Správa zabezpečeného přístupu k prostředkům ve virtuálních sítích ve hvězdicové architektuře pro klienty VPN uživatelů

V tomto článku se dozvíte, jak používat pravidla Virtual WAN a Azure Firewall a filtry ke správě zabezpečeného přístupu pro připojení k vašim prostředkům v Azure přes připojení IKEv2 typu point-to-site nebo open VPN. Tato konfigurace je užitečná, pokud máte vzdálené uživatele, pro které chcete omezit přístup k prostředkům Azure nebo zabezpečit prostředky v Azure.

Kroky v tomto článku vám pomůžou vytvořit architekturu v následujícím diagramu, aby klienti VPN uživatelů měli přístup ke konkrétnímu prostředku (VM1) v paprskové virtuální síti připojené k virtuálnímu centru, ale ne k jiným prostředkům (VM2). Tento příklad architektury použijte jako základní vodítko.

Diagram zabezpečeného virtuálního centra

Požadavky

  • Máte předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

  • Máte virtuální síť, ke které se chcete připojit.

    • Ověřte, že se žádná z podsítí místních sítí nepřekrývá s virtuálními sítěmi, ke kterým se chcete připojit.
    • Pokud chcete vytvořit virtuální síť v Azure Portal, přečtěte si článek Rychlý start.
  • Vaše virtuální síť nesmí obsahovat žádné existující brány virtuální sítě.

    • Pokud už vaše virtuální síť obsahuje brány (VPN nebo ExpressRoute), musíte před pokračováním odebrat všechny brány.
    • Tato konfigurace vyžaduje, aby se virtuální sítě připojily pouze k bráně centra Virtual WAN.
  • Rozhodněte rozsah IP adres, který chcete použít pro privátní adresní prostor vašeho virtuálního centra. Tyto informace se používají při konfiguraci virtuálního centra. Virtuální centrum je virtuální síť, která je vytvořená a používána Virtual WAN. Je to jádro vaší Virtual WAN sítě v oblasti. Rozsah adresního prostoru musí splňovat určitá pravidla:

    • Zadaný rozsah adres pro centrum se nemůže překrývat s žádnou z existujících virtuálních sítí, ke kterým se připojujete.
    • Rozsah adres se nemůže překrývat s místními rozsahy adres, ke kterým se připojujete.
    • Pokud neznáte rozsahy IP adres umístěných v místní konfiguraci sítě, koordinujte s někým, kdo vám může tyto podrobnosti poskytnout.
  • Máte k dispozici hodnoty pro konfiguraci ověřování, kterou chcete použít. Například server RADIUS, ověřování Azure Active Directory nebo generování a export certifikátů.

Vytvoření virtuální sítě WAN

  1. Na portálu na panelu Hledat zdroje zadejte do vyhledávacího pole Virtual WAN a vyberte Enter.

  2. Ve výsledcích vyberte virtuální sítě WAN . Na stránce Virtuální sítě WAN vyberte + Vytvořit a otevřete stránku Create WAN .

  3. Na stránce Vytvořit síť WAN na kartě Základy vyplňte pole. Upravte ukázkové hodnoty tak, aby se použily pro vaše prostředí.

    Snímek obrazovky znázorňující podokno Vytvořit síť WAN s vybranou kartou Základy

    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: V rozevíracím seznamu zvolte umístění prostředku. Síť WAN je globální prostředek, který není v konkrétní oblasti. Pokud ale chcete spravovat a vyhledat prostředek sítě WAN, který vytvoříte, musíte vybrat oblast.
    • Název: Zadejte název, který chcete volat virtuální síť WAN.
    • Typ: Basic nebo Standard. Vyberte Standardní. Pokud vyberete Možnost Basic, rozumíte tomu, že virtuální sítě WAN úrovně Basic můžou obsahovat pouze centra Basic. Základní rozbočovače lze použít pouze pro připojení typu site-to-site.
  4. Po vyplnění polí v dolní části stránky vyberte Zkontrolovat a vytvořit.

