إدارة الوصول الآمن إلى الموارد في VNets الناطقة لعملاء User VPN

توضح لك هذه المقالة كيفية استخدام قواعد وعوامل تصفية WAN الظاهرية وجدار حماية Azure Firewall لإدارة الوصول الآمن للاتصالات إلى مواردك في Azure عبر IKEv2 أو اتصالات VPN المفتوحة من نقطة إلى الموقع. يكون هذا التكوين مفيداً إذا كان لديك مستخدمون بعيدون تريد تقييد وصولهم إلى موارد Azure، أو لتأمين مواردك في Azure.

تساعدك الخطوات الواردة في هذه المقالة في إنشاء البنية في الرسم التخطيطي التالي للسماح لعملاء User VPN بالوصول إلى مورد معين (VM1) في VNet الناطق المتصل بالمركز الظاهرية، ولكن ليست الموارد الأخرى (VM2). استخدم مثال البنية هذا كمبدأ توجيهي أساسي.

رسم تخطيطي لمحور ظاهري آمن.

المتطلبات الأساسية

  • لديك اشتراك Azure. إذا لم يكن لديك اشتراك في Azure، فأنشئ حساباً مجانياً.

  • لديك شبكة ظاهرية تريد الاتصال بها.

    • تحقق من أن أي من الشبكات الفرعية من الشبكات المحلية تتداخل مع الشبكات الظاهرية التي ترغب في الاتصال بها.
    • لإنشاء شبكة ظاهرية في مدخل Azure، راجع مقالة ⁧⁩التشغيل السريع⁧⁩.
  • يجب ألا يكون لدى الشبكة الظاهرية أية عبارات شبكة ظاهرية موجودة.

    • إذا كان لدى الشبكة الظاهرية بالفعل عبارات (VPN أو ExpressRoute)، يجب إزالة كافة العبارات قبل المتابعة.
    • يتطلب هذا التكوين ألا تتصل الشبكات الظاهرية إلا بعبارة Virtual WAN.
  • حدد نطاق عنوان IP الذي تريد استخدامه لمساحة العنوان الخاصة بمركزك الظاهري. تُستخدم هذه المعلومات عند تكوين مركزك الظاهري. المركز الظاهري عبارة عن شبكة ظاهرية يتم إنشاؤها واستخدامها من قبل Virtual WAN. إنها أساس شبكة Virtual WAN في منطقة ما. يجب أن يتوافق نطاق مساحة العنوان مع قواعد معينة:

    • نطاق العنوان الذي تحدده للمركز لا يمكن أن يتراكب مع أي من الشبكات الظاهرية الموجودة التي تتصل بها.
    • لا يمكن أن يتراكب نطاق العنوان مع نطاقات العناوين المحلية التي تتصل بها.
    • إذا لم تكن معتاداً على نطاقات عناوين IP الموجودة في تكوين الشبكة المحلية، فنسق مع شخص يمكنه تقديم هذه التفاصيل لك.
  • لديك القيم المتاحة لتكوين المصادقة التي تريد استخدامها. على سبيل المثال، خادم RADIUS أو مصادقة Microsoft Azure Active Directory أو إنشاء الشهادات وتصديرها .

إنشاء virtual WAN

  1. في المدخل، في شريط موارد البحث، اكتب شبكة WAN الظاهرية في مربع البحث وحدد إدخال.

  2. حدد شبكات WAN الظاهرية من النتائج. في صفحة شبكات WAN الظاهرية، حدد + إنشاء لفتح صفحة إنشاء WAN.

  3. في الصفحة إنشاء WAN، في علامة التبويب الأساسيات، قم بتعبئة الحقول. قم بتعديل قيم المثال لتطبيقها على البيئة الخاصة بك.

