البرنامج التعليمي: تصفية حركة مرور الإنترنت أو الإنترانت الواردة باستخدام نهج Azure Firewall DNAT باستخدام مدخل Microsoft Azure

يمكنك تكوين نهج Azure Firewall ترجمة عنوان الشبكة الوجهة (DNAT) لترجمة وتصفية حركة مرور الإنترنت أو الإنترانت (معاينة) الواردة إلى الشبكات الفرعية. عند تكوين ترجمة عنوان الشبكة الوجهة (DNAT)، يجري تعيين إجراء مجموعة قواعد على DNAT. يمكن بعد ذلك استخدام كل قاعدة في مجموعة قواعد NAT لترجمة عنوان IP العام أو الخاص لجدار الحماية والمنفذ إلى عنوان IP خاص ومنفذ. تضيف قواعد DNAT ضمنياً قاعدة شبكة مقابلة للسماح بحركة البيانات المترجمة. لأسباب أمنية، النهج الموصى به هو إضافة مصدر محدد للسماح بوصول DNAT إلى الشبكة وتجنب استخدام أحرف البدل. لمعرفة المزيد عن منطق معالجة قاعدة Azure Firewall، راجع منطق معالجة قاعدة Azure Firewall.

في هذا البرنامج التعليمي، تتعلم كيفية:

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إنشاء مجموعة موارد

1. قم بتسجيل الدخول إلى بوابة Azure.
2. في الصفحة الرئيسية لمدخل Microsoft Azure، حدد مجموعات الموارد، وحدد Add.
3. بالنسبة لـ "Subscription"، حدد اشتراكك.
4. بالنسبة إلى Resource group name، اكتب RG-DNAT-Test.
5. لأجل Region: حدد منطقة. يجب أن تكون جميع الموارد الأخرى التي تقوم بإنشائها في نفس المنطقة.
6. حدد "Review + create".
7. حدد إنشاء.

إعداد بيئة شبكة اختبار

في هذا البرنامج التعليمي، يمكنك إنشاء شبكتين ظاهريتين مقترنتين:

• VNet-Hub - جدار الحماية موجود في الشبكة الظاهرية هذه.
• Workload-SN - خادم عبء العمل موجود في الشبكة الظاهرية هذه.

أنشئ الشبكات الظاهرية أولاً، ثم قم بإقرانها.

إنشاء محور الشبكة الظاهرية

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

2. ضمن إنشاء الشبكات، حدد Virtual networks.

3. حدد إضافة.

4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

5. بالنسبة إلى الاسم، اكتب VN-Hub.

6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.

7. حدد "Next: IP addresses".

8. لأجل IPv4 Address space، اقبل الافتراضي 10.0.0.0/16.

9. ضمن اسم الشبكة الفرعية، اختر افتراضي.

10. حرر اسم الشبكة الفرعية واكتب AzureFirewallSubnet".

    جدار الحماية سيكون في هذه الشبكة الفرعية، واسم الشبكة الفرعية must أن يكون AzureFirewallSubnet.

    إشعار

    حجم الشبكة الفرعية AzureFirewallSubnet هو /26. لمزيد من المعلومات عن حجم الشبكة الفرعية، راجع الأسئلة المتداولة عن Azure Firewall.

11. بالنسبة لـ "Subnet address range"، اكتب "10.0.1.0/26".

12. حدد حفظ.

13. حدد "Review + create".

14. حدد إنشاء.

إنشاء شبكة Spoke الافتراضية

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".
2. ضمن إنشاء الشبكات، حدد Virtual networks.
3. حدد إضافة.
4. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
5. بالنسبة إلى الاسم، اكتب VN-Spoke.
6. بالنسبة إلى المنطقة، حدد نفس المنطقة التي استخدمتها سابقاً.
7. حدد "Next: IP addresses".
8. بالنسبة إلى مساحة عنوان IPv4، حرر الافتراضي واكتب 192.168.0.0/16.
9. حدد Add subnet.
10. بالنسبة إلى اسم الشبكة الفرعية، اكتب SN-Workload.
11. بالنسبة إلى نطاق عنوان الشبكة الفرعية، اكتب 192.168.1.0/24.
12. حدد إضافة.
13. حدد "Review + create".
14. حدد إنشاء.

