Share via

Az erőforrásokhoz való biztonságos hozzáférés kezelése küllős virtuális hálózatokban a felhasználói VPN-ügyfelek számára

  • Cikk

Ez a cikk bemutatja, hogyan használhat virtuális WAN- és Azure Firewall-szabályokat és szűrőket az Erőforrásokhoz való biztonságos hozzáférés kezeléséhez az Azure-ban pont–hely IKEv2 vagy OpenVPN kapcsolatokon keresztül. Ez a konfiguráció akkor hasznos, ha olyan távoli felhasználókat szeretne használni, akiknek korlátozni szeretné az Azure-erőforrásokhoz való hozzáférést, vagy az Azure-beli erőforrások védelmét.

A jelen cikk lépései segítenek létrehozni az architektúrát az alábbi ábrán, amely lehetővé teszi a felhasználói VPN-ügyfelek számára, hogy hozzáférjenek egy adott erőforráshoz (VM1) a virtuális központhoz csatlakoztatott küllős virtuális hálózaton, más erőforrások (VM2) azonban nem. Használja ezt az architektúra-példát alapszintű útmutatóként.

Biztonságos virtuális központ diagramja.

Előfeltételek

  • Rendelkezik Azure-előfizetéssel. Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.

  • Van egy virtuális hálózata, amelyhez csatlakozni szeretne.

    • Ellenőrizze, hogy a helyszíni hálózatok egyik alhálózata sem fedi-e át azokat a virtuális hálózatokat, amelyekhez csatlakozni szeretne.
    • Ha virtuális hálózatot szeretne létrehozni az Azure Portalon, tekintse meg a rövid útmutatót .

  • A virtuális hálózat nem rendelkezhet meglévő virtuális hálózati átjárókkal.

    • Ha a virtuális hálózatban már vannak átjárók (VPN vagy ExpressRoute), a folytatás előtt el kell távolítania az összes átjárót.
    • Ehhez a konfigurációhoz a virtuális hálózatoknak csak a Virtual WAN Hub-átjáróhoz kell csatlakozniuk.

  • Döntse el a virtuális központ privát címteréhez használni kívánt IP-címtartományt. Ezeket az információkat a rendszer a virtuális központ konfigurálásakor használja. A virtuális központ egy virtuális hálózat, amelyet a Virtual WAN hoz létre és használ. Ez a virtual WAN-hálózat magja egy régióban. A címtartománynak meg kell felelnie bizonyos szabályoknak:

    • A központhoz megadott címtartomány nem fedheti át a meglévő virtuális hálózatokat, amelyekhez csatlakozik.
    • A címtartomány nem fedheti át a helyszíni címtartományokat, amelyekhez csatlakozik.
    • Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, koordináljon valakivel, aki meg tudja adni önnek ezeket az adatokat.

Virtuális WAN létrehozása

  1. A portál Erőforrás keresése sávján írja be a Virtual WAN kifejezést a keresőmezőbe, és válassza az Enter lehetőséget.

  2. Válassza ki a virtuális WAN-okat az eredmények közül. A Virtual WANs lapon válassza a + Létrehozás lehetőséget a WAN létrehozása lap megnyitásához.

  3. Töltse ki a mezőket a WAN létrehozása lap Alapszintű beállítások lapján. Módosítsa a példaértékeket úgy, hogy a környezetre vonatkozzanak.

    Képernyőkép a WAN létrehozása panelről, amelyen az Alapok lap van kijelölve.

    • Előfizetés: Válassza ki a használni kívánt előfizetést.
    • Erőforráscsoport: Hozzon létre újat, vagy használja a meglévőt.
    • Erőforráscsoport helye: Válasszon egy erőforráshelyet a legördülő listából. A WAN egy globális erőforrás, és nem egy adott régióban él. A létrehozott WAN-erőforrás kezeléséhez és megkereséséhez azonban ki kell választania egy régiót.
    • Név: Írja be a virtuális WAN-nak hívni kívánt nevet.
    • Típus: Alapszintű vagy Standard. Válassza a Standard lehetőséget. Ha az Alapszintű lehetőséget választja, ismerje meg, hogy az alapszintű virtuális WAN-k csak alapszintű központokat tartalmazhatnak. Az alapszintű központok csak helyek közötti kapcsolatokhoz használhatók.