    لقطة شاشة تعرض جزء إنشاء WAN مع تحديد علامة التبويب

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه.
    • مجموعة الموارد: أنشئ جديدًا أو استخدِم الموجود.
    • موقع مجموعة الموارد: اختر موقع مورد من القائمة المنسدلة. تعد WAN مصدراً عالمياً ولا تعيش في منطقة معينة. ومع ذلك، يجب عليك تحديد منطقة من أجل إدارة مورد WAN الذي تقوم بإنشائه وتحديد موقعه بسهولة أكبر.
    • الاسم: اكتب الاسم الذي تريد استدعاء شبكة WAN الظاهرية.
    • النوع: أساسي أو قياسي. حدد Standard. إذا قمت بتحديد أساسي، فعليك أن تُدرك أن شبكات WAN الظاهرية الأساسية يمكن أن تحتوي فقط على لوحات الوصل الأساسية. يمكن استخدام لوحات الوصل الأساسية للاتصالات من موقع إلى موقع فقط.
  4. بعد الانتهاء من ملء الحقول، حدد مراجعة +إنشاء في أسفل الصفحة.

  5. بمجرد انتهاء التحقق من الصحة، انقر فوق إنشاء لإنشاء شبكة WAN الظاهرية.

تحديد معلمات تكوين P2S

يحدد تكوين نقطة إلى موقع (P2S) معلمات توصيل العملاء البعيدين. يساعدك هذا القسم على تحديد معلمات تكوين P2S، ثم إنشاء التكوين الذي سيتم استخدامه لملف تعريف عميل VPN. تعتمد الإرشادات التي تتبعها على أسلوب المصادقة الذي ترغب في استخدامه.

أساليب المصادقة

عند تحديد طريقة المصادقة، لديك ثلاثة خيارات. وكل أسلوب له مُتطلبات محددة. حدد أحد الأساليب التالية، ثم أكمِل الخطوات.

  • مصادقة Microsoft Azure Active Directory: احصل على ما يلي:

    • تم تسجيل معرف التطبيق لتطبيق Azure VPN Enterprise في مستأجر Microsoft Azure Active Directory الخاص بك.
    • المُصدر . مثال:https://sts.windows.net/your-Directory-ID.
    • مستأجر Microsoft Azure Active Directory . مثال:https://login.microsoftonline.com/your-Directory-ID.
  • المصادقة المستندة إلى بروتوكول Radius: قم بالحصول على عنوان IP لخادم بروتوكول Radius، ومفتاح سر خادم بروتوكول Radius ومعلومات الشهادة.

  • شهادات Azure: بالنسبة لهذا التكوين، تُعدّ الشهادات مطلوبة. وستحتاج إلى إنشاء الشهادات أو الحصول عليها. يلزم الحصول على شهادة عميل لكل عميل. بالإضافة إلى ذلك، يجب تحميل معلومات شهادة الجذر (المفتاح العام). لمزيدٍ من المعلومات حول الشهادات المطلوبة، راجع إنشاء الشهادات وتصديرها.

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها.

  2. حدد ⁧⁩تكوينات VPN للمستخدم⁧⁩ من القائمة على اليمين.

  3. في الصفحة ⁧⁩تكوينات VPN للمستخدم⁧⁩، حدد ⁧⁩+إنشاء تكوينات VPN للمستخدم⁧⁩.

    لقطة شاشة لصفحة تكوينات VPN الخاصة بالمستخدم.

  4. في الصفحة ⁧⁩إنشاء تكوين VPN للمستخدم جديد⁧⁩، علامة التبويب ⁧⁩الأساسيات⁧⁩، ضمن ⁧⁩تفاصيل المثيل⁧⁩، أدخل ⁧⁩الاسم⁧⁩ الذي ترغب في تعيينه لتكوين VPN الخاص بك.

    لقطة من تبديل IPsec إلى Custom.

  5. بالنسبة لـ ⁧⁩نوع النفق⁧⁩، حدد نوع النفق الذي ترغب فيه من القائمة المنسدلة خيارات نوع النفق هي: ⁧⁩IKEv2 VPN وOpenVPN⁧⁩، و⁧⁩OpenVpn، وIKEv2⁧⁩. كل نوع نفق له إعدادات معينة مطلوبة. يتوافق نوع النفق الذي تختاره مع خيارات المصادقة المتوفرة.

    ⁩المتطلبات والمعلمات⁧⁩:

    ⁩IKEv2 VPN⁧

    • ⁩المتطلبات:⁧⁩ عند قيامك بتحديد نوع النفق ⁧⁩IKEv2⁧⁩، فأنت ترى رسالة موجهة إليك لتحديد طريقة مصادقة. بالنسبة لـ IKEv2، يمكنك تحديد أسلوب مصادقة واحد فقط. يمكنك اختيار شهادة Azure أو المصادقة المستندة إلى RADIUS.

