شهادات Azure: بالنسبة لهذا التكوين، تُعدّ الشهادات مطلوبة. وستحتاج إلى إنشاء الشهادات أو الحصول عليها. يلزم الحصول على شهادة عميل لكل عميل. بالإضافة إلى ذلك، يجب تحميل معلومات شهادة الجذر (المفتاح العام). لمزيدٍ من المعلومات حول الشهادات المطلوبة، راجع إنشاء الشهادات وتصديرها.

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها.

  2. حدد تكوينات VPN للمستخدم من القائمة على اليسار.

  3. في صفحة تكوينات VPN للمستخدم، حدد +Create user VPN config.

    لقطة شاشة لصفحة تكوينات VPN الخاصة بالمستخدم.

  4. في صفحة Create new User VPN configuration علامة التبويب Basics، ضمن Instance details، أدخل الاسم الذي تريد تعيينه إلى تكوين VPN الخاص بك.

    لقطة من تبديل IPsec إلى Custom.

  5. بالنسبة إلى نوع النفق، حدد نوع النفق الذي تريده من القائمة المنسدلة. خيارات نوع النفق هي: IKEv2 VPN وOpenVPN وOpenVpn وIKEv2. كل نوع نفق له إعدادات معينة مطلوبة. يتوافق نوع النفق الذي تختاره مع خيارات المصادقة المتوفرة.

    المتطلبات والمعلمات:

    IKEv2 VPN

    • المتطلبات: عند تحديد نوع نفق IKEv2 ، سترى رسالة توجهك لتحديد أسلوب مصادقة. بالنسبة إلى IKEv2، يمكنك تحديد أساليب مصادقة متعددة. يمكنك اختيار شهادة Azure أو المصادقة المستندة إلى RADIUS أو كليهما.

    • معلمات IPSec المخصصة: لتخصيص المعلمات للمرحلة 1 من IKE والمرحلة 2 من IKE، قم بتبديل مفتاح IPsec إلى مخصص وحدد قيم المعلمات. لمزيد من المعلومات حول المعلمات القابلة للتخصيص، راجع مقالة IPsec المخصصة.

    المسنجر

    • المتطلبات: عند تحديد نوع نفق OpenVPN ، سترى رسالة توجهك لتحديد آلية مصادقة. إذا تم تحديد OpenVPN كنوع للنفق، يمكنك تحديد طرق مصادقة متعددة. يمكنك اختيار أي مجموعة فرعية من شهادة Azure أو معرف Microsoft Entra أو المصادقة المستندة إلى RADIUS. بالنسبة للمصادقة المستندة إلى RADIUS، يمكنك توفير عنوان IP لخادم RADIUS ثانوي وسرية الخادم.

    OpenVPN وIKEv2

    • المتطلبات: عند تحديد نوع نفق OpenVPN وIKEv2 ، سترى رسالة توجهك لتحديد آلية مصادقة. إذا تم تحديد OpenVPN وIKEv2 كنوع النفق، يمكنك تحديد أساليب مصادقة متعددة. يمكنك اختيار معرف Microsoft Entra جنبا إلى جنب مع شهادة Azure أو المصادقة المستندة إلى RADIUS. بالنسبة للمصادقة المستندة إلى RADIUS، يمكنك توفير عنوان IP لخادم RADIUS ثانوي وسرية الخادم.

  6. تكوين أساليب المصادقة التي تريد استخدامها. يوجد كل أسلوب مصادقة في علامة تبويب منفصلة: شهادة Azure ومصادقة RADIUS ومعرف Microsoft Entra. لا تتوفر بعض أساليب المصادقة إلا على أنواع معينة من الأنفاق.

    في علامة التبويب لأسلوب المصادقة الذي تريد تكوينه، حدد نعم للكشف عن إعدادات التكوين المتوفرة.

    • مثال - مصادقة الشهادة

      لتكوين هذا الإعداد، يمكن أن يكون نوع النفق صفحة الأساسيات IKEv2 أو OpenVPN أو OpenVPN وIKEv2.

