عرض توضيحي: مجموعات أمان الشبكة (NSGs) في Azure

يعيّن هذا العرض التوضيحي محتوى Learn التالي:

  • مسار التعليم: وصف إمكانات حلول الأمان من Microsoft
  • الوحدة النمطية: وصف إمكانات الأمان الأساسية في Azure
  • الوحدة: وصف مجموعات أمان شبكة Azure

سيناريو العرض التوضيحي

في هذا العرض التوضيحي، ستستكشف وظيفة مجموعات أمان الشبكة في Azure وتطبق مجموعة أمان الشبكة على جهاز ظاهري تم إنشاؤه مسبقًا. ستبدأ بعرض معلومات موجزة حول الجهاز الظاهري الذي تم إنشاؤه مسبقًا من قبل مضيف معملي معتمد (ALH). بعد ذلك، باستخدام مجموعة أمان الشبكة التي تم إعدادها كجزء من الإعداد السابق للعرض التجريبي، ستعرض المعلمات الأساسية لمجموعة أمان الشبكة والقواعد الافتراضية الواردة والصادرة. ستقوم بتعيين واجهة جهاز ظاهري إلى مجموعة NSG، وإنشاء قاعدة RDP جديدة للسماح بالاتصال بالجهاز الظاهري، وأخيرا ستختبرها.

العرض التوضيحي - الجزء 1

في هذا الجزء، ستقوم بعرض بعض المعلمات المقترنة بالجهاز الظاهري التي تم إنشاؤها كجزء من العرض التوضيحي للإعداد (DEMO_00_pre_demo_setup.md).

  1. افتح مستعرض Microsoft Edge. في شريط العناوين، أدخل https://portal.azure.com وسجل الدخول باستخدام بيانات اعتماد Azure التي يوفرها مضيف النشاط المعملي المعتمد (ALH). ينقلك ذلك إلى الصفحة الرئيسية لخدمات Azure.

  2. أدخل الأجهزة الظاهرية في حقل البحث أعلى الصفحة وحدد الأجهزة الظاهرية من النتائج.

  3. من صفحة Virtual machines، حدد الجهاز الظاهري المدرج SC900-WinVM. ينبغي أن يكون هذا الجهاز الظاهري قد تم إنشاؤه كجزء من الإعداد السابق للعرض التجريبي. وإذا لم يكن مدرجًا، قم بإنشائه الآن.

  4. أنت الآن في صفحة SC900-WinVM. لاحظ بعض المعلومات الأساسية حول الجهاز الظاهري.

  5. من لوحة التنقل اليسرى، حدد Networking.
    1. طريقة العرض الافتراضية هي inbound port rules. لاحظ أنه لم يتم تكوين مجموعات أمان الشبكة لواجهة الشبكة لهذا الجهاز الظاهري. وينطبق الشيء نفسه إذا حددت Outbound port rules.
    2. حدد Effective security rules بجوار المكان المذكور فيه Network interface. لاحظ أنه مذكور “No network security groups or applications security groups are associated with the network interface”.

  6. ملاحظة لمقدم العرض، إذا كنت ستحاول التحقق من حالة المنفذ على صفحة الاتصال، فستتلقى رسالة “يتعذر التحقق”. وهذا لا يعني بالضرورة أن المنافذ غير معرَّضة. كما ستلاحظ عند اتخاذ نفس الإجراء مجموعة NSG المعيَّنة، تحصل على “يتعذر الوصول إليها” مما يشير إلى حظر حركة البيانات على هذا المنفذ.

  7. اترك علامة تبويب المستعرض هذه مفتوحة.

العرض التوضيحي - الجزء 2

في هذا الجزء، ستقوم بتعيين واجهة لمجموعة أمان الشبكة (NSG)، وستتحدث عن القواعد الافتراضية الواردة والصادرة التي توضح كيفية عمل القواعد. كجزء من الإعداد السابق للعرض التجريبي، يجب تعيين واجهة شبكة الجهاز الظاهري إلى مجموعة أمان الشبكة هذه وإنشاء قاعدة وارد جديدة لحركة بيانات RDP.

  1. افتح علامة تبويب مستعرض جديدة إلى مدخل Microsoft Azure (portal.azure.com) وفي شريط البحث الأزرق أعلى الصفحة، أدخل مجموعات أمان الشبكة. من النتائج، حدد Network security groups (لا تحدد Network security groups classic).

