تكوين جدار حماية Azure لحماية الشبكة المتقدمة

08/08/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين واستخدام Azure Firewall لحماية الشبكة المتقدمة. Azure Firewall عبارة عن خدمة أمان شبكة مُدارة وقائمة على السحابة توفر الحماية من التهديدات من الطبقة الرابعة والطبقة السابعة لموارد شبكة Azure، مما يتيح مركزية التحكم في الشبكة وتنفيذ سياسات الأمان المتسقة عبر البيئات السحابية [1].

مقدمة

في المشهد السحابي المتنامي باستمرار، يعد أمان الشبكة ركيزة أساسية لحماية التطبيقات والبيانات. يوفر Azure Firewall حلاً قويًا لفحص حركة مرور الشبكة والتحكم فيها، حيث يعمل كنقطة مركزية لتطبيق سياسات الأمان. إنه يتجاوز مجموعات أمان الشبكة الأساسية (NSGs) من خلال توفير ميزات متقدمة مثل تصفية حركة المرور المستندة إلى اسم المجال المؤهل بالكامل (FQDN)، وذكاء التهديدات، ونظام كشف التسلل ومنعه (IDPS)، وفحص TLS، مما يجعله ضروريًا لبنيات الشبكة الآمنة في Azure، خاصة في نماذج Hub-and-Spoke [2].

سيغطي هذا الدليل العملي نشر جدار حماية Azure، وتكوين قواعد الشبكة والتطبيقات، وتمكين معلومات التهديدات وIDPS، والتكامل مع خدمات Azure الأخرى، وأفضل الممارسات لإدارة الشبكة. سيتم توفير إرشادات خطوة بخطوة، مثل أوامر Azure CLI، والأمثلة حتى يتمكن القارئ من تنفيذ استراتيجية فعالة لحماية الشبكة والتحقق من صحتها، مما يقلل من سطح الهجوم ويعزز المرونة السيبرانية للبنية التحتية Azure الخاصة به.

ما سبب أهمية جدار حماية Azure لحماية الشبكة المتقدمة؟

• تصفية حركة المرور المتقدمة: تتيح لك تصفية حركة مرور الشبكة استنادًا إلى عناوين IP والمنافذ والبروتوكولات ونطاقات FQDN وعناوين URL، مما يوفر تحكمًا دقيقًا.
• الاستخبارات المتعلقة بالتهديدات: تعمل تلقائيًا على حظر حركة المرور من وإلى النطاقات الضارة المعروفة وعناوين IP استنادًا إلى خلاصات المعلومات المتعلقة بالتهديدات من Microsoft.
• IDPS (نظام كشف التسلل ومنعه): يكتشف ويحظر الهجمات المستندة إلى التوقيع في الوقت الفعلي، بما في ذلك عمليات استغلال الثغرات الأمنية والبرامج الضارة.
• فحص TLS: يفك تشفير حركة مرور TLS/SSL الصادرة لفحص التهديدات المخفية وفرض سياسات الأمان، وإعادة تشفيرها قبل إرسالها إلى الوجهة.
• النشر المركزي: يمكن نشره في شبكة افتراضية مركزية لحماية الشبكات الافتراضية المتعددة المتحدثين، مما يؤدي إلى تبسيط الإدارة وتنفيذ السياسات.
• إتاحة عالية وقابلية للتوسع: إنها خدمة مُدارة بالكامل، مع توفر متكامل عالي وقابلية للتوسع التلقائي للتعامل مع الارتفاعات الكبيرة في حركة المرور.
• تكامل النظام البيئي Azure: يتكامل بسلاسة مع Azure Monitor وAzure Sentinel وAzure Firewall Manager للمراقبة والتحليل والإدارة المركزية.

المتطلبات الأساسية

لتكوين جدار حماية Azure لحماية الشبكة المتقدمة، ستحتاج إلى العناصر التالية:

1. اشتراك Azure النشط: اشتراك Azure لإنشاء الموارد وإدارتها.
2. الوصول الإداري: حساب بدور "المالك" أو "المساهم" في اشتراك Azure، أو في مجموعة الموارد حيث سيتم نشر جدار الحماية وVNets.
3. Azure Virtual Networks (VNets): شبكة VNet واحدة على الأقل لنشر جدار حماية Azure ومن الناحية المثالية بنية Hub-and-Spoke للعرض التوضيحي.
4. اختياري: الأجهزة الافتراضية (VMs): الأجهزة الافتراضية المنتشرة في شبكات VNets الناطقة لاختبار قواعد جدار الحماية.
5. Azure CLI أو Azure PowerShell: أدوات سطر الأوامر المثبتة والمكونة للتفاعل مع Azure.