      تم تحديد لقطة شاشة

    • مثال - مصادقة RADIUS

      لتكوين هذا الإعداد، يمكن أن يكون نوع النفق في صفحة الأساسيات Ikev2 أو OpenVPN أو OpenVPN وIKEv2.

      لقطة شاشة لصفحة مصادقة RADIUS.

    • مثال - مصادقة Microsoft Entra

      لتكوين هذا الإعداد، يجب أن يكون نوع النفق في صفحة الأساسيات OpenVPN. المصادقة المستندة إلى معرف Microsoft Entra مدعومة فقط مع OpenVPN.

      صفحة مصادقة Microsoft Entra.

  7. عند انتهائك من تكوين الإعدادات، انقر فوق ⁧⁩مراجعة + إنشاء⁧⁩ في أسفل الصفحة.

  8. انقر فوق إنشاء لإنشاء تكوين VPN المستخدم.

قم بإنشاء المركز والبوابة

في هذا القسم، تقوم بإنشاء المركز الظاهرية باستخدام بوابة من نقطة إلى موقع. عند التكوين، يمكنك استخدام أمثلة القيم التالية:

  • مساحة عنوان IP الخاص بالمركز: 10.1.0.0/16
  • تجمع عناوين العميل: 10.5.0.0/16
  • خوادم DNS المخصصة: يمكنك إدراج ما يصل إلى 5 خوادم DNS

صفحة الأساسيات

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها. في الجزء الأيسر من صفحة شبكة WAN الظاهرية، أسفل Connectivity حدد Hubs.

  2. في صفحة المراكز، حدد +مركز جديد لفتح صفحة إنشاء مركز ظاهري.

    لقطة شاشة تعرض جزء إنشاء مركز ظاهري مع تحديد علامة التبويب الأساسيات.

  3. في الصفحة إنشاء مركز ظاهري، علامة التبويب الأساسيات، أكمل الحقول التالية:

    • المنطقة: حدد المنطقة التي تريد نشر المركز الظاهري فيها.
    • الاسم: الاسم الذي تريد أن يُعرف به المركز الظاهري.
    • "Hub private address space": نطاق عنوان المركز في رمز CIDR. الحد الأدنى لمساحة العنوان هو /24 لإنشاء مركز.
    • Virtual hub capacity: حدد من القائمة المنسدلة. لمزيد من المعلومات، راجع إعدادات المركز الظاهري.
    • تفضيل توجيه المركز: اتركه كافتراضي. لمزيد من المعلومات، راجع تفضيل توجيه المركز الظاهري.

أشر إلى صفحة الموقع

  1. انقر فوق علامة التبويب نقطة إلى موقع لفتح صفحة التكوين الخاصة بنقطة إلى موقع. لعرض إعدادات نقطة إلى موقع، انقر فوق نعم.

    لقطة شاشة لتكوين مركز ظاهري مع تحديد نقطة إلى موقع.

  2. قم بتكوين الإعدادات التالية:

    • وحدات مقياس البوابة - يمثل القدرة المجمعة لبوابة VPN للمستخدم. إذا قمت بتحديد 40 أو أكثر من وحدات مقياس البوابة، فقم بتخطيط قائمة عناوين العملاء وفقًا لذلك. للحصول على معلومات حول كيفية تأثير هذا الإعداد على قائمة عناوين العملاء، راجع حول قائمة عناوين العملاء. للحصول على معلومات حول وحدات مقياس البوابة، راجع الأسئلة الشائعة.

    • تكوين نقطة إلى موقع - حدد تكوين VPN المستخدم الذي أنشأته في خطوة سابقة.

    • تفضيل التوجيه - يُتيح لك تفضيل التوجيه لدى Azure اختيار كيفية سير نقل البيانات لديك بين Azure وشبكة الإنترنت. يمكنك اختيار توجيه نقل البيانات إما عبر شبكة Microsoft، أو عبر شبكة موفر خدمة الإنترنت ISP (الإنترنت العام). ويُشار إلى هذه الخيارات أيضًا باسم التوجيه البطيء للبيانات والتوجيه السريع للبيانات، على التوالي. يتم تعيين عنوان IP العام في Virtual WAN بواسطة الخدمة استنادًا إلى خيار التوجيه المحدد. لمزيدٍ من المعلومات حول تفضيل التوجيه عبر شبكة Microsoft أو موفّر خدمة الإنترنت ISP، راجع مقالة تفضيل التوجيه.