  2. حدد مجموعة NSG التي تم إنشاؤها كجزء من الإعداد السابق للعرض التجريبي. إذا لم تقم بإنشائها مسبقًا، فقم بذلك الآن. حدد إنشاء مجموعة أمان الشبكة وحدد الإعدادات التالية:
    1. الاشتراك: اترك القيمة الافتراضية (هذا هو اشتراك Azure الذي يوفره مضيف النشاط المعملي المعتمد)
    2. مجموعة الموارد: LabsSC900 (نفس مجموعة الموارد المستخدمة من قبل الجهاز الظاهري).
    3. الاسم: NSG-SC900
    4. المنطقة: اترك الإعداد الافتراضي.
    5. حدد مراجعة + إنشاء، ثم حدد إنشاء.
    6. بمجرد اكتمال النشر (يحدث هذا بسرعة كبيرة)، حدد الانتقال إلى المورد.

  3. في أعلى الصفحة أسفل المكان المذكور فيه Essentials، سترى بعض المعلومات الأساسية حول مجموعة أمان الشبكة التي أنشأتها. نقطتان يجب ملاحظتها هما أنه لا توجد قواعد “أمان مخصصة” ولا توجد شبكات فرعية ولا واجهات شبكة مرتبطة بمجموعة أمان الشبكة هذه. على الرغم من عدم وجود قواعد أمان مخصصة، إلا أن هناك قواعد افتراضية للوارد والصادر مضمنة مع كل مجموعة أمان شبكة، كما هو موضح في الصفحة. راجع قواعد الوارد والصادر. ترفض قواعد الوارد الافتراضية جميع عمليات نقل البيانات الواردة التي ليست من شبكة ظاهرية أو Azure load balancer. ترفض قواعد الصادر جميع عمليات نقل البيانات الصادرة باستثناء عمليات نقل البيانات بين الشبكات الظاهرية وعمليات نقل البيانات الصادرة إلى الإنترنت.

  4. من جزء التنقّل الأيسر في صفحة NSG-SC900، ضمن Settings، حدد Network interfaces.
    1. حدد + Associate.
    2. في حقل network interface associations، حدد السهم لأسفل، وحدد sc900-winvmXXX، ثم حدد ok في أسفل النافذة. بمجرد ربط الواجهة بمجموعة أمان الشبكة، ستظهر في القائمة.
  5. إرجاع الجهاز الظاهري عن طريق تحديد علامة تبويب المستعرض للجهاز الظاهري. ينبغي الآن أن ترى أن هناك مجموعة NSG مرفقة بواجهة الجهاز الظاهري. ويُعرض جدول قواعد منفذ الوارد. ترفض قواعد الوارد الافتراضية جميع عمليات نقل البيانات الواردة التي ليست من شبكة ظاهرية أو Azure load balancer. لاختبار هذا، تحقق من الحالة على منفذ RDP، 3389.
    1. من أعلى الصفحة، حدد “اتصال” ثم حدد “التحقق من الوصول” للمنفذ 3389 (RDP)، وسترى “يتعذر الوصول إليه”.
    2. على الرغم من أنك تختبر مقابل منفذ RDP 3389 فقط، تُحظر كل حركة بيانات شبكة الوارد التي ليست من شبكة ظاهرية أخرى أو موازن تحميل آخر.
  6. سترغب الآن في إنشاء قاعدة جديدة للسماح بحركة البيانات الواردة على منفذ RDP. من جزء التنقل الأيسر، حدد “الشبكات”. يجب عرض جدول قواعد منفذ الوارد (علامة التبويب “قواعد منفذ الوارد” تحتها سطر). من الجانب الأيمن من الصفحة، حدد إضافة قاعدة منفذ وارد: هناك نقطة مهمة يجب توضيحها وهي أنه لا يمكنك إزالة القواعد الافتراضية، ولكن يمكنك تجاوزها عن طريق إنشاء قواعد ذات أولويات أعلى. في نافذة «Add inbound security rule»، حدد الإعدادات التالية:
    1. المصدر: أي
    2. نطاقات منفذ المصدر: *
    3. الوجهة: أي
    4. الخدمة: RDP
    5. الإجراء: سماح
    6. Priority: 1000؛ ملاحظة: القواعد ذات الأرقام الأقل لها أولوية أعلى وتتم معالجتها أولاً.
    7. Name: اترك الاسم الافتراضي أو أنشئ الاسم الوصفي الخاص بك.
    8. لاحظ علامة التحذير في أسفل الصفحة. نحن نستخدم RDP فقط لأغراض الاختبار ولتوضيح وظائف مجموعة أمان الشبكة.
    9. حدد إضافة
  7. بمجرد توفير القاعدة، ستظهر في قائمة القواعد الواردة (قد تحتاج إلى تحديث الشاشة).