    • ⁩معلمات IPSec المخصصة:⁧⁩ لتخصيص المعلمات لـ IKE المرحلة 1، وIKE المرحلة 2، قم بتبديل مفتاح IPsec إلى ⁧⁩مخصص⁧⁩، وحدد قيم المعلمة. لمزيد من المعلومات عن المعلمات القابلة للتخصيص، راجع المقالة ⁧⁩IPsec مخصص⁧⁩.

    ⁩OpenVPN⁧

    • ⁩المعلمات:⁧⁩ عند قيامك بتحديد نوع النفق ⁧⁩OpenVPN⁧⁩، فأنت ترى رسالة موجهة إليك لتحديد آلية مصادقة. إذا تم تحديد OpenVPN كنوع للنفق، يمكنك تحديد طرق مصادقة متعددة. يمكنك اختيار أي مجموعة فرعية من Azure Certificate، أو Azure Active Directory، أو المصادقة المستندة إلى RADIUS. بالنسبة للمصادقة المستندة إلى RADIUS، يمكنك توفير عنوان IP لخادم RADIUS ثانوي وسرية الخادم.
  6. قم بتكوين طريق ⁧⁩المصادقة⁧⁩ التي ترغب في استخدامها. كل طريقة مصادقة في علامة تبويب منفصلة: ⁧⁩Azure certificate⁧⁩ و⁧⁩مصادقة RADIUS⁧⁩، و⁧⁩Azure Active Directory⁧⁩. لا تتوفر بعض أساليب المصادقة إلا على أنواع معينة من الأنفاق.

    على علامة التبويب لطريقة المصادقة التي ترغب في تكوينها، حدد ⁧⁩نعم⁧⁩؛ لكشف إعدادات التكوين المتوفرة.

    • ⁩مثال - مصادقة الشهادة⁧

      لتكوين هذا الإعداد، يمكن أن يكون نوع النفق صفحة الأساسيات IKEv2 أو OpenVPN أو OpenVPN و IKEv2.

      تم تحديد لقطة شاشة

    • ⁩مثال - مصادقة RADIUS⁧

      لتهيئة هذا الإعداد، يجب أن يشتمل نوع النفق في صفحة الأساسيات على OpenVPN.

      لقطة شاشة لصفحة مصادقة RADIUS.

    • ⁩مثال - مصادقة Azure Active Directory⁧

      لتهيئة هذا الإعداد، يجب أن يكون نوع النفق في صفحة الأساسيات هو OpenVPN (بدون IKEv2).

      صفحة مصادقة Microsoft Azure Active Directory.

  7. عند انتهائك من تكوين الإعدادات، انقر فوق ⁧⁩مراجعة + إنشاء⁧⁩ في أسفل الصفحة.

  8. انقر فوق إنشاء لإنشاء تكوين VPN المستخدم.

قم بإنشاء المركز والبوابة

في هذا القسم، تقوم بإنشاء المركز الظاهرية باستخدام بوابة من نقطة إلى موقع. عند التكوين، يمكنك استخدام أمثلة القيم التالية:

  • مساحة عنوان IP الخاص بالمركز: 10.1.0.0/16
  • تجمع عناوين العميل: 10.5.0.0/16
  • خوادم DNS المخصصة: يمكنك إدراج ما يصل إلى 5 خوادم DNS

صفحة الأساسيات

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها. في الجزء الأيسر من صفحة WAN الظاهرية، ضمن Connectivity، حدد Hubs.

  2. في صفحة المراكز، حدد +مركز جديد لفتح صفحة إنشاء مركز ظاهري.

    لقطة شاشة تعرض جزء إنشاء مركز ظاهري مع تحديد علامة التبويب الأساسيات.

