مشاركة عبر

البرنامج التعليمي: تأمين المركز الظاهري باستخدامAzure Firewall Manager

  • مقالة

باستخدام Azure Firewall Manager، يمكنك إنشاء مراكز افتراضية آمنة لتأمين حركة نقل الشبكة السحابية الموجهة إلى عناوين IP الخاصة وAzure PaaS والإنترنت. حيث يتم توجيه حركة النقل إلى جدار الحماية تلقائياً، لذلك ليست هناك حاجة لإنشاء مسارات محددة عبر المستخدم (UDRs).

يدعم Firewall Manager أيضاً تصميم الشبكة الظاهرية للمركز. للحصول على مقارنة بين تصميم المركز الظاهري الآمن ومركز الشبكة الظاهرية، راجع ما هي خيارات تصميم Azure Firewall Manager؟

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكة ظاهرية محورية
  • إنشاء الشبكة الظاهرية الآمنة
  • الاتصال بالمركز والشبكات الظاهرية المحورية
  • توجيه حركة المرور إلى المركز الخاص بك
  • توزيع الخوادم
  • قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك
  • اختبار جدار الحماية

هام

يستخدم الإجراء في هذا البرنامج التعليمي مدير جدار الحماية من Azure لإنشاء مركز Azure Virtual WAN آمن جديد. يمكنك استخدام مدير جدار الحماية لترقية مركز موجود، ولكن لا يمكنك تكوين Azure مناطق توفر لـ جدار الحماية من Azure. من الممكن أيضا تحويل مركز موجود إلى مركز آمن باستخدام مدخل Microsoft Azure، كما هو موضح في تكوين جدار حماية Azure في مركز Virtual WAN. ولكن مثل مدير جدار الحماية من Azure لا يمكنك تكوين مناطق التوفر. لترقية مركز موجود وتحديد مناطق التوفر لجدار حماية Azure (موصى به)، يجب اتباع إجراء الترقية في البرنامج التعليمي: تأمين المركز الظاهري باستخدام Azure PowerShell.

رسم تخطيطي يوضح شبكة السحابة الآمنة.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء بنية النظام المحوري

أولاً، قم بإنشاء شبكات افتراضية للتحدث بحيث يمكنك وضع الخوادم الخاصة بك.

قم بإنشاء شبكتين تحدث وشبكات فرعية افتراضية

تحتوي كل من الشبكتين الظاهريتين على خادم حمل عمل فيها ومحمية بواسطة جدار الحماية.

  1. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource.

  2. ابحث عن الشبكة الظاهرية، وحددها، وحدد إنشاء.

  3. إنشاء شبكة ظاهرية بالإعدادات التالية:

    الإعداد القيمة‬
    الاشتراك حدد اشتراكك
    مجموعة الموارد حدد Create new، واكتب fw-manager-rg للاسم وحدد OK
    اسم الشبكة الظاهرية Spoke-01
    المنطقة شرق الولايات المتحدة

  4. حدد التالي، ثم حدد التالي.

  5. في علامة التبويب Networking ، أنشئ شبكة فرعية بالإعدادات التالية:

    الإعداد القيمة‬
    إضافة مساحة عنوان IPv4 10.0.0.0/16 (افتراضي)
    الشبكات الفرعية افتراضي
    الاسم Workload-01-SN
    عنوان البدء 10.0.1.0/24

  6. حدد حفظ، مراجعة + إنشاء، ثم حدد إنشاء.

كرر هذا الإجراء لإنشاء شبكة ظاهرية مشابهة أخرى في مجموعة موارد fw-manager-rg :

الإعداد القيمة‬
الاسم Spoke-02
مساحة العنوان 10.1.0.0/16
اسم الشبكة الفرعية Workload-02-SN
عنوان البدء 10.1.1.0/24

إنشاء مركز ظاهري آمن

قم بإنشاء المركز الظاهري الآمن الخاص بك باستخدام Firewall Manager.

  1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

  2. اكتب في مربع البحث Firewall Manager ثم اختر Firewall Manager.

  3. في صفحة مدير جدار الحماية ضمن توزيعات، حدد مراكز ظاهرية.

  4. في صفحة مدير جدار الحماية | المراكز الظاهرية الآمنة، اختر إنشاء مركز ظاهري آمن جديد.