    • استخدام خادم RADIUS البعيد/المحلي - عند تكوين بوابة VPN لمستخدم WAN الظاهري لاستخدام المصادقة المستندة إلى RADIUS، تعمل بوابة VPN للمستخدم كخادم وكيل وترسل طلبات وصول RADIUS إلى خادم RADIUS. يتم تعطيل إعداد "Use Remote/On-premises RADIUS server" ظاهرياً، ما يعني أن بوابة VPN للمستخدم ستكون قادرة فقط على إعادة توجيه طلبات المصادقة إلى خوادم RADIUS في الشبكات الظاهرية المتصلة بمركز البوابة. سيؤدي تمكين الإعداد إلى تمكين بوابة VPN للمستخدم من المصادقة مع خوادم RADIUS المتصلة بالمراكز البعيدة أو المنتشرة محلياً.

      إشعار

      يتم استخدام إعداد خادم RADIUS البعيد/المحلي وعناوين IP الوكيل ذات الصلة فقط إذا تم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS. إذا لم يتم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS، فسيتم تجاهل هذا الإعداد.

      يجب عليك تشغيل "Use Remote/On-premises RADIUS server" إذا كان المستخدمون سيتصلون بملف تعريف VPN العالمي بدلاً من ملف التعريف المستند إلى المركز. لمزيد من المعلومات، راجع ملفات التعريف العالمية والمركزية.

      بعد إنشاء بوابة User VPN، انتقل إلى البوابة ولاحظ حقل عناوين IP لوكيل RADIUS. إن عناوين IP لوكيل RADIUS هي عناوين IP المصدر لحزم RADIUS التي ترسلها بوابة VPN للمستخدم إلى خادم RADIUS. لذلك، يجب تكوين خادم RADIUS لقبول طلبات المصادقة من عناوين IP لوكيل RADIUS. إذا كان حقل عناوين IP لوكيل RADIUS فارغاً أو لا شيء، فقم بتكوين خادم RADIUS لقبول طلبات المصادقة من مساحة عنوان المركز.

      بالإضافة إلى ذلك، تأكد من تعيين اقترانات ونشرات الاتصال (VNet أو المحلي) الذي يستضيف خادم RADIUS ينشر إلى defaultRouteTable للمركز المنشور مع بوابة VPN من نقطة إلى موقع، وأن تكوين VPN من نقطة إلى موقع ينشر إلى جدول توجيه الاتصال الذي يستضيف خادم RADIUS. هذا إلزامي للتأكد من أن البوابة يمكنها التحدث إلى خادم RADIUS والعكس صحيح.

      لقطة شاشة لـ User V P N Config with RADIUS Proxy I Ps.

    • تجمع عناوين العميل - تجمع العناوين الذي سيتم من خلاله تعيين عناوين IP تلقائياً لعملاء VPN. يجب أن تكون قائمة العناوين مميزة. لا يمكن أن يكون هناك تداخل بين قائمة العناوين. لمزيد من المعلومات، راجع حول قائمة عناوين العملاء.

    • خوادم DNS المخصصة - عنوان IP الخاص بخادم (خوادم) DNS التي سيستخدمها العملاء. يمكنك تحديد ما يصل إلى 5.

  3. حدد "مراجعة + إنشاء" للتحقق من صحة الإعدادات.

  4. بعد تجاوز التحقق من الصحة، حدد Create. قد يستغرق إنشاء مركز 30 دقيقة أو أكثر لإكماله.

إنشاء ملفات تكوين عميل VPN

في هذا القسم، تقوم بإنشاء وتنزيل ملفات ملف تعريف التكوين. يتم استخدام هذه الملفات لتكوين عميل VPN الأصلي على جهاز الكمبيوتر العميل.

  1. لإنشاء حزمة تكوين عميل VPN لملف تعريف عمومي على مستوى WAN، انتقل إلى شبكة WAN الظاهرية (وليس المركز الظاهري).