خطوة بخطوة: تكوين جدار الحماية Azure للحماية المتقدمة

لنقم بنشر جدار حماية Azure وتكوين ميزاته الرئيسية.

1. إعداد بنية المحور والمحور

تعد بنية Hub-and-Spoke عبارة عن هيكل شبكة شائع في Azure، حيث تحتوي شبكة VNet المحورية على خدمات مشتركة (مثل Azure Firewall) وتحتوي شبكات VNets الناطقة على أحمال العمل. يتم توجيه حركة المرور بين المتحدث والإنترنت من خلال المحور.

1. إنشاء مجموعة موارد: قم بإنشاء مجموعة موارد لجميع الموارد. باش إنشاء مجموعة من الألف إلى الياء - اسم RG-Firewall-Artigos - موقع eastus
2. ** أنشئ VNet Hub**: قم بإنشاء شبكة VNet للمركز باستخدام شبكة فرعية مخصصة لجدار حماية Azure (AzureFirewallSubnet). باش إنشاء شبكة vnet --اسم VNet-Hub --resource-group RG-Firewall-Artigos --address-prefix 10.0.0.0/16 --location eastus إنشاء شبكة فرعية من الألف إلى الياء - اسم AzureFirewallSubnet - اسم vnet VNet-Hub - مجموعة الموارد RG-Firewall-Articles - بادئة العنوان 10.0.1.0/24
3. إنشاء VNet Spoke: قم بإنشاء VNet للتحدث مع شبكة فرعية للأجهزة الافتراضية. باش إنشاء شبكة vnet --اسم VNet-Spoke --resource-group RG-Firewall-Artigos --address-prefix 10.1.0.0/16 --location eastus إنشاء شبكة فرعية من الألف إلى الياء - اسم WorkloadSubnet - اسم vnet VNet-Spoke - مجموعة الموارد RG-Firewall-Articles - بادئة العنوان 10.1.1.0/24
4. ** تكوين VNet Peering **: قم بتوصيل شبكة VNet المحورية وشبكة VNet الناطقة عبر التناظر. باش إنشاء شبكة vnet من الألف إلى الياء --اسم HubToSpoke --مقالات مجموعة الموارد RG-Firewall --اسم vnet VNet-Hub --remote-vnet VNet-Spoke --السماح بالوصول إلى vnet إنشاء شبكة vnet من الألف إلى الياء --اسم SpokeToHub --مقالات مجموعة الموارد RG-Firewall --اسم vnet VNet-Spoke --remote-vnet VNet-Hub --السماح بالوصول إلى vnet

2. نشر جدار الحماية Azure

1. إنشاء جدار حماية Azure: انشر جدار حماية Azure على AzureFirewallSubnet لمركز VNet. باش إنشاء جدار حماية شبكة من الألف إلى الياء - اسم AzureFirewall-01 - مجموعة الموارد RG-Firewall-Artigos - الموقع eastus - معيار sku إنشاء جدار حماية الشبكة من الألف إلى الياء - اسم جدار الحماية AzureFirewall-01 - اسم AzureFirewall-IP - مجموعة الموارد RG-Firewall-Articles - اسم vnet VNet-Hub - عنوان IP العام az-firewall-pip

   • ملاحظة: سيقوم الأمر az Network firewall ip-config create تلقائيًا بإنشاء عنوان IP عام لجدار الحماية إذا قدمت اسمًا (على سبيل المثال، az-firewall-pip).

2. الحصول على عنوان IP الخاص لجدار الحماية: قم بتدوين عنوان IP الخاص لجدار حماية Azure لأنه سيتم استخدامه للتوجيه. باش عرض جدار حماية الشبكة من الألف إلى الياء --اسم AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv

3. تكوين التوجيه لجدار حماية Azure

لكي تمر حركة مرور VNet المتحدثة عبر جدار حماية Azure، نحتاج إلى إنشاء جدول توجيه وربطه بالشبكة الفرعية المتحدثة.