  5. في صفحة Create new secured virtual hub ، أدخل المعلومات التالية:

    الإعداد القيمة‬
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد fw-manager-rg
    المنطقة شرق الولايات المتحدة
    اسم المركز الظاهري الآمن Hub-01
    مساحة عنوان المركز 10.2.0.0/16

  6. حدد New vWAN.

    الإعداد القيمة‬
    اسم شبكة WAN الظاهرية الجديدة Vwan-01
    نوع قياسي
    تضمين بوابة VPN لتمكين شركاء الأمان الموثوق بهم اترك خانة الاختيار غير محددة.

  7. اختر التالي: Azure Firewall.

  8. اقبل الإعداد الافتراضي Azure FirewallEnabled .

  9. بالنسبة إلى طبقة جدار حماية Azure، حدد قياسي.

  10. حدد المجموعة المطلوبة من مناطق التوفر.

    هام

    شبكة WAN الظاهرية هي مجموعة من المراكز والخدمات المتوفرة داخل المركز. يمكنك نشر العديد من شبكات WAN الظاهرية كما تحتاج. في مركز WAN الظاهري، هناك خدمات متعددة مثل VPN وExpressRoute وما إلى ذلك. يتم توزيع كل من هذه الخدمات تلقائيا عبر مناطق التوفر باستثناء جدار حماية Azure، إذا كانت المنطقة تدعم مناطق التوفر. للمحاذاة مع مرونة أجهزة WAN الظاهرية من Azure، يجب عليك تحديد جميع مناطق التوفر المتوفرة.

  11. اكتب 1 في مربع النص تحديد عدد عناوين IP العامة أو قم بإقران عنوان IP عام موجود (معاينة) بجدار الحماية هذا.

  12. ضمن نهج جدار الحماية ، تأكد من تحديد نهج الرفض الافتراضي. يمكنك تحسين الإعدادات لاحقا في هذه المقالة.

  13. حدد Next: Security Partner Provider.

  14. اقبل الإعداد الافتراضي لـ شريك الأمان الموثوق بهمعطل، ثم اختر التالي: مراجعة + إنشاء.

  15. حدد إنشاء.

إشعار

قد يستغرق إنشاء مركز ظاهري آمن ما يصل إلى 30 دقيقة.

يمكنك العثور على عنوان IP العام لجدار الحماية بعد اكتمال النشر.

  1. افتح Firewall Manager.
  2. اختر المراكز الظاهرية.
  3. اختر hub-01.
  4. حدد AzureFirewall_Hub-01.
  5. راقب عنوان IP العام لاستخدامه فيما بعد.

الاتصال بالمركز والشبكات الظاهرية المحورية

الآن يمكنك النظر إلى المركز والشبكات الظاهرية المحورية.

  1. اختر مجموعة الموارد fw-Manager-rg، ثم اختر WAN الظاهري Vwan-01.

  2. تحت قسم الاتصالات، اختر اتصالات الشبكة الافتراضية.

    الإعداد القيمة‬
    Connection name hub-spoke-01
    المركز Hub-01
    مجموعة الموارد fw-manager-rg
    الشبكة الظاهرية Spoke-01

  3. حدد إنشاء.

  4. كرر الخطوات السابقة لتوصيل الشبكة الظاهرية Spoke-02 بالإعدادات التالية:

    الإعداد القيمة‬
    Connection name hub-spoke-02
    المركز Hub-01
    مجموعة الموارد fw-manager-rg
    الشبكة الظاهرية Spoke-02

توزيع الخوادم

  1. في مدخل Microsoft Azure، حدد "Create a resource".

  2. حدد Windows Server 2019 Datacenter في القائمة "Popular".

  3. أدخِل هذه القيم للجهاز الظاهري:

    الإعداد القيمة‬
    مجموعة الموارد fw-manager-rg
    اسم الجهاز الظاهري Srv-workload-01
    المنطقة (US) East US
    اسم مستخدم المسؤول اكتب اسم المستخدم
    كلمة المرور كتابة كلمة مرور

  4. في Inbound port rules، الخاصة بـ Public inbound ports، حدد None.

  5. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Disks.