  5. Po ověření klikněte na Vytvořit a vytvořte virtuální síť WAN.

Definování parametrů konfigurace P2S

Konfigurace point-to-site (P2S) definuje parametry pro připojení vzdálených klientů. Tato část vám pomůže definovat parametry konfigurace P2S a pak vytvořit konfiguraci, která se použije pro profil klienta VPN. Pokyny, které sledujete, závisí na metodě ověřování, kterou chcete použít.

Metody ověřování

Při výběru metody ověřování máte tři možnosti. Každá metoda má specifické požadavky. Vyberte jednu z následujících metod a pak proveďte kroky.

  • Ověřování Azure Active Directory: Získejte následující:

    • ID aplikace podnikové aplikace Azure VPN zaregistrované ve vašem tenantovi Azure AD.
    • Vystavitel. Příklad: https://sts.windows.net/your-Directory-ID.
    • Tenant Azure AD. Příklad: https://login.microsoftonline.com/your-Directory-ID.
  • Ověřování na základě radiusu: Získejte IP adresu serveru Radius, tajný klíč serveru Radius a informace o certifikátu.

  • Certifikáty Azure: Pro tuto konfiguraci jsou vyžadovány certifikáty. Potřebujete buď vygenerovat nebo získat certifikáty. Pro každého klienta se vyžaduje klientský certifikát. Kromě toho je potřeba nahrát informace o kořenovém certifikátu (veřejný klíč). Další informace o požadovaných certifikátech najdete v tématu Generování a export certifikátů.

  1. Přejděte na virtuální síť WAN, kterou jste vytvořili.

  2. V nabídce na levé straně vyberte konfigurace sítě VPN uživatele .

  3. Na stránce Konfigurace sítě VPN uživatele vyberte +Vytvořit konfiguraci sítě VPN uživatele.

    Snímek obrazovky se stránkou konfigurace sítě VPN uživatele

  4. Na kartě Základyvytvoření nové konfigurace sítě VPN uživatele zadejte v části Podrobnosti o instancinázev, který chcete přiřadit ke konfiguraci sítě VPN.

    Snímek obrazovky s přepínačem IPsec na vlastní

  5. Jako typ tunelu vyberte v rozevíracím seznamu požadovaný typ tunelu. Možnosti typu tunelu jsou: IKEv2 VPN, OpenVPN a OpenVpn a IKEv2. Každý typ tunelu má konkrétní požadovaná nastavení. Typ tunelu, který zvolíte, odpovídá dostupným možnostem ověřování.

    Požadavky a parametry:

    IKEv2 VPN

    • Požadavky: Když vyberete typ tunelu IKEv2 , zobrazí se zpráva, která vás nasměruje na výběr metody ověřování. Pro IKEv2 můžete zadat pouze jednu metodu ověřování. Můžete zvolit certifikát Azure nebo ověřování založené na protokolu RADIUS.

    • Vlastní parametry IPSec: Pokud chcete přizpůsobit parametry pro fázi IKE 1 a IKE Fáze 2, přepněte přepínač IPsec na Vlastní a vyberte hodnoty parametrů. Další informace o přizpůsobitelných parametrech najdete v článku Vlastní protokol IPsec .

    OpenVPN

    • Požadavky: Když vyberete typ tunelu OpenVPN , zobrazí se zpráva, která vás nasměruje, abyste vybrali mechanismus ověřování. Pokud je jako typ tunelu vybrán OpenVPN, můžete zadat více metod ověřování. Můžete zvolit libovolnou podmnožinu ověřování na základě certifikátů Azure, Azure Active Directory nebo protokolu RADIUS. Pro ověřování založené na protokolu RADIUS můžete zadat sekundární IP adresu serveru RADIUS a tajný klíč serveru.
  6. Nakonfigurujte metody ověřování , které chcete použít. Každá metoda ověřování je na samostatné kartě: certifikát Azure, ověřování RADIUS a Azure Active Directory. Některé metody ověřování jsou dostupné jenom u určitých typů tunelů.

    Na kartě metody ověřování, kterou chcete nakonfigurovat, vyberte Ano a zobrazte dostupná nastavení konfigurace.

    • Příklad – ověřování certifikátu

      Pro konfiguraci tohoto nastavení může být typ tunelu stránka Základy IKEv2, OpenVPN nebo OpenVPN a IKEv2.