العرض التوضيحي - الجزء 3

مع مجموعة أمان الشبكة المقرونة بجهازك الظاهري وقاعدة RDP التي تم إنشاؤها، ستعرض مجموعة أمان الشبكة عن طريق اختبار اتصال RDP بالجهاز الظاهري.

  1. افتح علامة تبويب SC900-WinVM – Microsoft Azure في المستعرض.

  2. حدد اتصال من لوحة التنقل اليسرى.
    1. يمكنك ببساطة تحديد التحقق من الوصول. يجب أن تظهر الحالة على أنها “يمكن الوصول إليها”. أو، إذا كان لديك وقت، يمكنك الاتصال بالجهاز الظاهري عن طريق فتح مثيل لاتصال سطح المكتب البعيد على Windows. سيفتح هذا الخيار الجهاز الظاهري عند الاتصال به بنجاح. وفيما يلي الخطوات:
      1. في شريط البحث في Windows، أدخل اتصال سطح المكتب البعيد ثم حدد فتح.
      2. في الحقل بجوار المكان الذي يظهر فيه الكمبيوتر، أدخل عنوان IP العام لجهازك الظاهري.
      3. بمجرد إدخال عنوان IP، يجب أن يظهر اسم المستخدم أسفل الحقل الذي أدخلت فيه عنوان IP. إذا لم يكن الأمر كما هو، فقم بتوسيع “عرض الخيارات” وأدخل اسم المستخدم للجهاز الظاهري الخاص بك، ثم حدد “الاتصال”.
      4. تفتح نافذة اتصال سطح المكتب البعيد تشير إلى أنه لا يمكن التحقق من هوية الكمبيوتر البعيد. هل ترغب في الاتصال على أي حال؟ حدد نعم.
      5. أنت الآن متصل بالجهاز الظاهري. وضّح للمتعلم أنه في هذه الحالة كان بإمكانك الاتصال بالجهاز الظاهري لأن قاعدة نسبة استخدام الشبكة الواردة التي أنشأتها تسمح بنسبة استخدام الشبكة الواردة إلى الجهاز الظاهري عبر بروتوكول سطح المكتب البعيد (RDP).
      6. صغّر الجهاز الظاهري، عن طريق تحديد التسطير السفلي _ في علامة التبويب الزرقاء التي تعرض عنوان IP الخاص بالجهاز الظاهري. وهذا يعيدك إلى صفحة SC900-WinVM Connect.

  3. من لوحة التنقل اليسرى، حدد “الشبكات” ثم من النافذة الرئيسية، حدد قواعد منفذ الصادر. تحدث عن قواعد الصادر الافتراضية. تسمح القواعد الافتراضية بحركة بيانات الشبكة الظاهرية الصادرة من أي شبكة ظاهرية إلى أي شبكة ظاهرية أخرى وتسمح بحركة بيانات الإنترنت الصادرة. يتم رفض أي نوع آخر من حركة البيانات الصادرة. لا يمكنك إزالة القاعدة الافتراضية، ولكن يمكنك تجاوزها عن طريق إنشاء قاعدة ذات أولوية أعلى بنفس الطريقة التي أنشأت بها قاعدة الوارد.

  4. إذا سمح المؤقت وترغب في استعراض خطوات مماثلة لحركة البيانات الصادرة، فانتقل إلى جزء العرض التوضيحي الاختياري المدرج أدناه. بخلاف ذلك، اخرج من الجهاز الظاهري، ولكن احتفظ بعلامة تبويب Azure مفتوحة على المستعرض للعرض التوضيحي التالي.

عرض توضيحي اختياري - الجزء 4

في هذا الجزء، سوف تظهر قواعد الصادر الحالية لمجموعة NSG التي تسمح بحركة بيانات الإنترنت الصادرة، من الجهاز الظاهري. ثم ستقوم بإنشاء قاعدة لمنع حركة مرور الإنترنت الصادرة من الجهاز الظاهري، وأخيرا، سوف تظهر تأثير القاعدة التي تم إنشاؤها حديثا عن طريق محاولة الوصول إلى الإنترنت من الجهاز الظاهري.