  3. في الصفحة إنشاء مركز ظاهري، علامة التبويب الأساسيات، أكمل الحقول التالية:

    • المنطقة: حدد المنطقة التي تريد نشر المركز الظاهري فيها.
    • الاسم: الاسم الذي تريد أن يُعرف به المركز الظاهري.
    • مساحة العنوان الخاص بالمركز: نطاق عنوان المركز في رمز CIDR. الحد الأدنى لمساحة العنوان هو /24 لإنشاء مركز.
    • Virtual hub capacity: حدد من القائمة المنسدلة. لمزيد من المعلومات، راجع إعدادات المركز الظاهري.
    • Hub routing preference: هذا الحقل متاح فقط كجزء من معاينة تفضيل توجيه المركز الظاهري ويمكن عرضه فقط في preview portal. راجع تفضيل توجيه المركز الظاهري لمزيد من المعلومات.

أشر إلى صفحة الموقع

  1. انقر فوق علامة التبويب نقطة إلى موقع لفتح صفحة التكوين الخاصة بنقطة إلى موقع. لعرض إعدادات نقطة إلى موقع، انقر فوق نعم.

    لقطة شاشة لتكوين مركز ظاهري مع تحديد نقطة إلى موقع.

  2. كوِّن الإعدادات التالية:

    • وحدات مقياس البوابة - يمثل القدرة المجمعة لبوابة VPN للمستخدم. إذا قمت بتحديد 40 أو أكثر من وحدات مقياس البوابة، فقم بتخطيط قائمة عناوين العملاء وفقًا لذلك. للحصول على معلومات حول كيفية تأثير هذا الإعداد على قائمة عناوين العملاء، راجع حول قائمة عناوين العملاء. للحصول على معلومات حول وحدات مقياس البوابة، راجع الأسئلة الشائعة.

    • تكوين نقطة إلى موقع - حدد تكوين VPN المستخدم الذي أنشأته في خطوة سابقة.

    • تفضيل التوجيه - يُتيح لك تفضيل التوجيه لدى Azure اختيار كيفية سير نقل البيانات لديك بين Azure وشبكة الإنترنت. يمكنك اختيار توجيه نقل البيانات إما عبر شبكة Microsoft، أو عبر شبكة موفر خدمة الإنترنت ISP (الإنترنت العام). ويُشار إلى هذه الخيارات أيضًا باسم التوجيه البطيء للبيانات والتوجيه السريع للبيانات، على التوالي. يتم تعيين عنوان IP العام في Virtual WAN بواسطة الخدمة استنادًا إلى خيار التوجيه المحدد. لمزيدٍ من المعلومات حول تفضيل التوجيه عبر شبكة Microsoft أو موفّر خدمة الإنترنت ISP، راجع مقالة تفضيل التوجيه.

    • استخدام خادم RADIUS البعيد/المحلي - عند تكوين بوابة VPN لمستخدم WAN الظاهري لاستخدام المصادقة المستندة إلى RADIUS، تعمل بوابة VPN للمستخدم كخادم وكيل وترسل طلبات وصول RADIUS إلى خادم RADIUS. يتم تعطيل إعداد "Use Remote/On-premises RADIUS server" ظاهرياً، ما يعني أن بوابة VPN للمستخدم ستكون قادرة فقط على إعادة توجيه طلبات المصادقة إلى خوادم RADIUS في الشبكات الظاهرية المتصلة بمركز البوابة. سيؤدي تمكين الإعداد إلى تمكين بوابة VPN للمستخدم من المصادقة مع خوادم RADIUS المتصلة بالمراكز البعيدة أو المنتشرة محلياً.

      ملاحظة

      يتم استخدام إعداد خادم RADIUS البعيد/المحلي وعناوين IP الوكيل ذات الصلة فقط إذا تم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS. إذا لم يتم تكوين البوابة لاستخدام المصادقة المستندة إلى RADIUS، فسيتم تجاهل هذا الإعداد.

      يجب عليك تشغيل "Use Remote/On-premises RADIUS server" إذا كان المستخدمون سيتصلون بملف تعريف VPN العالمي بدلاً من ملف التعريف المستند إلى المركز. لمزيد من المعلومات، راجع ملفات التعريف العالمية والمركزية.