نظير الشبكة الظاهرية

الآن قم بإقران الشبكتين الافتراضيتين.

1. حدد الشبكة الظاهرية VN-Hub.
2. ضمن الإعدادات، حدد Peerings.
3. حدد إضافة.
4. ضمن هذه الشبكة الظاهرية، بالنسبة إلى Peering link name، اكتب Peer-HubSpoke.
5. Under الشبكة الظاهرية البعيدة، بالنسبة إلى Peering link name، اكتب Peer-SpokeHub.
6. حدد VN-Spoke باعتبارها شبكة ظاهرية.
7. اقبل جميع الإعدادات الافتراضية الأخرى، ثم حدد Add.

إنشاء جهاز ظاهري

أنشئ جهازاً ظاهرياً لحمل العمل، وضعه في الشبكة الفرعية Workload-SN.

1. من قائمة مدخل Azure، حدد إنشاء مورد.
2. ضمن "Popular"، حدد "Windows Server 2016 Datacenter".

الأساسيات

1. بالنسبة لـ "Subscription"، حدد اشتراكك.
2. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.
3. بالنسبة إلى Virtual machine name، اكتب Srv-Workload.
4. بالنسبة للمنطقة Region، حدد نفس الموقع الذي استخدمته سابقاً.
5. اكتب اسم المستخدم وكلمة المرور.
6. حدد التالي: الأقراص .

اقراص

1. حدد Next: Networking.

التواصل الشبكي

1. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".
2. ضمن الشبكة الفرعية، حدد SN-Workload.
3. بالنسبة لـPublic IP، اخترNone.
4. ضمن المنافذ العامة الواردة، حدد None.
5. اترك الإعدادات الافتراضية الأخرى وحدد Next: Management.

الإدارة

1. ضمن تشخيصات التمهيد، حدد تعطيل.
2. حدد "استعراض + إنشاء".

مراجعة + إنشاء

راجع الملخص، ثم حدّد Create. سيستغرق ذلك بضع دقائق لإكماله.

بعد انتهاء التوزيع، لاحظ عنوان IP الخاص للجهاز الظاهري. سيتم استخدامه لاحقاً عند تكوين جدار الحماية. حدد اسم الجهاز الظاهري، وضمن Settings، حدد Networking للعثور على عنوان IP الخاص.

نشر جدار الحماية والنهج

1. من الصفحة الرئيسية للمدخل، حدد Create a resource.

2. ابحث عن Firewallثم حدد Firewall.

3. حدد إنشاء.

4. في صفحة إنشاء Firewall ، استخدم الجدول التالي لتكوين جدار الحماية:

   الإعداد	القيمة‬
   الاشتراك	<اشتراكك>
   مجموعة الموارد	تحديد RG-DNAT-Test
   الاسم	FW-DNAT-test
   المنطقة	حدد الموقع نفسه الذي استخدمته سابقًا
   Firewall management	Use a Firewall Policy to manage this firewall
   نهج جدار الحماية	أضف الجديد: fw-dnat-pol منطقتك المحددة
   اختر شبكة ظاهرية	استخدم الموجود: VN-Hub
   عنوان IP العام	إضافة جديد، الاسم: fw-pip.

5. اقبل الإعدادات الافتراضية الأخرى وحدد Review + create.

6. راجع الملخص، ثم حدد إنشاء لإنشاء جدار الحماية.

   يستغرق هذا الأمر بضع دقائق للنشر.

7. بعد اكتمال النشر، انتقل إلى مجموعة موارد RG-DNAT-Test، وحدد جدار الحماية FW-DNAT-test.