  4. Miután kitöltötte a mezőket, a lap alján válassza a Véleményezés +Létrehozás lehetőséget.

  5. Az ellenőrzés sikeres befejezése után kattintson a Létrehozás gombra a virtuális WAN létrehozásához.

P2S-konfigurációs paraméterek definiálása

A pont–hely (P2S) konfiguráció határozza meg a távoli ügyfelek csatlakoztatásának paramétereit. Ez a szakasz segít meghatározni a P2S konfigurációs paramétereit, majd létrehozni a VPN-ügyfélprofilhoz használni kívánt konfigurációt. A követendő utasítások a használni kívánt hitelesítési módszertől függenek.

Hitelesítési módszerek

A hitelesítési módszer kiválasztásakor három lehetőség közül választhat. Minden metódusnak egyedi követelményei vannak. Válassza ki az alábbi módszerek egyikét, majd végezze el a lépéseket.

  • Microsoft Entra-hitelesítés: Szerezze be a következőket:

    • A Microsoft Entra-bérlőben regisztrált Azure VPN Enterprise-alkalmazás alkalmazásazonosítója .
    • A kiállító. Példa: https://sts.windows.net/your-Directory-ID
    • A Microsoft Entra-bérlő. Példa: https://login.microsoftonline.com/your-Directory-ID

  • Radius-alapú hitelesítés: A Radius-kiszolgáló IP-címének, a Radius-kiszolgáló titkos kódjának és a tanúsítványadatoknak a beszerzése.

  • Azure-tanúsítványok: Ehhez a konfigurációhoz tanúsítványokra van szükség. Tanúsítványokat kell létrehoznia vagy beszereznie. Minden ügyfélhez ügyféltanúsítvány szükséges. Emellett fel kell tölteni a főtanúsítvány adatait (nyilvános kulcsot). A szükséges tanúsítványokról további információt a tanúsítványok létrehozása és exportálása című témakörben talál.

  1. Keresse meg a létrehozott virtuális WAN-t.

  2. Válassza ki a felhasználói VPN-konfigurációkat a bal oldali menüből.

  3. A Felhasználói VPN-konfigurációk lapon válassza a +Felhasználói VPN-konfiguráció létrehozása lehetőséget.

    Képernyőkép a felhasználói VPN-konfigurációk oldaláról.

  4. Az Új felhasználói VPN-konfiguráció létrehozása lap Alapjai lapján, a Példány részletei csoportban adja meg a VPN-konfigurációhoz hozzárendelni kívánt nevet.

    Képernyőkép az IPsec egyénire váltásáról.

  5. Alagúttípus esetén válassza ki a kívánt alagúttípust a legördülő listából. Az alagúttípus beállításai: IKEv2 VPN, OpenVPN, OpenVpn és IKEv2. Minden alagúttípusnak vannak meghatározott kötelező beállításai. A választott alagúttípus megfelel az elérhető hitelesítési lehetőségeknek.

    Követelmények és paraméterek:

    IKEv2 VPN

    • Követelmények: Amikor kiválasztja az IKEv2 alagúttípust, megjelenik egy üzenet, amely egy hitelesítési módszer kiválasztására utasítja. Az IKEv2 esetében több hitelesítési módszert is megadhat. Választhat azure-tanúsítványt, RADIUS-alapú hitelesítést vagy mindkettőt.

    • EGYÉNI IPSec-paraméterek: Az IKE 1. és 2. fázisának paramétereinek testreszabásához állítsa az IPsec kapcsolót egyénire, és válassza ki a paraméterértékeket. A testre szabható paraméterekkel kapcsolatos további információkért tekintse meg az Egyéni IPsec-cikket .