      بعد إنشاء بوابة User VPN، انتقل إلى البوابة ولاحظ حقل عناوين IP لوكيل RADIUS. إن عناوين IP لوكيل RADIUS هي عناوين IP المصدر لحزم RADIUS التي ترسلها بوابة VPN للمستخدم إلى خادم RADIUS. لذلك، يجب تكوين خادم RADIUS لقبول طلبات المصادقة من عناوين IP لوكيل RADIUS. إذا كان حقل عناوين IP لوكيل RADIUS فارغاً أو لا شيء، فقم بتكوين خادم RADIUS لقبول طلبات المصادقة من مساحة عنوان المركز.

      لقطة شاشة لـ User V P N Config with RADIUS Proxy I Ps.

    • تجمع عناوين العميل - تجمع العناوين الذي سيتم من خلاله تعيين عناوين IP تلقائياً لعملاء VPN. لمزيد من المعلومات، راجع حول قائمة عناوين العملاء.

    • خوادم DNS المخصصة - عنوان IP الخاص بخادم (خوادم) DNS التي سيستخدمها العملاء. يمكنك تحديد ما يصل إلى 5.

  3. حدد مراجعة + إنشاء للتحقق من صحة الإعدادات.

  4. بعد تجاوز التحقق من الصحة، حدد Create. قد يستغرق إنشاء مركز 30 دقيقة أو أكثر لإكماله.

إنشاء ملفات تكوين عميل VPN

في هذا القسم، تقوم بإنشاء وتنزيل ملفات ملف تعريف التكوين. يتم استخدام هذه الملفات لتكوين عميل VPN الأصلي على جهاز الكمبيوتر العميل. للحصول على معلومات بشأن محتويات ملفات ملف تعريف العميل، راجع تكوين نقطة إلى موقع - الشهادات .

  1. لإنشاء حزمة تكوين عميل VPN على مستوى WAN، انتقل إلى Virtual WAN.

  2. في الجزء الأيمن، حدد User VPN configurations.

  3. حدد التكوين الذي تريد تنزيل ملف التعريف له. إذا كان لديك مراكز متعددة معينة إلى نفس ملف التعريف، فقم بتوسيع ملف التعريف لإظهار المراكز، ثم حدد أحد المراكز التي تستخدم ملف التعريف هذا.

  4. حدد Download virtual WAN user VPN profile.

  5. في صفحة التنزيل، حدد EAPTLS، ثم Generate and download profile. يتم إنشاء حزمة ملف تعريف (ملف مضغوط) تحتوي على إعدادات تكوين العميل وتنزيلها على الكمبيوتر لديك. تعتمد محتويات الحزمة على المصادقة وخيارات النفق للتكوين الخاص بك.

تكوين عملاء VPN

استخدم ملف التعريف الذي تم تنزيله لتكوين عملاء الوصول عن بُعد. يختلف الإجراء لكل نظام تشغيل، اتبع الإرشادات التي تنطبق على نظامك.

الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)

في تكوين VPN للمستخدم، إذا حددت نوع نفق IKEv2 VPN، يمكنك تكوين عميل VPN الأصلي (Windows وmacOS Catalina أو أحدث).

الخطوات التالية مخصصة لنظام التشغيل Windows. بالنسبة إلى macOS، راجع خطوات IKEv2-macOS.

  1. حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة المثبت 'VpnClientSetupAmd64'. وللحصول على بنية معالج 32 بت، اختر حزمة المثبت 'VpnClientSetupX86'.

  2. انقر نقرًا مزدوجًا فوق الحزمة لتثبيتها. إذا ظهرت لك نافذة SmartScreen منبثقة، فحدد ⁧⁩المزيد من المعلومات،⁧⁩ ثم ⁧⁩التشغيل على أية حال⁧⁩.

  3. على الكمبيوتر العميل، انتقل إلى ⁧⁩إعدادات الشبكة⁧⁩ وحدد ⁧⁩VPN⁧⁩. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.

  4. قم بتثبيت شهادة عميل على كل جهاز كمبيوتر تريد توصيله عبر تكوين VPN الخاص بالمستخدم. شهادة العميل مطلوبة للمصادقة عند استخدام نوع مصادقة شهادة Azure الأصلي. لمزيدٍ من المعلومات حول إنشاء الشهادات، راجع ⁧⁩إنشاء الشهادات⁧⁩. للحصول على معلومات حول كيفية تثبيت شهادة عميل، راجع ⁧⁩تثبيت شهادة عميل⁧⁩.