      Snímek obrazovky s vybranou možností Ano

    • Příklad – ověřování RADIUS

      Pro konfiguraci tohoto nastavení musí typ tunelu na stránce Základy obsahovat OpenVPN.

      Snímek obrazovky se stránkou ověřování RADIUS

    • Příklad – ověřování Azure Active Directory

      Pokud chcete toto nastavení nakonfigurovat, musí být typ tunelu na stránce Základy OpenVPN (bez IKEv2).

      Stránka ověřování Azure Active Directory

  7. Po dokončení konfigurace nastavení vyberte Zkontrolovat a vytvořit v dolní části stránky.

  8. Výběrem možnosti Vytvořit vytvořte konfiguraci sítě VPN uživatele.

Vytvoření centra a brány

V této části vytvoříte virtuální centrum s bránou typu point-to-site. Při konfiguraci můžete použít následující ukázkové hodnoty:

  • Privátní ip adresní prostor centra: 10.1.0.0/16
  • Fond adres klienta: 10.5.0.0/16
  • Vlastní servery DNS: Můžete zobrazit až 5 serverů DNS.

Stránka Základy

  1. Přejděte na virtuální síť WAN, kterou jste vytvořili. V levém podokně služby Virtual WAN v části Připojení vyberte Hubs.

  2. Na stránce Hubs vyberte +New Hub a otevřete stránku Vytvořit virtuální centrum .

    Snímek obrazovky znázorňující podokno Vytvořit virtuální centrum s vybranou kartou Základy

  3. Na kartě Základyvytvoření virtuálního centra vyplňte následující pole:

    • Oblast: Vyberte oblast, ve které chcete nasadit virtuální centrum.
    • Název: Název, podle kterého má být virtuální centrum známé.
    • Privátní adresní prostor centra: Rozsah adres centra v zápisu CIDR Minimální adresní prostor je /24 pro vytvoření centra.
    • Kapacita virtuálního centra: Vyberte z rozevíracího seznamu. Další informace najdete v tématu Nastavení virtuálního centra.
    • Předvolba směrování centra: Toto pole je dostupné jenom jako součást náhledu předvoleb směrování virtuálního centra a dá se zobrazit jenom na portálu Preview. Další informace najdete v tématu Předvolba směrování virtuálního centra .

Odkaz na stránku webu

  1. Kliknutím na kartu Point-to-Site otevřete stránku konfigurace pro point-to-site. Chcete-li zobrazit nastavení bodu na web, klikněte na tlačítko Ano.

    Snímek obrazovky s konfigurací virtuálního centra s vybranou možností point-to-site

  2. Nakonfigurujte tahle nastavení:

    • Jednotky škálování brány – To představuje agregovanou kapacitu brány VPN Uživatele. Pokud vyberete 40 nebo více jednotek škálování brány, naplánujte fond adres klienta odpovídajícím způsobem. Informace o tom, jak toto nastavení ovlivňuje fond adres klienta, najdete v tématu Informace o fondech adres klienta. Informace o jednotkách škálování brány najdete v nejčastějších dotazech.

    • Konfigurace point-to-site – Vyberte konfiguraci sítě VPN uživatele, kterou jste vytvořili v předchozím kroku.

    • Předvolba směrování – Předvolba směrování Azure umožňuje zvolit způsob směrování provozu mezi Azure a internetem. Můžete se rozhodnout směrovat provoz buď přes síť Microsoftu, nebo přes síť ISP (veřejný internet). Tyto možnosti se také označují jako směrování studených brambor a horké bramborové směrování. Veřejná IP adresa v Virtual WAN je přiřazena službou na základě vybrané možnosti směrování. Další informace o předvolbách směrování prostřednictvím sítě Microsoft nebo isP najdete v článku Předvolby směrování .

    • Použijte vzdálený nebo místní server RADIUS – pokud je brána VPN uživatele Virtual WAN nakonfigurovaná tak, aby používala ověřování založené na protokolu RADIUS, brána VPN uživatele funguje jako proxy server a odesílá žádosti o přístup radius na server RADIUS. Nastavení Použít vzdálený nebo místní server RADIUS je ve výchozím nastavení zakázané, což znamená, že brána VPN uživatele bude moct předávat požadavky na ověřování pouze serverům RADIUS ve virtuálních sítích připojených k centru brány. Povolením nastavení povolíte bránu VPN uživatele, aby se ověřila pomocí serverů RADIUS připojených ke vzdáleným rozbočovačům nebo nasazeným místně.