    OpenVPN

    • Követelmények: Amikor kiválasztja az OpenVPN-alagút típusát, megjelenik egy üzenet, amely arra utasítja, hogy válasszon ki egy hitelesítési mechanizmust. Ha az OpenVPN van kiválasztva alagúttípusként, több hitelesítési módszert is megadhat. Az Azure Certificate, a Microsoft Entra ID vagy a RADIUS-alapú hitelesítés bármely részhalmazát kiválaszthatja. A RADIUS-alapú hitelesítéshez megadhat egy másodlagos RADIUS-kiszolgáló IP-címét és a kiszolgáló titkos kulcsát.

    OpenVPN és IKEv2

    • Követelmények: Az OpenVPN és az IKEv2 alagúttípus kiválasztásakor megjelenik egy üzenet, amely egy hitelesítési mechanizmus kiválasztására utasítja. Ha az OpenVPN és az IKEv2 van kiválasztva alagúttípusként, több hitelesítési módszert is megadhat. A Microsoft Entra-azonosítót az Azure-tanúsítvány vagy a RADIUS-alapú hitelesítés mellett választhatja ki. A RADIUS-alapú hitelesítéshez megadhat egy másodlagos RADIUS-kiszolgáló IP-címét és a kiszolgáló titkos kulcsát.

  6. Konfigurálja a használni kívánt hitelesítési módszereket. Minden hitelesítési módszer külön lapon található: Azure-tanúsítvány, RADIUS-hitelesítés és Microsoft Entra-azonosító. Egyes hitelesítési módszerek csak bizonyos alagúttípusokon érhetők el.

    A konfigurálni kívánt hitelesítési módszer lapján válassza az Igen lehetőséget az elérhető konfigurációs beállítások megjelenítéséhez.

    • Példa – Tanúsítványhitelesítés

      A beállítás konfigurálásához az alagút típusa lehet IKEv2, OpenVPN vagy OpenVPN és IKEv2.

      Képernyőkép: Igen kiválasztva.

    • Példa – RADIUS-hitelesítés

      A beállítás konfigurálásához az Alapszintű lap alagúttípusa lehet Ikev2, OpenVPN vagy OpenVPN és IKEv2.

      Képernyőkép a RADIUS-hitelesítés oldaláról.

    • Példa – Microsoft Entra-hitelesítés

      A beállítás konfigurálásához az Alapszintű lap alagúttípusának OpenVPN-nek kell lennie. A Microsoft Entra ID-alapú hitelesítést csak az OpenVPN támogatja.

      Microsoft Entra hitelesítési oldal.

  7. Ha befejezte a beállítások konfigurálását, válassza a Véleményezés + létrehozás lehetőséget a lap alján.

  8. Válassza a Létrehozás lehetőséget a felhasználói VPN-konfiguráció létrehozásához.

A központ és az átjáró létrehozása

Ebben a szakaszban egy pont–hely átjáróval hozza létre a virtuális központot. Konfiguráláskor a következő példaértékeket használhatja:

  • Központi magánhálózati IP-címtér: 10.1.0.0/16
  • Ügyfélcímkészlet: 10.5.0.0/16
  • Egyéni DNS-kiszolgálók: Legfeljebb 5 DNS-kiszolgálót listázhat

Alapismeretek lap

  1. Nyissa meg a létrehozott virtuális WAN-t. A virtuális WAN lap bal oldali paneljén, a Csatlakozás ivity alatt válassza a Hubs lehetőséget.

  2. A Hubs lapon válassza az +Új központ lehetőséget a Virtuális központ létrehozása lap megnyitásához.

    Képernyőkép a Virtuális központ létrehozása panelről, amelyen az Alapismeretek lap van kijelölve.