  2. في الجزء الأيمن، حدد تكوينات VPN للمستخدم.

  3. حدد التكوين الذي تريد تنزيل ملف التعريف له. إذا كان لديك مراكز متعددة معينة إلى نفس ملف التعريف، فقم بتوسيع ملف التعريف لإظهار المراكز، ثم حدد أحد المراكز التي تستخدم ملف التعريف.

  4. حدد تنزيل ملف تعريف VPN للمستخدم في WAN الظاهري.

  5. في صفحة التنزيل، حدد EAPTLS، ثم Generate and download profile. يتم إنشاء حزمة ملف تعريف (ملف مضغوط) تحتوي على إعدادات تكوين العميل وتنزيلها على الكمبيوتر لديك. تعتمد محتويات الحزمة على المصادقة وخيارات النفق للتكوين الخاص بك.

تكوين عملاء VPN

استخدم ملف التعريف الذي تم تنزيله لتكوين عملاء الوصول عن بُعد. يختلف الإجراء لكل نظام تشغيل، اتبع الإرشادات التي تنطبق على نظامك.

IKEv2

في تكوين VPN للمستخدم، إذا حددت نوع نفق IKEv2 VPN، يمكنك تكوين عميل VPN الأصلي (Windows وmacOS Catalina أو أحدث).

الخطوات التالية مخصصة لنظام التشغيل Windows. بالنسبة إلى macOS، راجع خطوات IKEv2-macOS.

  1. حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة المثبت 'VpnClientSetupAmd64'. وللحصول على بنية معالج 32 بت، اختر حزمة المثبت 'VpnClientSetupX86'.

  2. انقر نقرًا مزدوجًا فوق الحزمة لتثبيتها. إذا رأيت نافذة SmartScreen منبثقة، فحدد المزيد من المعلومات، ثم قم بتشغيل على أي حال.

  3. على كمبيوتر العميل، انتقل إلى Network الإعدادات وحدد VPN. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.

  4. قم بتثبيت شهادة عميل على كل كمبيوتر تريد توصيله عبر تكوين VPN للمستخدم هذا. شهادة العميل مطلوبة للمصادقة عند استخدام نوع مصادقة شهادة Azure الأصلي. لمزيد من المعلومات حول إنشاء الشهادات، راجع إنشاء شهادات. للحصول على معلومات حول كيفية تثبيت شهادة عميل، راجع تثبيت شهادة عميل.

المسنجر

في تكوين Vpn للمستخدم، إذا حددت نوع نفق OpenVPN، يمكنك تنزيل عميل Azure VPN وتكوينه، أو في بعض الحالات، يمكنك استخدام برنامج عميل OpenVPN. للحصول على الخطوات، استخدم الارتباط الذي يتوافق مع التكوين الخاص بك.

قم بتوصيل VNet

في هذا القسم، تقوم بإنشاء اتصال بين المركز الخاص بك وVNet الناطق.

  1. في مدخل Microsoft Azure، انتقل إلى Virtual WAN في الجزء الأيمن، وحدد Virtual network connections.

  2. في صفحة Virtual network connections ، حدد + Add connection.

  3. في صفحة إضافة اتصال ، قم بتكوين إعدادات الاتصال. للحصول على معلومات حول إعدادات التوجيه، راجع حول التوجيه.

    لقطة شاشة لصفحة إضافة اتصال.