      Poznámka

      Nastavení vzdáleného nebo místního serveru RADIUS a související IP adresy proxy serveru se používají jenom v případě, že je brána nakonfigurovaná tak, aby používala ověřování založené na protokolu RADIUS. Pokud brána není nakonfigurovaná tak, aby používala ověřování založené na protokolu RADIUS, bude toto nastavení ignorováno.

      Pokud se uživatelé budou místo profilu založeného na centru připojovat k globálnímu profilu SÍTĚ VPN, musíte zapnout možnost Použít vzdálený nebo místní server RADIUS. Další informace najdete v globálních a centrálních profilech.

      Po vytvoření brány VPN uživatele přejděte na bránu a poznamenejte si pole IP adres proxy serveru RADIUS. IP adresy proxy serveru RADIUS jsou zdrojové IP adresy paketů RADIUS, které brána VPN uživatele odesílá na váš server RADIUS. Server RADIUS proto musí být nakonfigurovaný tak, aby přijímal žádosti o ověření z IP adres proxy serveru RADIUS. Pokud je pole IP adresy proxy serveru RADIUS prázdné nebo žádné, nakonfigurujte server RADIUS tak, aby přijímal žádosti o ověření z adresního prostoru centra.

      Snímek obrazovky konfigurace P N uživatele s proxy serverem RADIUS I Ps

    • Fond adres klienta – Fond adres , ze kterého budou IP adresy automaticky přiřazeny klientům VPN. Další informace naleznete v tématu O fondech adres klienta.

    • Vlastní servery DNS – IP adresa serverů DNS, které budou klienti používat. Můžete zadat až 5.

  3. Vyberte Zkontrolovat a vytvořit a ověřte nastavení.

  4. Po ověření vyberte Vytvořit. Vytvoření centra může trvat 30 minut nebo déle.

Generování konfiguračních souborů klienta VPN

V této části vygenerujete a stáhnete soubory konfiguračního profilu. Tyto soubory slouží ke konfiguraci nativního klienta VPN na klientském počítači. Informace o obsahu souborů profilu klienta najdete v tématu Konfigurace typu Point-to-Site – certifikáty.

  1. Pokud chcete vygenerovat balíček konfigurace klienta VPN na úrovni sítě WAN, přejděte na Virtual WAN.

  2. V levém podokně vyberte konfigurace sítě VPN uživatele.

  3. Vyberte konfiguraci, pro kterou chcete profil stáhnout. Pokud máte ke stejnému profilu přiřazených více rozbočovačů, rozbalte profil, aby se zobrazily rozbočovače, a pak vyberte jedno z center, které tento profil používá.

  4. Vyberte Stáhnout profil sítě VPN uživatele virtuální sítě WAN.

  5. Na stránce pro stažení vyberte EAPTLS a pak vygenerovat a stáhnout profil. Balíček profilu (soubor ZIP) obsahující nastavení konfigurace klienta se vygeneruje a stáhne do počítače. Obsah balíčku závisí na možnostech ověřování a tunelu pro vaši konfiguraci.

Konfigurace klientů VPN

Pomocí staženého profilu nakonfigurujte klienty pro vzdálený přístup. Postup pro každý operační systém je jiný, postupujte podle pokynů, které platí pro váš systém.

IKEv2

Pokud jste zadali typ tunelového tunelu IKEv2, můžete nakonfigurovat nativního klienta VPN (Windows a macOS Catalina nebo novější).

Následující kroky jsou pro Windows. Postup pro macOS najdete v tématu IKEv2-macOS .

  1. Vyberte konfigurační soubory klienta VPN, které odpovídají architektuře počítače s Windows. V případě 64bitové architektury procesoru zvolte instalační balíček VpnClientSetupAmd64. V případě 32bitové architektury procesoru zvolte instalační balíček VpnClientSetupX86.