  3. A Virtuális központ létrehozása lap Alapszintű beállítások lapján töltse ki a következő mezőket:

    • Régió: Válassza ki azt a régiót, amelyben telepíteni szeretné a virtuális központot.
    • Név: Az a név, amellyel a virtuális központ ismert lesz.
    • Központi magáncímtér: A központ címtartománya a CIDR-jelölésben. A minimális címtér a /24 a központ létrehozásához.
    • Virtuális központ kapacitása: Válassza ki a legördülő listából. További információ: Virtuális központ beállításai.
    • Központi útválasztási beállítás: Hagyja meg alapértelmezettként. További információ: Virtuális központ útválasztási beállításai.

Pont–webhely lap

  1. Kattintson a Pont–hely lapra a pont–hely konfigurációs lap megnyitásához. A pont–hely beállítások megtekintéséhez kattintson az Igen gombra.

    Képernyőkép a virtuális központ konfigurációjáról, a kijelölt pont–hely beállítással.

  2. Adja meg az alábbi beállításokat:

    • Átjáró skálázási egységei – Ez a felhasználói VPN-átjáró összesített kapacitását jelöli. Ha 40 vagy több átjáróméretegységet választ ki, ennek megfelelően tervezze meg az ügyfélcímkészletet. További információ arról, hogy ez a beállítás milyen hatással van az ügyfélcímkészletre: Tudnivalók az ügyfélcímkészletekről. Az átjáró skálázási egységeivel kapcsolatos információkért tekintse meg a gyakori kérdéseket.

    • Pont–hely konfiguráció – Válassza ki az előző lépésben létrehozott felhasználói VPN-konfigurációt.

    • Útválasztási beállítás – Az Azure útválasztási beállításával kiválaszthatja, hogyan halad a forgalom az Azure és az internet között. Dönthet úgy, hogy a forgalmat a Microsoft-hálózaton, vagy az internetszolgáltató hálózatán (nyilvános interneten) keresztül irányítja. Ezeket a lehetőségeket hideg burgonya-útválasztásnak és forró burgonya-útválasztásnak is nevezik. A Virtual WAN nyilvános IP-címét a szolgáltatás a kiválasztott útválasztási beállítás alapján rendeli hozzá. A Microsoft-hálózaton vagy internetszolgáltatón keresztüli útválasztási beállításról az útválasztási beállításról szóló cikkben talál további információt.

    • Távoli/helyszíni RADIUS-kiszolgáló használata – Ha a Virtual WAN felhasználói VPN-átjáróJA RADIUS-alapú hitelesítés használatára van konfigurálva, a felhasználói VPN-átjáró proxyként működik, és RADIUS-hozzáférési kérelmeket küld a RADIUS-kiszolgálónak. A "Távoli/helyszíni RADIUS-kiszolgáló használata" beállítás alapértelmezés szerint le van tiltva, ami azt jelenti, hogy a felhasználói VPN-átjáró csak az átjáró központhoz csatlakoztatott virtuális hálózatok RADIUS-kiszolgálóinak tudja továbbítani a hitelesítési kérelmeket. A beállítás engedélyezése lehetővé teszi a felhasználói VPN-átjáró számára a távoli központokhoz csatlakoztatott vagy a helyszínen üzembe helyezett RADIUS-kiszolgálókkal való hitelesítést.

      Feljegyzés

      A távoli/helyszíni RADIUS-kiszolgáló beállítása és a kapcsolódó proxy IP-címek csak akkor használhatók, ha az átjáró RADIUS-alapú hitelesítés használatára van konfigurálva. Ha az átjáró nincs RADIUS-alapú hitelesítés használatára konfigurálva, a rendszer figyelmen kívül hagyja ezt a beállítást.

      Ha a felhasználók a központi profil helyett a globális VPN-profilhoz csatlakoznak, be kell kapcsolniuk a "Távoli/helyszíni RADIUS-kiszolgáló használata" funkciót. További információkért lásd a globális és a központi szintű profilokat.