    • Connection name: اسم الاتصال.
    • المراكز: حدد المركز الذي تريد إقرانه بهذا الاتصال.
    • الاشتراك: تحقق من الاشتراك.
    • مجموعة الموارد: حدد مجموعة الموارد التي تحتوي على الشبكة الظاهرية التي تريد الاتصال بها.
    • الشبكة الظاهرية: حدد الشبكة الظاهرية التي تريد الاتصال بها. لا يمكن أن تكون للشبكة الظاهرية التي تحددها بوابة شبكة ظاهرية موجودة بالفعل.
    • النشر إلى بلا: يتم تعيين هذا إلى لا بشكل افتراضي. يؤدي تغيير المفتاح إلى نعم إلى جعل خيارات التكوين للنشر إلى جداول التوجيه ونشر إلى التسميات غير متوفرة للتكوين.
    • إقران جدول التوجيه: من القائمة المنسدلة، يمكنك تحديد جدول توجيه تريد إقرانه.
    • النشر إلى التسميات: التسميات هي مجموعة منطقية من جداول التوجيه. لهذا الإعداد، حدد من القائمة المنسدلة.
    • المسارات الثابتة: تكوين المسارات الثابتة، إذا لزم الأمر. تكوين المسارات الثابتة للأجهزة الظاهرية للشبكة (إن أمكن). تدعم شبكة WAN الظاهرية مرحلة IP التالية للمسار الثابت في اتصال الشبكة الظاهرية. على سبيل المثال، إذا كان لديك جهاز ظاهري منفصل لتدفق حركة مرور الدخول والخروج، فمن الأفضل أن يكون لديك الأجهزة الظاهرية في شبكات ظاهرية منفصلة وإرفاق الشبكات الظاهرية بالمركز الظاهري.
    • تجاوز عنوان IP الوثب التالي لأحمال العمل داخل الشبكة الظاهرية هذه: يتيح لك هذا الإعداد نشر NVAs وأحمال العمل الأخرى في نفس الشبكة الظاهرية دون فرض جميع حركة المرور من خلال NVA. يمكن تكوين هذا الإعداد فقط عند تكوين اتصال جديد. إذا كنت تريد استخدام هذا الإعداد لاتصال قمت بإنشائه بالفعل، فاحذف الاتصال، ثم أضف اتصالا جديدا.
    • نشر مسار ثابت: يتم حاليا نشر هذا الإعداد. يتيح لك هذا الإعداد نشر المسارات الثابتة المحددة في قسم المسارات الثابتة لتوجيه الجداول المحددة في نشر إلى جداول التوجيه. بالإضافة إلى ذلك، سيتم نشر التوجيهات إلى جداول التوجيه التي تحتوي على تسميات محددة على أنها نشر إلى التسميات. يمكن نشر هذه المسارات بين المراكز، باستثناء المسار الافتراضي 0/0. هذه الميزة قيد الطرح. إذا كنت بحاجة إلى تمكين هذه الميزة، فيرجى التواصل مع vwanpm@microsoft.com

  4. بمجرد الانتهاء من الإعدادات التي تريد تكوينها، انقر فوق إنشاء لإنشاء الاتصال.

أنشئ الأجهزة الظاهرية

في هذا القسم، تقوم بإنشاء جهازي ظاهريين في VNet وVM1 وVM2. في مخطط الشبكة، نستخدم 10.18.0.4 و10.18.0.5. عند تكوين أجهزة VM الخاصة بك، تأكد من تحديد الشبكة الظاهرية التي قمت بإنشائها (الموجودة في علامة تبويب الشبكات). لمعرفة خطوات إنشاء VM، راجع التشغيل السريع: إنشاء VM .

تأمين المركز الظاهري

لا يحتوي المركز الظاهري القياسي على نُهج أمان مضمنة لحماية الموارد في الشبكات الظاهرية الناطقة. يستخدم المركز الظاهري الآمن Azure Firewall أو موفر جهة خارجية لإدارة نسبة استخدام الشبكة الواردة والصادرة لحماية مواردك في Azure.

قم بتحويل المركز إلى مركز آمن باستخدام المقالة التالية: تكوين جدار حماية Azure Firewall في مركز WAN الظاهري .

أنشئ قواعد لإدارة نسبة استخدام الشبكة وتصفيتها

أنشئ القواعد التي تملي سلوك Azure Firewall. من خلال تأمين المركز، نضمن أن جميع الحزم التي تدخل المركز الظاهري تخضع لمعالجة جدار الحماية قبل الوصول إلى موارد Azure الخاصة بك.

بمجرد إكمال هذه الخطوات، ستكون قد أنشأت بنية تسمح لمستخدمي VPN بالوصول إلى الجهاز الظاهري بعنوان IP الخاص 10.18.0.4، ولكن لا يمكنك الوصول إلى الجهاز الظاهري باستخدام عنوان IP الخاص 10.18.0.5

  1. في مدخل Microsoft Azure، انتقل إلى Firewall Manager.