1. إنشاء جدول طريق: قم بإنشاء جدول طريق. باش إنشاء جدول توجيه الشبكة من الألف إلى الياء - اسم FirewallRouteTable - مجموعة الموارد RG-Firewall-Artigos - الموقع eastus
2. ** إضافة مسار افتراضي **: أضف مسارًا افتراضيًا (0.0.0.0/0) يوجه كل حركة المرور إلى عنوان IP الخاص لجدار حماية Azure. باش # استبدل <FIREWALL_PRIVATE_IP> بعنوان IP الخاص الذي تم الحصول عليه في الخطوة السابقة FIREWALL_PRIVATE_IP=$(عرض جدار حماية الشبكة az --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv) إنشاء مسار جدول توجيه الشبكة من الألف إلى الياء - اسم DefaultRouteToFirewall - مجموعة الموارد RG-Firewall-Artigos - اسم جدول التوجيه FirewallRouteTable - بادئة العنوان 0.0.0.0/0 - VirtualAppliance من نوع القفزة التالية - عنوان IP التالي $FIREWALL_PRIVATE_IP
3. إقران جدول التوجيه بالشبكة الفرعية الناطقة: قم بربط جدول التوجيه بـ "WorkloadSubnet" الخاص بـ "VNet-Spoke". باش تحديث الشبكة الفرعية vnet من الألف إلى الياء - اسم WorkloadSubnet - اسم vnet VNet-Spoke - مجموعة الموارد RG-Firewall-Articles - جدول التوجيه FirewallRouteTable

4. تكوين قواعد جدار حماية Azure

يستخدم Azure Firewall مجموعات من القواعد للتحكم في حركة المرور. هناك ثلاثة أنواع من القواعد: "قواعد الشبكة"، و"قواعد التطبيق"، و"قواعد NAT".

4.1. قواعد الشبكة

التحكم في حركة مرور الطبقة الثالثة والرابعة (IP، المنافذ، البروتوكولات).

1. السماح بحركة المرور الصادرة لـ DNS: ضروري لتحليل الاسم. باش إنشاء قاعدة شبكة لجدار حماية الشبكة - اسم جدار الحماية AzureFirewall-01 - اسم المجموعة "السماح بـ DNS" - الاسم "السماح بـ DNS للخارج" - مقالات مجموعة الموارد RG-جدار الحماية - الأولوية 100 - الإجراء السماح - عناوين المصدر "*" - عناوين الوجهة "*" - البروتوكولات UDP - منافذ الوجهة 53

2. السماح بحركة المرور الصادرة إلى عنوان IP محدد: مثال: السماح بالوصول إلى خادم التصحيح. باش إنشاء قاعدة شبكة لجدار حماية الشبكة - اسم جدار الحماية AzureFirewall-01 - اسم المجموعة "السماح بخادم التصحيح" - الاسم "السماح بخادم التصحيح للخارج" - مجموعة الموارد مقالات جدار الحماية RG - الأولوية 110 - الإجراءالسماح - عناوين المصدر "10.1.1.0/24" - عناوين الوجهة "20.1.2.3" - بروتوكولات TCP - منافذ الوجهة 443

4.2. قواعد التطبيق

التحكم في حركة مرور الطبقة السابعة (HTTP/HTTPS) استنادًا إلى FQDNs.

1. السماح بالوصول إلى مواقع Microsoft: مثال: السماح بالوصول إلى learn.microsoft.com. باش إنشاء قاعدة تطبيق جدار حماية الشبكة من الألف إلى الياء --اسم جدار الحماية AzureFirewall-01 --اسم المجموعة "السماح بمواقع Microsoft" --الاسم "السماح بتعلم Microsoft" --مقالات مجموعة الموارد RG-جدار الحماية --الأولوية 100 --الإجراء السماح --عناوين المصدر "10.1.1.0/24" --البروتوكولات Http=80 Https=443 --fqdn-tags "Microsoft.Websites" --target-fqdns "learn.microsoft.com"

   • نصيحة: Fqdn-tags هي مجموعات من FQDNs المحددة مسبقًا بواسطة Microsoft للخدمات العامة.

2. حظر الوصول إلى مواقع الويب الضارة: افتراضيًا، يحظر Azure Firewall كل ما هو غير مسموح به صراحةً. ومع ذلك، يمكنك إنشاء قواعد رفض صريحة لشبكات FQDN محددة. باش إنشاء قاعدة تطبيق جدار الحماية لشبكة az --firewall-name AzureFirewall-01 --اسم المجموعة "Block-Malicious-Sites" --اسم "Block-Bad-Site" --resource-group RG-Firewall-Articles --الأولوية 200 --إجراء الرفض --عناوين المصدر "10.1.1.0/24" --البروتوكولات Https=443 --target-fqdns "badsite.com"

4.3. قواعد NAT (ترجمة عنوان الشبكة).