⁩OpenVPN⁧

في تكوين User VPN، إذا حددت نوع نفق OpenVPN، يمكنك تنزيل وتكوين عميل Azure VPN أو، في بعض الحالات، يمكنك استخدام برنامج عميل OpenVPN. للحصول على الخطوات، استخدم الارتباط الذي يتوافق مع التكوين الخاص بك.

قم بتوصيل VNet

في هذا القسم، تقوم بإنشاء اتصال بين المركز الخاص بك وVNet الناطق.

  1. انتقل إلى Virtual WAN.

  2. في الجزء الأيسر، ضمن Connectivity، حدد Virtual network connections.

  3. في صفحة Virtual network connections، انقر فوق Add connection+.

    لقطة شاشة تعرض إضافة اتصال.

  4. في الصفحة ⁧⁩Add connection⁧⁩، قم بتكوين الإعدادات المطلوبة. لمزيد من المعلومات حول إعدادات التوجيه، راجع ⁧⁩About routing⁧⁩.

    تعرض لقطة الشاشة صفحة اتصال VNet.

    • Connection name: اسم الاتصال.
    • ⁩Hubs⁧⁩: حدد المركز الذي تريد ربطه بهذا الاتصال.
    • ⁩Subscription⁧⁩: تحقق من الاشتراك.
    • ⁩Resource group⁧⁩: مجموعة الموارد التي تحتوي على VNet.
    • ⁩Virtual network⁧⁩: حدد الشبكة الظاهرية التي تريد الاتصال بها. لا يمكن أن تكون للشبكة الظاهرية التي تحددها بوابة شبكة ظاهرية موجودة بالفعل.
    • ⁩Propagate to none⁧⁩: يتم تعيين هذا إلى ⁧⁩No⁧⁩ افتراضيًا. يجعل تغيير رمز التبديل إلى ⁧⁩Yes⁧⁩ خيارات التكوين لـ ⁧⁩Propagate to Route Tables⁧⁩ و⁧⁩Propagate to labels⁧⁩ غير متوفرة للتكوين.
    • ⁩Associate Route Table⁧⁩: يمكنك تحديد جدول المسار الذي تريد ربطه.
    • ⁩Static routes⁧⁩: يمكنك استخدام هذا الإعداد لتحديد النقلة التالية.
  5. بمجرد الانتهاء من الإعدادات التي تريد تهيئتها، حدد Create لإنشاء الاتصال.

أنشئ الأجهزة الظاهرية

في هذا القسم، تقوم بإنشاء جهازي ظاهريين في VNet وVM1 وVM2. في مخطط الشبكة، نستخدم 10.18.0.4 و10.18.0.5. عند تكوين أجهزة VM الخاصة بك، تأكد من تحديد الشبكة الظاهرية التي قمت بإنشائها (الموجودة في علامة تبويب الشبكات). لمعرفة خطوات إنشاء VM، راجع التشغيل السريع: إنشاء VM .

تأمين المركز الظاهري

لا يحتوي المركز الظاهري القياسي على نُهج أمان مضمنة لحماية الموارد في الشبكات الظاهرية الناطقة. يستخدم المركز الظاهري الآمن Azure Firewall أو موفر جهة خارجية لإدارة نسبة استخدام الشبكة الواردة والصادرة لحماية مواردك في Azure.

قم بتحويل المركز إلى مركز آمن باستخدام المقالة التالية: تكوين جدار حماية Azure Firewall في مركز WAN الظاهري .

أنشئ قواعد لإدارة نسبة استخدام الشبكة وتصفيتها

أنشئ القواعد التي تملي سلوك Azure Firewall. من خلال تأمين المركز، نضمن أن جميع الحزم التي تدخل المركز الظاهري تخضع لمعالجة جدار الحماية قبل الوصول إلى موارد Azure الخاصة بك.

بمجرد إكمال هذه الخطوات، ستكون قد أنشأت بنية تسمح لمستخدمي VPN بالوصول إلى الجهاز الظاهري باستخدام عنوان IP خاص 10.18.0.4، ولكن لا تصل إلى الجهاز الظاهري باستخدام عنوان IP الخاص 10.18.0.5

  1. في مدخل Microsoft Azure، انتقل إلى Firewall Manager.