  2. Dvakrát klikněte na balíček a nainstalujte ho. Pokud se zobrazí automaticky otevírané okno SmartScreen, vyberte Další informace a pak přesto spusťte.

  3. Na klientském počítači přejděte do nastavení sítě a vyberte SÍŤ VPN. Připojení k síti VPN zobrazuje název virtuální sítě, ke které se připojuje.

  4. Nainstalujte klientský certifikát na každý počítač, který chcete připojit pomocí této konfigurace SÍTĚ VPN uživatele. Klientský certifikát se vyžaduje k ověřování při použití typu nativního ověřování certifikátů Azure. Další informace o generování certifikátů najdete v tématu Generování certifikátů. Informace o instalaci klientského certifikátu najdete v tématu Instalace klientského certifikátu.

OpenVPN

Pokud jste zadali typ tunelu OpenVPN, můžete v konfiguraci vpn uživatele stáhnout a nakonfigurovat klienta Azure VPN nebo v některých případech můžete použít klientský software OpenVPN. V případě kroků použijte odkaz, který odpovídá vaší konfiguraci.

Připojení paprskové virtuální sítě

V této části vytvoříte propojení mezi centrem a paprskovou virtuální sítí.

  1. Přejděte na svůj Virtual WAN.

  2. V levém podokně v části Připojení vyberte připojení virtuální sítě.

  3. Na stránce Připojení virtuální sítě klikněte na +Přidat připojení.

    Snímek obrazovky znázorňující přidání připojení

  4. Na stránce Přidat připojení nakonfigurujte požadovaná nastavení. Další informace o nastavení směrování najdete v tématu O směrování.

    Snímek obrazovky znázorňující stránku připojení virtuální sítě

    • Název připojení: Pojmenujte připojení.
    • Rozbočovače: Vyberte centrum, které chcete k tomuto připojení přidružit.
    • Předplatné: Ověřte předplatné.
    • Skupina prostředků: Skupina prostředků, která obsahuje virtuální síť.
    • Virtuální síť: Vyberte virtuální síť, kterou chcete připojit k tomuto centru. Zvolená virtuální síť nemůže mít již existující bránu virtuální sítě.
    • Šíření na žádné: Ve výchozím nastavení je nastavená hodnota Ne . Když změníte přepínač na Ano , nastavíte možnosti konfigurace pro rozšíření do směrovacích tabulek a rozšíří se na popisky , které nejsou pro konfiguraci dostupné.
    • Přidružit směrovací tabulku: Můžete vybrat směrovací tabulku, kterou chcete přidružit.
    • Statické trasy: Pomocí tohoto nastavení můžete určit další segment směrování.
  5. Jakmile dokončíte nastavení, která chcete nakonfigurovat, vyberte Vytvořit a vytvořte připojení.

Vytvoření virtuálních počítačů

V této části vytvoříte dva virtuální počítače ve virtuální síti, virtuálním počítači 1 a virtuálním počítači 2. V síťovém diagramu používáme 10.18.0.4 a 10.18.0.5. Při konfiguraci virtuálních počítačů nezapomeňte vybrat virtuální síť, kterou jste vytvořili (najdete na kartě Sítě). Postup vytvoření virtuálního počítače najdete v tématu Rychlý start: Vytvoření virtuálního počítače.

Zabezpečení virtuálního centra

Standardní virtuální centrum nemá žádné předdefinované zásady zabezpečení pro ochranu prostředků v paprskových virtuálních sítích. Zabezpečené virtuální centrum používá Azure Firewall nebo poskytovatele třetí strany ke správě příchozího a odchozího provozu k ochraně vašich prostředků v Azure.

Převeďte centrum na zabezpečené centrum pomocí následujícího článku: Nakonfigurujte Azure Firewall v centru Virtual WAN.

Vytváření pravidel pro správu a filtrování provozu

Vytvořte pravidla, která určují chování Azure Firewall. Zabezpečením centra zajistíme, že všechny pakety, které zadávají virtuální centrum, podléhají zpracování brány firewall před přístupem k prostředkům Azure.