      A felhasználói VPN-átjáró létrehozása után lépjen az átjáróra, és jegyezze fel a RADIUS-proxy IP-címeinek mezőjét. A RADIUS-proxy IP-címei a felhasználói VPN-átjáró által a RADIUS-kiszolgálónak küldött RADIUS-csomagok forrás IP-címei. Ezért a RADIUS-kiszolgálót úgy kell konfigurálni, hogy fogadja a RADIUS-proxy IP-címéről érkező hitelesítési kéréseket. Ha a RADIUS-proxy IP-címe üres vagy nincs, konfigurálja a RADIUS-kiszolgálót, hogy fogadja el a hitelesítési kéréseket a központ címteréből.

      Emellett állítsa be a RADIUS-kiszolgálót futtató kapcsolat (VNet vagy helyszíni) társítását és propagálását a pont–hely VPN-átjáróval üzembe helyezett központ alapértelmezettRouteTable-jára, és hogy a pont–hely VPN-konfiguráció a RADIUS-kiszolgálót futtató kapcsolat útvonaltáblájára propagálja. Ez kötelező annak biztosításához, hogy az átjáró beszéljen a RADIUS-kiszolgálóval, és fordítva.

      Képernyőkép a felhasználói V P N konfigurációról a RADIUS Proxy I Ps használatával.

    • Ügyfélcímkészlet – Az a címkészlet, amelyből az IP-címek automatikusan VPN-ügyfelekhez lesznek rendelve. A címkészletek eltérőek lehetnek. A címkészletek között nincs átfedés. További információ: Tudnivalók az ügyfélcímkészletekről.

    • Egyéni DNS-kiszolgálók – Az ügyfelek által használt DNS-kiszolgáló(ok) IP-címe. Legfeljebb 5 értéket adhat meg.

  3. Válassza a Véleményezés + létrehozás lehetőséget a beállítások érvényesítéséhez.

  4. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget. A központ létrehozása akár 30 percet is igénybe vehet.

VPN-ügyfél konfigurációs fájljainak létrehozása

Ebben a szakaszban létrehozza és letölti a konfigurációs profil fájljait. Ezek a fájlok a natív VPN-ügyfél konfigurálására szolgálnak az ügyfélszámítógépen.

  1. WAN-szintű globális profilú VPN-ügyfélkonfigurációs csomag létrehozásához nyissa meg a virtuális WAN-t (nem a virtuális központot).

  2. A bal oldali panelen válassza a Felhasználói VPN-konfigurációk lehetőséget.

  3. Válassza ki azt a konfigurációt, amelyhez le szeretné tölteni a profilt. Ha több hub van hozzárendelve ugyanahhoz a profilhoz, bontsa ki a profilt a hubok megjelenítéséhez, majd válassza ki a profilt használó központokat.

  4. Válassza a Virtual WAN felhasználói VPN-profil letöltése lehetőséget.

  5. A letöltési lapon válassza az EAPTLS, majd a Profil létrehozása és letöltése lehetőséget. Létrejön egy profilcsomag (zip-fájl), amely tartalmazza az ügyfélkonfigurációs beállításokat, és letölti a számítógépet. A csomag tartalma a konfiguráció hitelesítési és alagútválasztási lehetőségeitől függ.

VPN-ügyfelek konfigurálása

A letöltött profillal konfigurálhatja a távelérésű ügyfeleket. Az egyes operációs rendszerek eljárása eltérő, kövesse a rendszerre vonatkozó utasításokat.

IKEv2

A felhasználói VPN-konfigurációban, ha megadta az IKEv2 VPN-alagút típusát, konfigurálhatja a natív VPN-ügyfelet (Windows és macOS Catalina vagy újabb).

A következő lépések a Windowshoz tartoznak. MacOS esetén lásd az IKEv2-macOS lépéseit.