  2. ضمن الأمان، حدد Azure Firewall policies.

  3. حدد إنشاء نهج Azure Firewall.

  4. ضمن Policy details، اكتب اسماً وحدد المنطقة التي تم توزيع المركز الظاهري فيها.

  5. حدد Next: DNS Settings (preview).

  6. حدد Next: Rules.

  7. في علامة التبويب القواعد، حدد Add a rule collection.

  8. أدخل اسماً للمجموعة. عيّن النوع على أنه Network. أضف قيمة أولوية 100.

  9. املأ اسم القاعدة ونوع المصدر والمصدر والبروتوكول ومنافذ الوجهة ونوع الوجهة، كما هو موضح في المثال أدناه. ثم حدد add. تسمح هذه القاعدة لأي عنوان IP من مجموعة عملاء VPN بالوصول إلى الجهاز الظاهري بعنوان IP خاص 10.18.04، ولكن ليس أي مورد آخر متصل بالمركز الظاهري. أنشئ أي قواعد تريدها تتناسب مع البنية التي تريدها وقواعد الأذونات.

    قواعد جدار الحماية

  10. حدد Next: Threat intelligence.

  11. حدد Next: Hubs.

  12. في علامة التبويب Hubs، حدد Associate virtual hubs.

  13. حدد المركز الظاهري الذي أنشأته سابقاً، ثم حدد Add.

  14. حدد Review + create.

  15. حدد Create.

قد يستغرق إكمال هذه العملية 5 دقائق أو أكثر.

قم بتوجيه نسبة استخدام الشبكة عبر Azure Firewall

في هذا القسم، تحتاج إلى التأكد من توجيه نسبة استخدام الشبكة عبر Azure Firewall.

  1. في المدخل، من Firewall Manager ، حدد Secured virtual hubs.
  2. حدد المركز الظاهري الذي قمت بإنشائه.
  3. في الإعدادات، حدد تكوين الأمان.
  4. في حركة النقل الخاصة، حدد إرسال عبر Azure Firewall.
  5. تحقق من أن اتصال VNet ونسبة استخدام الشبكة الخاصة لاتصال الفرع مؤمنة بواسطة جدار حماية Azure Firewall.
  6. حدد ⁧⁩حفظ⁧⁩.

ملاحظة

إذا كنت تريد فحص نسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة في Azure Firewall باستخدام مركز ظاهري آمن، فراجع نسبة استخدام الشبكة الآمنة الموجهة إلى نقاط النهاية الخاصة في Azure Virtual WAN. تحتاج إلى إضافة بادئة /32 لكل نقطة نهاية خاصة في بادئات نسبة استخدام الشبكة الخاصة ضمن تكوين الأمان لـ Azure Firewall manager الخاص بك ليتم فحصها عبر Azure Firewall في المركز الظاهري الآمن. إذا لم يتم تكوين هذه البادئات/32، فإن نسبة استخدام الشبكة الموجهة إلى نقاط النهاية الخاصة ستتجاوز Azure Firewall.

التحقق

تحقق من إعداد المركز الآمن الخاص بك.

  1. اتصل بـ المركز الظاهري الآمن عبر VPN من جهاز العميل.
  2. قم باختبار اتصال عنوان IP 10.18.0.4 من العميل الخاص بك. يجب أن ترى الرد.
  3. قم باختبار اتصال عنوان IP 10.18.0.5 من العميل الخاص بك. لا يجب أن تكون قادراً على رؤية الرد.

الاعتبارات

  • تأكد من أن جدول المسارات الفعالة في المركز الظاهري الآمن يحتوي على الوثب التالية لنسبة استخدام الشبكة الخاصة بواسطة جدار الحماية. للوصول إلى جدول المسارات الفعالة، انتقل إلى مورد Virtual Hub. ضمن Connectivity، حدد Routing، ثم حدد Effective Routes. من هناك، حدد جدول التوجيه Default.
  • تحقق من إنشاء القواعد في قسم إنشاء القواعد. إذا فاتتك هذه الخطوات، فلن تكون القواعد التي أنشأتها مرتبطة فعلياً بالمركز ولن يستخدم جدول التوجيه وتدفق الحزمة Azure Firewall.

الخطوات التالية