تسمح لك بتوجيه حركة المرور الواردة إلى الموارد الداخلية (DNAT - Destination NAT).

1. السماح بوصول RDP الخارجي إلى جهاز افتراضي (مع الحذر!): مثال: السماح لـ RDP بالوصول إلى جهاز افتراضي من عنوان IP عام محدد. ``` باش # أنشئ جهازًا افتراضيًا على WorkloadSubnet للاختبار az vm create --name TestVM --resource-group RG-Firewall-Articles --image UbuntuLTS --size Standard_B1s --vnet-name VNet-Spoke --subnet WorkloadSubnet --admin-username azureuser --admin-password "P@ssw0rd12345!" --لا تنتظر

   احصل على عنوان IP الخاص بجهاز VM

   VM_PRIVATE_IP=$(az vm show --name TestVM --resource-group RG-Firewall-Artigos --query PrivateIps -o tsv)

   احصل على IP العام لجدار الحماية

   FIREWALL_PUBLIC_IP=$(az Network public-ip show --name az-firewall-pip --resource-group RG-Firewall-Artigos --query ipAddress -o tsv)

   إنشاء قاعدة DNAT

   إنشاء جدار حماية شبكة az - قاعدة nat - اسم جدار الحماية AzureFirewall-01 - اسم المجموعة "السماح لـ RDP-Inbound" - الاسم "RDP-to-TestVM" - مقالات مجموعة الموارد RG-Firewall - الأولوية 100 - إجراء Dnat - عناوين المصدر "YOUR_PUBLIC_IP" - عناوين الوجهة $FIREWALL_PUBLIC_IP --بروتوكولات TCP --منافذ الوجهة 3389 --عنوان مترجم $VM_PRIVATE_IP --منفذ مترجم 3389 `` * **تحذير**: استبدلYOUR_PUBLIC_IP` بعنوان IP العام الحقيقي الخاص بك لتقييد الوصول. لا تستخدم "*" في الإنتاج لقواعد DNAT.

5. تكوين Azure Firewall Premium (فحص IDPS وTLS)

للحصول على ميزات الحماية المتقدمة مثل IDPS وTLS Inspection، تحتاج إلى Azure Firewall Premium.

1. ترقية SKU لجدار الحماية (إذا لزم الأمر): إذا قمت بإنشاء جدار حماية قياسي، فيمكنك ترقيته إلى Premium. باش تحديث جدار حماية الشبكة من الألف إلى الياء --اسم AzureFirewall-01 --resource-group RG-Firewall-Artigos --sku Premium

2. تكوين فحص TLS: بالنسبة لفحص TLS، تحتاج إلى شهادة SSL/TLS صادرة عن مرجع مصدق مشترك أو عام، ومخزنة في Azure Key Vault.

   • المتطلبات الأساسية: معتمد في Azure Key Vault (راجع المقالة السابقة حول Azure Key Vault للحصول على التفاصيل).
   • إنشاء سياسة جدار الحماية وربطها بجدار الحماية. باش إنشاء سياسة جدار حماية الشبكة من الألف إلى الياء - اسم FirewallPolicy-01 - مجموعة الموارد RG-Firewall-Artigos - الموقع eastus تحديث سياسة جدار حماية الشبكة من الألف إلى الياء - اسم FirewallPolicy-01 - مجموعة الموارد RG-Firewall-Artigos - تنبيه وضع Intel تحديث جدار حماية الشبكة من الألف إلى الياء - الاسم AzureFirewall-01 - مجموعة الموارد RG-Firewall-Artigos --سياسة جدار الحماية FirewallPolicy-01
   • في بوابة Azure، انتقل إلى سياسة جدار الحماية -> الإعدادات -> فحص TLS.
   • قم بتمكين فحص TLS وحدد الشهادة الجذرية لـ Key Vault الخاص بك.

3. تكوين IDPS: يتم تمكين IDPS وتكوينه من خلال سياسة جدار الحماية.

   • في بوابة Azure، انتقل إلى "سياسة جدار الحماية" -> الإعدادات -> IDPS.
   • يمكنك تكوين وضع IDPS (التنبيه أو التنبيه والرفض) وإنشاء قواعد توقيع IDPS مخصصة.