  6. قبول الإعدادات الافتراضية للقرص وتحديد Next: Networking.

  7. حدد Spoke-01 للشبكة الظاهرية وحدد Workload-01-SN للشبكة الفرعية.

  8. بالنسبة لـPublic IP، اخترNone.

  9. اقبل الإعدادات الافتراضية الأخرى وحدد Next: Management.

  10. حدد Next:Monitoring.

  11. حدد Disable لتعطيل تشخيصات التمهيد.

  12. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

  13. راجع الإعدادات الموجودة في صفحة الملخص، ثم حدد Create.

استخدم المعلومات الواردة في الجدول التالي لتكوين جهاز ظاهري آخر باسم Srv-Workload-02. باقي التكوين هو نفس الجهاز الظاهري Srv-workload-01.

الإعداد القيمة‬
الشبكة الظاهرية Spoke-02
الشبكة الفرعية Workload-02-SN

بعد نشر الخوادم، حدد مورد الخادم، وفي الشبكات دوّن عنوان IP الخاص لكل خادم.

قم بإنشاء سياسة جدار حماية وتأمين المركز الخاص بك

تحدد سياسة جدار الحماية مجموعات القواعد لتوجيه حركة النقل على مركز أو أكثر من المراكز الظاهرية الآمنة. يمكنك إنشاء نهج جدار الحماية الخاص بك ثم تأمين المركز الخاص بك.

  1. من مدير جدار الحماية، حدد سياسات جدار حماية Azure.

  2. حدد إنشاء نهج Azure Firewall.

  3. بالنسبة لـ Resource group، اختر fw-manager-rg.

  4. في تفاصيل السياسة، بالنسبة إلى الاسم اكتب Policy-01 وبالنسبة إلى المنطقة حدد شرق الولايات المتحدة.

  5. لـ طبقة النهج، حدد قياسي.

  6. حدد التالي: إعدادات DNS.

  7. حدد التالي: فحص TLS.

  8. حدد التالي: القواعد.

  9. في علامة التبويب القواعد، حدد Add a rule collection.

  10. في صفحة إضافة مجموعة قواعد، أدخل المعلومات التالية.

    الإعداد القيمة‬
    الاسم App-RC-01
    Rule collection type التطبيق
    أولوية 100
    Rule collection action السماح
    اسم القاعدة Allow-msft
    نوع المصدر عنوان IP
    المصدر *
    البروتوكول http,https
    نوع الوجهة FQDN
    الوجهة *.microsoft.com

  11. حدد إضافة.

  12. أضف قاعدة DNAT حتى تتمكن من توصيل سطح مكتب البعيد بالجهاز الظاهري Srv-Workload-01.

  13. حدد Add a rule collection وأدخل المعلومات التالية.

    الإعداد القيمة‬
    الاسم dnat-rdp
    Rule collection type DNAT
    أولوية 100
    اسم القاعدة Allow-rdp
    نوع المصدر عنوان IP
    المصدر *
    البروتوكول TCP
    منافذ الوجهة 3389
    الوجهة عنوان IP العام لجدار الحماية المذكور سابقا.
    النوع المترجم عنوان IP
    Translated address عنوان IP الخاص ل Srv-Workload-01 المذكور سابقا.
    Translated port 3389

  14. حدد إضافة.

  15. أضف قاعدة شبكة حتى تتمكن من توصيل سطح المكتب البعيد من Srv-Workload-01 إلى Srv-Workload-02.

  16. حدد Add a rule collection وأدخل المعلومات التالية.

    الإعداد القيمة‬
    الاسم vnet-rdp
    Rule collection type شبكة
    أولوية 100
    Rule collection action السماح
    اسم القاعدة Allow-vnet
    نوع المصدر عنوان IP
    المصدر *
    البروتوكول TCP
    منافذ الوجهة 3389
    Destination Type عنوان IP
    الوجهة عنوان IP الخاص Srv-Workload-02 الذي لاحظته سابقا.

  17. حدد إضافة، ثم حدد التالي: IDPS.

  18. في صفحة IDPS ، حدد Next: Threat Intelligence

  19. في صفحة تحليل ذكي للمخاطر، اقبل الإعدادات الافتراضية وحدد مراجعة وإنشاء:

  20. راجع لتأكيد التحديد ثم حدد إنشاء.