  2. ضمن الأمان، حدد Azure Firewall policies.

  3. حدد إنشاء نهج Azure Firewall.

  4. ضمن Policy details، اكتب اسماً وحدد المنطقة التي تم توزيع المركز الظاهري فيها.

  5. حدد التالي: إعدادات DNS.

  6. حدد Next: Rules.

  7. في علامة التبويب القواعد، حدد Add a rule collection.

  8. أدخل اسماً للمجموعة. عيّن النوع على أنه Network. أضف قيمة أولوية 100.

  9. املأ اسم القاعدة ونوع المصدر والمصدر والبروتوكول ومنافذ الوجهة ونوع الوجهة، كما هو موضح في المثال التالي. ثم حدد add. تسمح هذه القاعدة لأي عنوان IP من مجموعة عملاء VPN بالوصول إلى الجهاز الظاهري بعنوان IP خاص 10.18.04، ولكن ليس أي مورد آخر متصل بالمركز الظاهري. أنشئ أي قواعد تريدها تتناسب مع البنية التي تريدها وقواعد الأذونات.

    قواعد جدار الحماية

  10. حدد Next: Threat intelligence.

  11. حدد Next: Hubs.

  12. في علامة التبويب Hubs، حدد Associate virtual hubs.

  13. حدد المركز الظاهري الذي أنشأته سابقاً، ثم حدد Add.

  14. حدد "Review + create".

  15. حدد إنشاء.

قد يستغرق إكمال هذه العملية 5 دقائق أو أكثر.

قم بتوجيه نسبة استخدام الشبكة عبر Azure Firewall

في هذا القسم، تحتاج إلى التأكد من توجيه نسبة استخدام الشبكة عبر Azure Firewall.

  1. في المدخل، من Firewall Manager ، حدد Secured virtual hubs.
  2. حدد المركز الظاهري الذي قمت بإنشائه.
  3. في الإعدادات، حدد تكوين الأمان.
  4. في حركة النقل الخاصة ، حدد إرسال عبر Azure Firewall.
  5. تحقق من أن اتصال VNet ونسبة استخدام الشبكة الخاصة لاتصال الفرع مؤمنة بواسطة جدار حماية Azure Firewall.
  6. حدد حفظ.

إشعار

إذا كنت تريد فحص نسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة في Azure Firewall باستخدام مركز ظاهري آمن، فراجع نسبة استخدام الشبكة الآمنة الموجهة إلى نقاط النهاية الخاصة في Azure Virtual WAN. تحتاج إلى إضافة بادئة /32 لكل نقطة نهاية خاصة في بادئات نسبة استخدام الشبكة الخاصة ضمن تكوين الأمان لـ Azure Firewall manager الخاص بك ليتم فحصها عبر Azure Firewall في المركز الظاهري الآمن. إذا لم يتم تكوين هذه البادئات/32، فإن نسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة ستتجاوز Azure Firewall.

التحقق

تحقق من إعداد المركز الآمن الخاص بك.

  1. اتصل بـ المركز الظاهري الآمن عبر VPN من جهاز العميل.
  2. قم باختبار اتصال عنوان IP 10.18.0.4 من العميل الخاص بك. يجب أن ترى الرد.
  3. قم باختبار اتصال عنوان IP 10.18.0.5 من العميل الخاص بك. لا يجب أن تكون قادراً على رؤية الرد.

الاعتبارات

  • تأكد من أن جدول المسارات الفعالة في المركز الظاهري الآمن يحتوي على الوثب التالية لنسبة استخدام الشبكة الخاصة بواسطة جدار الحماية. للوصول إلى جدول المسارات الفعالة، انتقل إلى مورد Virtual Hub. ضمن Connectivity، حدد Routing، ثم حدد Effective Routes. من هناك، حدد جدول التوجيه Default.
  • تحقق من إنشاء القواعد في قسم إنشاء القواعد. إذا فاتتك هذه الخطوات، فلن تكون القواعد التي أنشأتها مرتبطة فعلياً بالمركز ولن يستخدم جدول التوجيه وتدفق الحزمة Azure Firewall.

الخطوات التالية