6. تفعيل الذكاءمن التهديدات

يمكن تكوين معلومات التهديد الخاصة بجدار حماية Azure لحركة المرور "التنبيه" أو "التنبيه والرفض" من/إلى عناوين IP الضارة المعروفة وشبكات FQDN.

1. في بوابة Azure، انتقل إلى جدار حماية Azure الخاص بك ('AzureFirewall-01`).
2. في جزء التنقل الأيمن، حدد معلومات التهديدات.
3. اضبط "الوضع" على "التنبيه والرفض".

التحقق والاختبار

يعد التحقق من صحة تكوين جدار حماية Azure أمرًا بالغ الأهمية لضمان تطبيق سياسات الأمان بشكل صحيح.

1. اختبار قواعد الشبكة

1. اختبار اتصال DNS: من جهاز افتراضي على WorkloadSubnet، حاول حل اسم المجال. يجب أن يعمل هذا إذا تم تكوين قاعدة DNS. باش nslookup google.com

   • النتيجة المتوقعة: تم حل DNS بنجاح.

2. اختبار حظر المنافذ: حاول الوصول إلى منفذ غير مسموح به لعنوان IP خارجي. باش نك -vz 8.8.8.8 80

   • النتيجة المتوقعة: تم رفض الاتصال أو انتهاء المهلة.

2. اختبار قواعد التطبيق

1. اختبار السماح بالوصول إلى FQDN: من جهاز افتراضي على WorkloadSubnet، حاول الوصول إلى learn.microsoft.com عبر المتصفح.

   • النتيجة المتوقعة: تم الوصول بنجاح.

2. اختبار حظر FQDN: حاول الوصول إلى badsite.com (إذا قمت بتكوين قاعدة الرفض له).

   • النتيجة المتوقعة: تم حظر الوصول بواسطة جدار الحماية، مع ظهور رسالة خطأ في المتصفح.

3. اختبار قواعد NAT (DNAT)

1. من جهاز كمبيوتر خارج Azure (مع عنوان IP العام الذي حددته في قاعدة DNAT)، حاول الاتصال عبر RDP/SSH بـ IP العام لجدار حماية Azure على المنفذ 3389/22.
   • النتيجة المتوقعة: تم الاتصال بنجاح بالجهاز الافتراضي الداخلي.

4. التحقق من سجلات جدار الحماية Azure

تعد سجلات جدار حماية Azure ضرورية لمراقبة حركة المرور والتحقق من صحة القواعد.

1. في بوابة Azure، انتقل إلى جدار حماية Azure الخاص بك ('AzureFirewall-01`).
2. في جزء التنقل الأيسر، حدد السجلات.
3. يمكنك استخدام Log Analytics للاستعلام عن سجلات جدار الحماية. ابحث عن أحداث AzureFirewallNetworkRule وAzureFirewallApplicationRule لمعرفة القواعد التي تم تشغيلها وما إذا كانت حركة المرور مسموحة أم مرفوضة.

5. اختبار معلومات التهديدات وIDPS (المميزة)

1. تحليل التهديدات: حاول الوصول إلى عنوان IP أو FQDN المعروف بأنه ضار (استخدم موقعًا آمنًا لاختبار البرامج الضارة مثل test.malware.testing.com أو عنوان IP لاختبار الذكاء في التهديدات). يجب أن يمنع جدار الحماية الوصول.
2. IDPS: حاول محاكاة الهجوم الذي يمكن أن يكتشفه IDPS (على سبيل المثال، استخدم أداة اختبار الثغرات الأمنية لمحاولة حقن SQL في تطبيق ويب على الجهاز الظاهري الناطق، إن أمكن). يجب أن يقوم جدار الحماية بإنشاء تنبيه و/أو حظر حركة المرور.

