Azure Firewall Management NIC
إشعار
كانت هذه الميزة تسمى سابقا Forced Tunneling. في الأصل، كان NIC للإدارة مطلوبا فقط للنفق القسري. ومع ذلك، تتطلب بعض ميزات جدار الحماية القادمة أيضا إدارة NIC، لذلك تم فصلها عن Forced Tunneling. تم تحديث جميع الوثائق ذات الصلة لتعكس ذلك.
تفصل NIC إدارة جدار حماية Azure حركة مرور إدارة جدار الحماية عن نسبة استخدام الشبكة للعملاء. تتطلب بعض ميزات جدار الحماية القادمة أيضا إدارة NIC. لدعم أي من هذه الإمكانات، يجب إنشاء جدار حماية Azure مع تمكين NIC لإدارة جدار الحماية أو تمكينه على جدار حماية Azure موجود لتجنب تعطيل الخدمة.
ماذا يحدث عند تمكين Management NIC
إذا قمت بتمكين Management NIC، يوجه جدار الحماية حركة مرور الإدارة الخاصة به عبر AzureFirewallManagementSubnet (الحد الأدنى لحجم الشبكة الفرعية /26) بعنوان IP العام المقترن به. يمكنك تعيين عنوان IP العام هذا لجدار الحماية لإدارة نسبة استخدام الشبكة. يتم دمج جميع حركة المرور المطلوبة للأغراض التشغيلية لجدار الحماية في AzureFirewallManagementSubnet.
بشكل افتراضي، تربط الخدمة جدول مسار يوفره النظام بالشبكة الفرعية للإدارة. يكون المسار الوحيد المسموح به على هذه الشبكة الفرعية هو المسار الافتراضي إلى الإنترنت ويجب تعطيل مسارات نشر البوابة. تجنب إقران جداول توجيه العميل بالشبكة الفرعية للإدارة، حيث يمكن أن يؤدي ذلك إلى تعطيل الخدمة إذا تم تكوينها بشكل غير صحيح. إذا قمت بربط جدول توجيه، فتأكد من أن لديه مسارا افتراضيا إلى الإنترنت لتجنب انقطاع الخدمة.
تمكين Management NIC على جدران الحماية الموجودة
بالنسبة لإصدارات جدار الحماية القياسية والمميزة، يجب تمكين NIC لإدارة جدار الحماية يدويا أثناء عملية الإنشاء كما هو موضح سابقا، ولكن جميع إصدارات جدار الحماية الأساسي وجميع جدران حماية المركز الآمن دائما ما يتم تمكين Management NIC.
بالنسبة لجدار حماية موجود مسبقا، يجب إيقاف جدار الحماية ثم إعادة تشغيله مع تمكين Firewall Management NIC لدعم التوجيه النفقي القسري. يمكن استخدام إيقاف/بدء جدار الحماية لتمكين Firewall Management NIC دون الحاجة إلى حذف جدار حماية موجود وإعادة نشر جدار حماية جديد. يجب عليك دائما بدء تشغيل/إيقاف جدار الحماية أثناء ساعات الصيانة لتجنب الاضطرابات، بما في ذلك عند محاولة تمكين Firewall Management NIC.
استخدم الخطوات التالية:
AzureFirewallManagementSubnet
قم بإنشاء على مدخل Microsoft Azure واستخدم نطاق عناوين IP المناسب للشبكة الظاهرية.أنشئ عنوان IP العام للإدارة الجديد بنفس خصائص عنوان IP العام لجدار الحماية الحالي: SKU والطبقة والموقع.
إيقاف جدار الحماية
استخدم المعلومات الموجودة في الأسئلة المتداولة حول جدار حماية Azure لإيقاف جدار الحماية:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfw
ابدأ جدار الحماية باستخدام عنوان IP العام للإدارة والشبكة الفرعية.
بدء جدار حماية بعنوان IP عام واحد وعنوان IP عام للإدارة:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw | Set-AzFirewall
ابدأ جدار حماية بعنواني IP عامين وعنوان IP عام للإدارة:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip) $azfw | Set-AzFirewall
إشعار
يجب إعادة تخصيص جدار حماية و عنوان IP عام إلى مجموعة الموارد الأصلية والاشتراك. عند تنفيذ الإيقاف/البدء، قد يتغير عنوان IP الخاص بجدار الحماية إلى عنوان IP مختلف داخل الشبكة الفرعية. يمكن أن يؤثر هذا على اتصال جداول التوجيه التي تم تكوينها مسبقا.
الآن عند عرض جدار الحماية في مدخل Microsoft Azure، سترى عنوان IP العام للإدارة المعين:
إشعار
إذا قمت بإزالة جميع تكوينات عنوان IP الأخرى على جدار الحماية الخاص بك، تتم إزالة تكوين عنوان IP للإدارة أيضا، ويتم إلغاء تخصيص جدار الحماية. لا يمكن إزالة عنوان IP العام المعين لتكوين عنوان IP للإدارة، ولكن يمكنك تعيين عنوان IP عام مختلف.
نشر جدار حماية Azure جديد مع Management NIC للنفق القسري
إذا كنت تفضل نشر جدار حماية Azure جديد بدلا من أسلوب الإيقاف/البدء، فتأكد من تضمين شبكة فرعية للإدارة وNIC للإدارة كجزء من التكوين الخاص بك.
ملاحظة هامة
- جدار حماية واحد لكل شبكة ظاهرية (VNET): نظرا لأنه لا يمكن وجود جداري حماية داخل نفس الشبكة الظاهرية، فمن المستحسن حذف جدار الحماية القديم قبل بدء النشر الجديد إذا كنت تخطط لإعادة استخدام نفس الشبكة الظاهرية.
- إنشاء الشبكة الفرعية مسبقا: تأكد من إنشاء AzureFirewallManagementSubnet مسبقا لتجنب مشكلات النشر عند استخدام شبكة ظاهرية موجودة.
المتطلبات المسبقه
-
إنشاء AzureFirewallManagementSubnet:
- الحد الأدنى لحجم الشبكة الفرعية: /26
- مثال: 10.0.1.0/26
خطوات التوزيع
- انتقل إلى Create a Resource في مدخل Microsoft Azure.
- ابحث عن جدار الحماية وحدد إنشاء.
- في صفحة إنشاء جدار حماية، قم بتكوين الإعدادات التالية:
- Subscription: حدد اشتراكك.
- مجموعة الموارد: حدد مجموعة موارد جديدة أو أنشئها.
- الاسم: أدخل اسما لجدار الحماية.
- المنطقة: اختر منطقتك.
- Firewall SKU: حدد Basic أو Standard أو Premium.
-
الشبكة الظاهرية: إنشاء شبكة ظاهرية جديدة أو استخدام شبكة موجودة.
- مساحة العنوان: على سبيل المثال، 10.0.0.0/16
- الشبكة الفرعية ل AzureFirewallSubnet: على سبيل المثال، 10.0.0.0/26
-
عنوان IP العام: إضافة IP عام جديد
- الاسم: على سبيل المثال، FW-PIP
- Firewall Management NIC
- حدد Enable Firewall Management NIC
- الشبكة الفرعية ل AzureFirewallManagementSubnet: على سبيل المثال، 10.0.1.0/24
- إنشاء عنوان IP عام للإدارة: على سبيل المثال، Mgmt-PIP
- حدد Enable Firewall Management NIC
- حدد Review + Create للتحقق من صحة جدار الحماية ونشره. يستغرق هذا الأمر بضع دقائق للنشر.