Po dokončení těchto kroků vytvoříte architekturu, která uživatelům VPN umožní přístup k virtuálnímu počítači s privátní IP adresou 10.18.0.4, ale NE přístup k virtuálnímu počítači s privátní IP adresou 10.18.0.5

  1. V Azure Portal přejděte na Správce brány firewall.

  2. V části Zabezpečení vyberte Azure Firewall zásad.

  3. Vyberte Vytvořit zásadu Azure Firewall.

  4. V části Podrobnosti o zásadách zadejte název a vyberte oblast, ve které je virtuální centrum nasazené.

  5. Vyberte Další: Nastavení DNS (Preview).

  6. Vyberte Další: Pravidla.

  7. Na kartě Pravidla vyberte Přidat kolekci pravidel.

  8. Zadejte název kolekce. Nastavte typ jako síť. Přidejte hodnotu priority 100.

  9. Vyplňte název pravidla, typ zdroje, zdroj, protokol, cílové porty a cílový typ, jak je znázorněno v následujícím příkladu. Pak vyberte přidat. Toto pravidlo umožňuje přístup k virtuálnímu počítači s privátní IP adresou 10.18.04 z fondu klientů VPN, ale ne k žádnému jinému prostředku připojenému k virtuálnímu centru. Vytvořte všechna pravidla, která chcete přizpůsobit požadované architektuře a pravidlu oprávnění.

    Pravidla brány firewall

  10. Vyberte Další: Analýza hrozeb.

  11. Vyberte Další: Rozbočovače.

  12. Na kartě Hubs vyberte Přidružit virtuální centra.

  13. Vyberte virtuální centrum, které jste vytvořili dříve, a pak vyberte Přidat.

  14. Vyberte Zkontrolovat a vytvořit.

  15. Vyberte Vytvořit.

Dokončení tohoto procesu může trvat 5 minut nebo více.

Směrování provozu přes Azure Firewall

V této části je potřeba zajistit, aby se provoz směroval přes Azure Firewall.

  1. Na portálu ve Správci brány firewall vyberte zabezpečené virtuální rozbočovače.
  2. Vyberte virtuální centrum, které jste vytvořili.
  3. V části Nastavení vyberte Konfigurace zabezpečení.
  4. V části Soukromý provoz vyberte Možnost Odeslat prostřednictvím Azure Firewall.
  5. Ověřte, že připojení virtuální sítě a privátní provoz připojení branch jsou zabezpečeny Azure Firewall.
  6. Vyberte Uložit.

Poznámka

Pokud chcete zkontrolovat provoz určený k privátním koncovým bodům pomocí Azure Firewall v zabezpečeném virtuálním centru, přečtěte si téma Zabezpečené přenosy určené k privátním koncovým bodům v Azure Virtual WAN. Je potřeba přidat předponu /32 pro každý privátní koncový bod v předponách privátního provozu v rámci konfigurace zabezpečení správce Azure Firewall, aby je bylo možné zkontrolovat prostřednictvím Azure Firewall v zabezpečeném virtuálním centru. Pokud tyto předpony /32 nejsou nakonfigurované, provoz určený k privátním koncovým bodům se vynechá Azure Firewall.

Ověření

Ověřte nastavení zabezpečeného centra.

  1. Připojte se k zabezpečenému virtuálnímu centru přes síť VPN z klientského zařízení.
  2. Odešlete příkazem Ping IP adresu 10.18.0.4 z vašeho klienta. Měla by se zobrazit odpověď.
  3. Odešlete příkazem Ping IP adresu 10.18.0.5 z vašeho klienta. Odpověď byste neměli vidět.

Požadavky

  • Ujistěte se, že tabulka Efektivní trasy v zabezpečeném virtuálním centru má další segment směrování privátního provozu bránou firewall. Pokud chcete získat přístup k tabulce Efektivní trasy, přejděte k prostředku virtuálního centra . V části Připojení vyberte Směrování a pak vyberte Efektivní trasy. Odtud vyberte výchozí směrovací tabulku.
  • Ověřte, že jste vytvořili pravidla v části Vytvořit pravidla . Pokud tyto kroky zmeškáte, pravidla, která jste vytvořili, se ve skutečnosti nepřidruží k centru a směrovací tabulce a toku paketů nebudou používat Azure Firewall.

Další kroky