نصائح أمنية وأفضل الممارسات

• نموذج Hub-and-Spoke: كلما أمكن، استخدم نموذج Hub-and-Spoke مع Azure Firewall في المركز لمركزية التحكم في الشبكة وتبسيط إدارة السياسات.
• مبدأ الامتياز الأقل: قم بإنشاء قواعد جدار الحماية بأقل امتيازات ممكنة، مع السماح فقط بحركة المرور الأساسية. قم بحظر كل حركة المرور بشكل افتراضي والسماح بكل ما هو ضروري بشكل صريح.
• تحديد أولويات القاعدة: فهم ترتيب معالجة القاعدة (NAT > الشبكة > التطبيق) والأولوية داخل كل مجموعة لتجنب التعارضات والتأكد من تطبيق القواعد المطلوبة.
• تمكين ذكاء التهديدات: حافظ على تمكين ذكاء التهديدات في وضع "التنبيه والرفض" للحماية التلقائية من المصادر الضارة المعروفة.
• Azure Firewall Premium: بالنسبة للبيئات التي تتطلب حماية متقدمة، استخدم Premium SKU للاستفادة من ميزات مثل IDPS وTLS Inspection.
• فحص TLS: قم بتنفيذ فحص TLS لحركة المرور الصادرة لاكتشاف التهديدات المخفية في الجلسات المشفرة، ولكن خطط بعناية لإدارة الشهادات.
• المراقبة والتدقيق: قم بدمج سجلات جدار الحماية Azure مع Azure Monitor وAzure Sentinel للمراقبة المستمرة والتحليل الأمني ​​والاستجابة للحوادث.
• Azure Firewall Manager: بالنسبة للبيئات التي تحتوي على جدران حماية متعددة وسياسات معقدة، استخدم Azure Firewall Manager لإدارة السياسة المركزية والهرمية.
• التوثيق: احتفظ بتوثيق واضح لقواعد جدار الحماية لديك والأساس المنطقي لكل منها.

استكشاف الأخطاء وإصلاحها الشائعة

• ** كتل المرورمن غير متوقع**: تحقق من سجلات جدار حماية Azure في Log Analytics. وسوف تشير إلى القاعدة (سواء كانت الشبكة أو التطبيق أو معلومات التهديد) التي حظرت حركة المرور. اضبط القاعدة حسب الحاجة.
• الاتصال البطيء: إذا كانت حركة المرور لديك بطيئة، فتحقق من استخدام وحدة المعالجة المركزية لجدار الحماية في Azure Monitor. ربما يكون جدار الحماية قد وصل إلى حدود أدائه. فكر في توسيع نطاق SKU أو تحسين القواعد.
• قواعد NAT لا تعمل: تأكد من صحة عنوان IP العام والوجهة والمنافذ المترجمة. تأكد من صحة عنوان IP المصدر في قاعدة NAT (إذا كان مقيدًا). تحقق من الجهاز الظاهري المستهدف بحثًا عن مجموعات الموردين النوويين التي قد تمنع حركة المرور.
• مشكلات فحص TLS: تأكد من تكوين شهادة الجذر بشكل صحيح في Key Vault وسياسة جدار الحماية. تأكد من أن العملاء يثقون في المرجع المصدق الجذري المستخدم لفحص TLS.
• لا يكتشف IDPS الهجمات: تأكد من أن IDPS في وضع "التنبيه والرفض" ومن تمكين التوقيعات ذات الصلة. تأكد من أن حركة المرور تمر فعليًا عبر جدار الحماية.
• توجيه غير صحيح: تحقق من جدول التوجيه المرتبط بالشبكة الفرعية لجهازك الافتراضي. تأكد من أن المسار الافتراضي (0.0.0.0/0) يشير إلى عنوان IP الخاص لجدار حماية Azure.

الخلاصة

يعد Azure Firewall أداة قوية وأساسية لإنشاء وضع أمان قوي للشبكة في Azure. من خلال تنفيذ تصفية حركة المرور المتقدمة، ومعلومات التهديدات، وIDPS، وتفتيش TLS، يمكن للمؤسسات حماية أعباء عملها ضد مجموعة واسعة من التهديدات السيبرانية. إن اعتماد نموذج Hub-and-Spoke مع وجود Azure Firewall في المركز، إلى جانب تطبيق أفضل الممارسات والمراقبة المستمرة، يضمن فحص حركة مرور الشبكة والتحكم فيها بشكل فعال. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان مجهزين تجهيزًا جيدًا لتكوين جدار حماية Azure وإدارته، مما يعزز أمان الشبكة ومرونة بيئات Azure الخاصة بهم ضد أحدث التهديدات.

---

المراجع:

[1] مايكروسوفت تعلم. ما هو جدار الحماية Azure؟. متوفر على: https://learn.microsoft.com/pt-br/azure/firewall/overview [2] مايكروسوفت تعلم. نظرة عامة على بنية جدار حماية Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/firewall/firewall-architecture [3] مايكروسوفت تعلم. ميزات Azure Firewall Premium. متوفر على: https://learn.microsoft.com/pt-br/azure/firewall/premium-features [4] مايكروسوفت تعلم. التصفية بناءً على معلومات تهديدات جدار الحماية Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/firewall/threat-intel