سياسة الاقتران

إقران نهج جدار الحماية بالمركز.

  1. من Firewall Manager، حدد سياسات Azure Firewall.
  2. حدِّد خانة الاختيار لـ Policy-01.
  3. حدد إدارة الإقران، المراكز المقترنة.
  4. اختر hub-01.
  5. حدد إضافة.

توجيه حركة المرور إلى المركز الخاص بك

الآن يجب عليك التأكد من أن حركة نقل الشبكة يتم توجيهها عبر جدار الحماية لديك.

  1. من Firewall Manager، حدد المراكز الظاهرية.

  2. اختر hub-01.

  3. في الإعدادات، حدد تكوين الأمان.

  4. في حركة النقل على الإنترنت، حدد Azure Firewall.

  5. في حركة النقل الخاصة ، حدد إرسال عبر Azure Firewall.

    إشعار

    إذا كنت تستخدم نطاقات عناوين IP العامة للشبكات الخاصة في شبكة ظاهرية أو فرع محلي، فأنت بحاجة إلى تحديد بادئات عناوين IP هذه بشكل صريح. حدد قسم Private Traffic Prefixes ثم أضفها إلى جانب بادئات عنوان RFC1918.

  6. ضمن Inter-hub، حدد Enabled لتمكين ميزة هدف توجيه Virtual WAN. هدف التوجيه هو الآلية التي يمكنك من خلالها تكوين شبكة WAN الظاهرية لتوجيه نسبة استخدام الشبكة من فرع إلى فرع (محلي إلى محلي) عبر Azure Firewall المنشور في Virtual WAN Hub. لمزيد من المعلومات حول المتطلبات الأساسية والاعتبارات المرتبطة بميزة هدف التوجيه، راجع وثائق هدف التوجيه.

  7. حدد حفظ.

  8. حدد موافق في مربع الحوار تحذير.

  9. حدد موافق في مربع الحوار ترحيل لاستخدام بين لوحة الوصل .

    إشعار

    يستغرق تحديث جداول التوجيه بضع دقائق.

  10. تحقق من أن الاتصالين يظهران أن Azure Firewall يؤمن كلاً من الإنترنت وحركة النقل الخاصة.

اختبار جدار الحماية

لاختبار قواعد جدار الحماية، قم بتوصيل سطح مكتب بعيد باستخدام عنوان IP العام لجدار الحماية، وهو NATed إلى Srv-Workload-01. من هناك، استخدم متصفحا لاختبار قاعدة التطبيق وتوصيل سطح مكتب بعيد ب Srv-Workload-02 لاختبار قاعدة الشبكة.

اختبار التطبيق باستخدام القاعدة

الآن، اختبر قواعد جدار الحماية للتأكد من أنه يعمل على النحو المتوقع.

  1. ربط سطح المكتب البعيد بعنوان IP العام لجدار الحماية ثم تسجيل الدخول.

  2. افتح Internet Explorer واذهب إلى https://www.microsoft.com.

  3. حدد OK>Close على تنبيهات الأمان Internet Explorer.

    سترى صفحة Microsoft الرئيسية.

  4. استعرض إلى https://www.google.com.

    يجب أن يمنع جدار الحماية هذا.

حتى الآن قمت بالتحقق من أن قاعدة تطبيق جدار الحماية تعمل:

  • يمكنك التصفح للوصول إلى اسمح المجال المؤهل بالكامل (FQDN) المسموح به، ولكن ليس لأي مجالٍ آخر.

اختبار قاعدة الشبكة

اختبر قاعدة الشبكة الآن.

  • من Srv-Workload-01، افتح سطح مكتب البعيد على عنوان IP الخاص Srv-Workload-02.

    يجب أن يتصل سطح المكتب البعيد بـ Srv-Workload-02.

حتى الآن قمت بالتحقق من أن قاعدة شبكة جدار الحماية تعمل:

  • يمكنك توصيل سطح مكتب بعيد بخادم موجود في شبكة افتراضية أخرى.

تنظيف الموارد

عند انتهائك من اختبار موارد جدار الحماية، احذف مجموعة الموارد fw-manager-rg لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية

تعرف على شركاء الأمان الموثوق بهم