8. لاحظ عناوين IP الخاصة والعامة لجدار الحماية. ستستخدمها لاحقاً عند إنشاء المسار الافتراضي وقاعدة NAT.

إنشاء مسار افتراضي

بالنسبة إلى الشبكة الفرعية SN-Workload، يمكنك تكوين المسار الافتراضي الصادر للانتقال عبر جدار الحماية.

1. من الصفحة الرئيسية لمدخل Microsoft Azure، اختر "جميع الخدمات".

2. ضمن الشبكات، حدد Route tables.

3. حدد إضافة.

4. بالنسبة لـ "Subscription"، حدد اشتراكك.

5. بالنسبة إلى مجموعة الموارد، حدد RG-DNAT-Test.

6. بالنسبة للمنطقة Region، حدد نفس المنطقة التي استخدمتها سابقاً.

7. بالنسبة إلى الاسم، اكتب RT-FW-route.

8. حدد "Review + create".

9. حدد إنشاء.

10. حدد الانتقال إلى المورد.

11. حدد الشبكات الفرعية، ثم حدد Associate.

12. بالنسبة إلى الشبكة الظاهرية، حدد " VNet-hub".

13. ضمن الشبكة الفرعية، حدد SN-Workload.

14. حدد موافق.

15. حدد مسارات، ثم حدد إضافة.

16. لأجل Route name، اكتب fw-dg.

17. بالنسبة إلى بادئة العنوان، اكتب 0.0.0.0/0.

18. بالنسبة إلى Next hop type، حدد Virtual appliance.

    يعد Azure Firewall في الواقع خدمة مُدارة، لكن الجهاز الظاهري يعمل في هذه الحالة.

19. بالنسبة إلى Next hop address، اكتب عنوان IP الخاص بجدار الحماية الذي لاحظته سابقاً.

20. حدد موافق.

تكوين قاعدة NAT

تسمح لك هذه القاعدة بتوصيل سطح مكتب بعيد بالجهاز الظاهري Srv-Workload من خلال جدار الحماية.

1. افتح مجموعة الموارد RG-DNAT-Test، وحدد نهج جدار الحماية fw-dnat-pol.
2. ضمن الإعدادات، حدد قواعد DNAT.
3. حدد Add a rule collection.
4. بالنسبة إلى Name، حدد rdp.
5. لأجل Priority، اكتب 200.
6. بالنسبة إلى مجموعة جمع القاعدة، حدد DefaultDnatRuleCollectionGroup.
7. ضمن قواعد، بالنسبة لـ Name، اكتب rdp-nat.
8. بالنسبة لـ " Source type"، حدد " IP address".
9. بالنسبة إلى Source، اكتب *.
10. بالنسبة لـ Protocol، اختر TCP.
11. بالنسبة لـ " Destination Ports"، اكتب " 3389".
12. بالنسبة لـ Destination Type، أدخل IP Address.
13. بالنسبة إلى الوجهة، اكتب عنوان IP العام أو الخاص لجدار الحماية.
14. لأجل العنوان المترجم، اكتب عنوان IP الخاص Srv-work.
15. بالنسبة إلى المدخل المترجم، اكتب 3389.
16. حدد إضافة.

اختبار جدار الحماية

1. قم بتوصيل سطح مكتب بعيد بعنوان IP العام لجدار الحماية. يجب أن تكون متصلاً بالجهاز الظاهري Srv-Workload.
2. أغلق سطح المكتب البعيد.

تنظيف الموارد

يمكنك الاحتفاظ بموارد جدار الحماية لديك بالنسبة إلى البرنامج التعليمي التالي، أو إذا لم تعد هناك حاجة إلى هذا، فاحذف مجموعة الموارد RG-DNAT-Test لحذف جميع الموارد المتعلقة بجدار الحماية.

الخطوات التالية