  1. افتح الجهاز الظاهري الذي قمت بتصغيره في الخطوة السابقة. ستعرض هنا اتصال الإنترنت الخارجي بالإنترنت، والذي يتم تمكينه بواسطة إحدى القواعد الخارجية الافتراضية. بمجرد فتح الجهاز الظاهري وتسجيل الدخول كمستخدم، حدد Microsoft Edge لفتح المستعرض. نظرًا لأن هذه هي المرة الأولى التي تفتح فيها Microsoft Edge، فقد تحصل على نافذة منبثقة، حدد Start without your data، ثم حدد Continue without this data، ثم حدد Confirm and start browsing.
    1. أدخِل www.bing.com في شريط عنوان المستعرض وتأكد من قدرتك على الاتصال بمحرك البحث.
    2. بمجرد التأكد من أنه يمكنك الوصول إلى www.bing.com، أغلق نافذة المستعرض في الجهاز الظاهري، ولكن اترك الجهاز الظاهري مفتوحًا.
  2. صغّر الجهاز الظاهري، عن طريق تحديد التسطير السفلي _ في علامة التبويب الزرقاء التي تعرض عنوان IP الخاص بالجهاز الظاهري. وهذا يعيدك إلى صفحة SC900-WinVM Connect.

  3. من لوحة التنقل اليسرى، حدد Networking.

  4. حدد علامة التبويب Outbound port rules. سترى قواعد الصادر الافتراضية. لاحظ القاعدة الافتراضية “AllowInternetOutBound”. تسمح هذه القاعدة بكل حركة الإنترنت الصادرة. لا يمكنك إزالة القاعدة الافتراضية، ولكن يمكنك تجاوزها بإنشاء قواعد ذات أولويات أعلى. من الجانب الأيمن من الصفحة، حدد إضافة قاعدة منفذ الصادر.

  5. في صفحة إضافة قاعدة أمان الصادر، حدد الإعدادات التالية:
    1. المصدر: أي
    2. نطاقات منفذ المصدر: *
    3. الوجهة: علامة خدمة
    4. علامة خدمة الوجهة: الإنترنت
    5. الخدمة: مخصص (اترك الإعداد الافتراضي)
    6. نطاقات منفذ الوجهة: * (تأكد من وضع علامة النجمة في حقل نطاقات منفذ الوجهة)
    7. البروتوكول أي.
    8. الإجراء: الرفض
    9. Priority: 1000
    10. Name: اترك الاسم الافتراضي أو أنشئ الاسم الوصفي الخاص بك.
    11. حدد إضافة

  6. بمجرد توفير القاعدة، ستظهر في قائمة قواعد الصادر. على الرغم من ظهوره في القائمة، إلا أنه سيستغرق بضع دقائق حتى يصبح ساريًا (انتظر بضع دقائق قبل متابعة الخطوات التالية).

  7. ارجع إلى الجهاز الظاهري (يجب عرض أيقونة الجهاز الظاهري على شريط المهام أسفل الصفحة).

  8. افتح مستعرض Microsoft Edge على جهازك الظاهري وأدخِل www.bing.com. لا ينبغي عرض الصفحة. ملاحظة: إذا كنتَ قادرًا على الاتصال بالإنترنت وتحققتَ من تعيين جميع معلمات قاعدة الصادر بشكلٍ صحيح، فمن المحتمل أن يستغرق الأمر بضع دقائق حتى تصبح القاعدة سارية المفعول. أغلق المستعرض، انتظر بضع دقائق وحاول مرة أخرى. ملاحظة: قد تواجه اشتراكات Azure في بيئة المختبر تأخيرات أطول من المعتاد.

  9. أغلق اتصال سطح المكتب البعيد، عن طريق تحديد X في أعلى منتصف الصفحة حيث يظهر عنوان IP. تظهر نافذة منبثقة تظهر Your remote session will be disconnected. حدد موافق.

  10. احتفظ بعلامة تبويب Azure مفتوحة على المستعرض لأغراض عرض Azure التوضيحي التالي.

المراجعة

في هذا العرض التوضيحي، استعرضتَ المعلومات والإعدادات المرتبطة بمجموعة أمان الشبكة، بما في ذلك عملية ربط واجهة بمجموعة أمان الشبكة، واستعرضتَ قواعد الوارد والصادر الافتراضية وأخيرًا خطوات إنشاء قاعدة جديدة.