  1. Válassza ki a Windows rendszerű számítógép architektúrájának megfelelő VPN-ügyfélkonfigurációs fájlokat. 64 bites processzorarchitektúra esetén a „VpnClientSetupAmd64” telepítőcsomagot válassza. 32 bites processzorarchitektúra esetén a „VpnClientSetupX86” telepítőcsomagot válassza.

  2. Kattintson duplán a csomagra a telepítéséhez. Ha megjelenik egy SmartScreen-előugró ablak, válassza a További információ, majd a Futtatás parancsot.

  3. Az ügyfélszámítógépen lépjen a Hálózati Gépház elemre, és válassza a VPN-t. A VPN-kapcsolat megjeleníti annak a virtuális hálózatnak a nevét, amelyhez csatlakozott.

  4. Telepítsen egy ügyféltanúsítványt minden olyan számítógépre, amelyhez ehhez a felhasználói VPN-konfigurációhoz csatlakozni szeretne. A natív Azure-tanúsítványhitelesítési típus használata esetén a hitelesítéshez ügyféltanúsítványra van szükség. A tanúsítványok létrehozásával kapcsolatos további információkért lásd a Tanúsítványok létrehozása című témakört. Az ügyféltanúsítvány telepítéséről további információt az ügyféltanúsítvány telepítése című témakörben talál.

OpenVPN

A felhasználói VPN-konfigurációban, ha az OpenVPN-alagút típusát adta meg, letöltheti és konfigurálhatja az Azure VPN-ügyfelet, vagy bizonyos esetekben OpenVPN-ügyfélszoftvert is használhat. A lépésekhez használja a konfigurációnak megfelelő hivatkozást.

A küllős virtuális hálózat Csatlakozás

Ebben a szakaszban kapcsolatot hoz létre a központ és a küllős virtuális hálózat között.

  1. Az Azure Portalon nyissa meg a Virtual WAN-t a bal oldali panelen, és válassza a Virtuális hálózati kapcsolatok lehetőséget.

  2. A Virtuális hálózati kapcsolatok lapon válassza a + Kapcsolat hozzáadása lehetőséget.

  3. A Kapcsolat hozzáadása lapon konfigurálja a kapcsolat beállításait. Az útválasztási beállításokkal kapcsolatos információkért lásd: Útválasztás.

    Képernyőkép a Kapcsolat hozzáadása lapról.

    • Csatlakozás ion neve: Adja meg a kapcsolatot.
    • Központok: Válassza ki a kapcsolatot társítani kívánt központot.
    • Előfizetés: Ellenőrizze az előfizetést.
    • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amely tartalmazza azt a virtuális hálózatot, amelyhez csatlakozni szeretne.
    • Virtuális hálózat: Válassza ki a központhoz csatlakozni kívánt virtuális hálózatot. A kiválasztott virtuális hálózat nem rendelkezhet már meglévő virtuális hálózati átjáróval.
    • Propagálás egyikre sem: Ez alapértelmezés szerint Nem értékre van állítva. Ha igenre módosítja a kapcsolót, akkor a Propagálás útvonaltáblákra és Propagálás címkére beállítási beállításai nem érhetők el a konfigurációhoz.
    • Útvonaltábla társítása: A legördülő listában kiválaszthatja a társítani kívánt útvonaltáblát.
    • Propagálás címkékre: A címkék az útvonaltáblák logikai csoportja. Ehhez a beállításhoz válassza ki a legördülő menüt.
    • Statikus útvonalak: Szükség esetén konfigurálja a statikus útvonalakat. Konfigurálja a hálózati virtuális berendezések statikus útvonalait (ha van ilyen). A Virtual WAN egyetlen következő ugrási IP-címet támogat a virtuális hálózati kapcsolat statikus útvonalához. Ha például külön virtuális berendezéssel rendelkezik a bejövő és kimenő forgalom áramlásához, a legjobb, ha a virtuális berendezéseket külön virtuális hálózatokban használja, és csatolja a virtuális hálózatokat a virtuális központhoz.
    • Megkerülheti a következő ugrási IP-címet a virtuális hálózaton belüli számítási feladatokhoz: Ez a beállítás lehetővé teszi, hogy az NVA-kat és más számítási feladatokat ugyanabba a virtuális hálózatba telepítse anélkül, hogy az összes forgalmat az NVA-n keresztül kényszeríti. Ez a beállítás csak új kapcsolat konfigurálásakor konfigurálható. Ha ezt a beállítást egy már létrehozott kapcsolathoz szeretné használni, törölje a kapcsolatot, majd vegyen fel egy új kapcsolatot.
    • Statikus útvonal propagálása: Ez a beállítás jelenleg ki van állítva. Ez a beállítás lehetővé teszi a Statikus útvonalak szakaszban meghatározott statikus útvonalak propagálását a Propagálás útvonaltáblákra való átirányításához. Emellett az útvonalak propagálása olyan táblákra is megtörténik, amelyek címkéi propagálásként vannak megadva a címkékre. Ezek az útvonalak az alapértelmezett 0/0 útvonal kivételével terjeszthetők a központon keresztül. Ez a funkció a bevezetés folyamatában van. Ha engedélyezni szeretné ezt a funkciót, forduljon a vwanpm@microsoft.com

  4. Miután befejezte a konfigurálni kívánt beállításokat, kattintson a Létrehozás gombra a kapcsolat létrehozásához.

Virtuális gépek létrehozása

Ebben a szakaszban két virtuális gépet hoz létre a virtuális hálózaton, a VM1-ben és a VM2-ben. A hálózati diagramban a 10.18.0.4-et és a 10.18.0.5-öt használjuk. A virtuális gépek konfigurálásakor mindenképpen válassza ki a létrehozott virtuális hálózatot (amely a Hálózatkezelés lapon található). A virtuális gép létrehozásának lépéseit a következő rövid útmutatóban találja : Virtuális gép létrehozása.

A virtuális központ védelme

A szabványos virtuális központ nem rendelkezik beépített biztonsági szabályzatokkal a küllős virtuális hálózatok erőforrásainak védelmére. A biztonságos virtuális központ az Azure Firewall vagy egy külső szolgáltató használatával kezeli a bejövő és kimenő forgalmat az Azure-beli erőforrások védelme érdekében.

Alakítsa át a központot biztonságos központtá a következő cikk használatával: Az Azure Firewall konfigurálása virtuális WAN-központban.

Szabályok létrehozása a forgalom kezeléséhez és szűréséhez

Az Azure Firewall viselkedését diktáló szabályok létrehozása. A központ biztonságossá tételével biztosítjuk, hogy a virtuális központba belépő összes csomag tűzfalfeldolgozás alá kerüljön, mielőtt hozzáfér az Azure-erőforrásokhoz.

A lépések elvégzése után létre fog hozni egy architektúrát, amely lehetővé teszi, hogy a VPN-felhasználók hozzáférjenek a virtuális géphez a 10.18.0.4 privát IP-címmel, de NEM férhetnek hozzá a 10.18.0.5-ös magánhálózati IP-címmel rendelkező virtuális géphez

  1. Az Azure Portalon lépjen a Firewall Managerre.

  2. A Biztonság területen válassza az Azure Firewall-szabályzatokat.

  3. Válassza az Azure Firewall-szabályzat létrehozása lehetőséget.

  4. A Szabályzat részletei területen írjon be egy nevet, és válassza ki azt a régiót, amelyben a virtuális központ telepítve van.

  5. Válassza a Tovább: DNS-Gépház lehetőséget.

  6. Válassza a Következő: Szabályok lehetőséget.

  7. A Szabályok lapon válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  8. Adja meg a gyűjtemény nevét. Állítsa be a típust Hálózatként. Adjon hozzá egy 100-ás prioritási értéket.

  9. Adja meg a szabály nevét, a forrástípust, a forrást, a protokollt, a célportokat és a céltípust az alábbi példában látható módon. Ezután válassza a Hozzáadás lehetőséget. Ez a szabály lehetővé teszi, hogy a VPN-ügyfélkészlet bármely IP-címe hozzáférjen a virtuális géphez a 10.18.04 magánhálózati IP-címmel, de a virtuális központhoz csatlakoztatott egyéb erőforrással nem. Hozzon létre minden olyan szabályt, amely megfelel a kívánt architektúrának és engedélyszabályoknak.

    Tűzfalszabályok

  10. Válassza a Következő lehetőséget: Fenyegetésfelderítés.

  11. Válassza a Tovább: Hubs lehetőséget.

  12. A Hubs lapon válassza a Virtuális központok társítása lehetőséget.

  13. Válassza ki a korábban létrehozott virtuális központot, majd válassza a Hozzáadás lehetőséget.

  14. Válassza az Áttekintés + létrehozás lehetőséget.

  15. Válassza a Létrehozás lehetőséget.

A folyamat végrehajtása akár 5 percet is igénybe vehet.

Forgalom irányítása az Azure Firewallon keresztül

Ebben a szakaszban gondoskodnia kell arról, hogy a forgalom az Azure Firewallon keresztül legyen irányítva.

  1. A portál tűzfalkezelőjében válassza a Biztonságos virtuális központok lehetőséget.
  2. Válassza ki a létrehozott virtuális központot.
  3. A Gépház területen válassza a Biztonsági konfiguráció lehetőséget.
  4. A Privát forgalom területen válassza a Küldés az Azure Firewallon keresztül lehetőséget.
  5. Ellenőrizze, hogy a virtuális hálózati kapcsolatot és a fiókkapcsolat privát forgalmát az Azure Firewall védi-e.
  6. Válassza a Mentés parancsot.

Feljegyzés

Ha biztonságos virtuális központban szeretné megvizsgálni a privát végpontok felé irányuló forgalmat az Azure Firewall használatával, tekintse meg az Azure Virtual WAN privát végpontjai felé irányuló biztonságos forgalmat. A privát forgalom előtagjaihoz /32 előtagot kell hozzáadnia az Azure Firewall-kezelő biztonsági konfigurációja alatt található privát adatforgalom előtagjaihoz , hogy a biztonságos virtuális központban az Azure Firewallon keresztül vizsgálhassa őket. Ha ezek a /32 előtagok nincsenek konfigurálva, a privát végpontokra irányuló forgalom megkerüli az Azure Firewallt.

Validate

Ellenőrizze a biztonságos központ beállítását.

  1. Csatlakozás a Biztonságos virtuális központ VPN-en keresztül az ügyféleszközről.
  2. Pingelje a 10.18.0.4 IP-címet az ügyféltől. Meg kell jelennie egy válasznak.
  3. Pingelje a 10.18.0.5 IP-címet az ügyféltől. Nem lehet látni a választ.

Megfontolások

  • Győződjön meg arról, hogy a védett virtuális központ Érvényes útvonalak táblája a következő ugrással rendelkezik a tűzfalon keresztüli privát forgalomhoz. Az Érvényes útvonalak táblához való hozzáféréshez lépjen a Virtual Hub-erőforráshoz . A Csatlakozás ivity területen válassza az Útválasztás, majd az Érvényes útvonalak lehetőséget. Innen válassza ki az Alapértelmezett útvonal táblát.
  • Ellenőrizze, hogy létrehozott-e szabályokat a Szabályok létrehozása szakaszban. Ha ezek a lépések kimaradnak, a létrehozott szabályok valójában nem lesznek társítva a központhoz, és az útvonaltábla és a csomagfolyamat nem használja az Azure Firewallt.

Következő lépések

  • A Virtual WAN-ról további információt a Virtual WAN gyakori kérdéseiben talál.
  • Az Azure Firewallról további információt az Azure Firewall gyakori kérdéseiben talál.