A titkosítási követelmények és az Azure VPN-átjárók ismertetése
Ez a cikk azt ismerteti, hogyan konfigurálhatja az Azure VPN-átjárókat úgy, hogy megfeleljenek a titkosítási követelményeknek mind a helyszíni S2S VPN-alagutak, mind az Azure-beli virtuális hálózatok közötti kapcsolatok esetében.
Az IKEv1 és az IKEv2 az Azure VPN-kapcsolatokhoz
Hagyományosan csak az alapszintű termékváltozatokhoz engedélyeztünk IKEv1 kapcsolatokat, és engedélyezett IKEv2 kapcsolatokat az alapszintű termékváltozatok kivételével minden VPN Gateway SKU-hoz. Az alapszintű termékváltozatok csak 1 kapcsolatot engedélyeznek, és más korlátozásokkal, például a teljesítménnyel együtt az olyan örökölt eszközöket használó ügyfelek, amelyek csak az IKEv1 protokollokat támogatják, korlátozott tapasztalattal rendelkeztek. Az IKEv1 protokollokat használó ügyfelek élményének növelése érdekében mostantól az alapszintű termékváltozat kivételével engedélyezzük az IKEv1-kapcsolatokat az összes VPN-átjáró termékváltozatához. További információ: VPN Gateway termékváltozatok. Vegye figyelembe, hogy az IKEv1-et használó VPN-átjárók a főmódú újrakulcsok során alagút-újracsatlakozásokat tapasztalhatnak.
Ha az IKEv1 és az IKEv2 kapcsolatok ugyanarra a VPN-átjáróra vannak alkalmazva, a két kapcsolat közötti átvitel automatikusan telepíthető.
Tudnivalók az Azure VPN-átjárók IPsec- és IKE-szabályzatparamétereiről
Az IPsec és az IKE protokollszabvány számos titkosítási algoritmust támogat különböző kombinációkban. Ha nem kér titkosítási algoritmusok és paraméterek meghatározott kombinációját, az Azure VPN-átjárók alapértelmezett javaslatokat használnak. Az alapértelmezett szabályzatkészleteket úgy választották ki, hogy az alapértelmezett konfigurációkban maximalizálják a külső VPN-eszközök széles skálájával való együttműködést. Ennek eredményeképpen a szabályzatok és a javaslatok száma nem fedheti le a rendelkezésre álló titkosítási algoritmusok és a fő erősségek összes lehetséges kombinációját.
Alapértelmezett szabályzat
Az Azure VPN Gateway alapértelmezett szabályzatkészlete a következő cikkben található: Tudnivalók a VPN-eszközökről és a helyek közötti VPN Gateway-kapcsolatok IPsec/IKE-paramétereiről.
Titkosítási követelmények
Az olyan kommunikációk esetében, amelyek konkrét titkosítási algoritmusokat vagy paramétereket igényelnek, amelyek jellemzően megfelelőségi vagy biztonsági követelmények miatt szükségesek, most már konfigurálhatja az Azure VPN-átjáróikat úgy, hogy az Azure alapértelmezett szabályzatkészletei helyett egy egyéni IPsec/IKE-szabályzatot használjanak meghatározott titkosítási algoritmusokkal és kulcserősségekkel.
Az Azure VPN-átjárók IKEv2 fő módú szabályzatai például csak a Diffie-Hellman 2. csoportot használják (1024 bit), míg előfordulhat, hogy erősebb csoportokat kell megadnia az IKE-ben, például 14. csoport (2048 bites), 24. csoport (2048 bites MODP-csoport) vagy ECP (háromliptikus görbecsoportok) 256 vagy 384 bites (19. és 20. csoport, illetve). Hasonló követelmények vonatkoznak az IPsec gyorsmódú szabályzatokra is.
Egyéni IPsec/IKE-szabályzat Azure VPN-átjárókkal
Az Azure VPN-átjárók mostantól támogatják a kapcsolatonkénti, egyéni IPsec/IKE-szabályzatot. Helyek közötti vagy virtuális hálózatok közötti kapcsolat esetén az IPsec és az IKE titkosítási algoritmusainak meghatározott kombinációját választhatja ki a kívánt kulcserősséggel, ahogyan az alábbi példában látható:
Létrehozhat egy IPsec/IKE-szabályzatot, és alkalmazhat egy új vagy meglévő kapcsolatra.
Munkafolyamat
- Hozza létre a virtuális hálózatokat, a VPN-átjárókat vagy a helyi hálózati átjárókat a kapcsolati topológiához az egyéb útmutató dokumentumokban leírtak szerint.
- Hozzon létre egy IPsec/IKE-szabályzatot.
- A szabályzatot S2S vagy VNet–VNet kapcsolat létrehozásakor alkalmazhatja.
- Ha a kapcsolat már létrejött, alkalmazhatja vagy frissítheti a szabályzatot egy meglévő kapcsolatra.
IPsec/IKE-szabályzat – gyakori kérdések
Minden Azure VPN-átjáróhoz tartozó termékváltozat támogatja az egyéni IPsec/IKE-házirendet?
Az egyéni IPsec/IKE-szabályzat az alapszintű termékváltozat kivételével minden Azure-termékváltozatban támogatott.
Hány házirendeket adhatok meg egy kapcsolathoz?
Egy adott kapcsolathoz csak egy házirendet adhat meg.
Megadhatok részleges házirendet egy kapcsolathoz? (például csak IKE-algoritmusokat, IPsec nélkül)
Nem, minden algoritmust és paramétert meg kell adnia mind az IKE (Elsődleges mód), mind az IPsec (Gyors mód) esetében. Részleges házirend-specifikáció nem engedélyezett.
Milyen algoritmusokat és milyen erősségű kulcsokat támogat az egyéni házirend?
Az alábbi táblázat a konfigurálható támogatott titkosítási algoritmusokat és kulcserősségeket sorolja fel. Minden mezőhöz választania kell egy lehetőséget.
| IPsec/IKEv2 | Beállítások |
|---|---|
| IKEv2-titkosítás | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| IKEv2-integritás | SHA384, MD5, SHA1, SHA256 |
| DH-csoport | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| IPsec-titkosítás | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nincs |
| IPsec-integritás | GCMAES256, GCMAES192, GCMAES128, SHA-256, SHA1, MD5 |
| PFS-csoport | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nincs |
| Gyorsmódú biztonsági társítás élettartama | (Nem kötelező: az alapértelmezett értékeket használja a rendszer, ha nincs megadva) Másodperc (egész szám; min. 300/alapértelmezett érték: 27000 másodperc) KB (egész szám; min. 1024/alapértelmezett érték: 102400000 KB) |
| Forgalomválasztó | UsePolicyBasedTrafficSelectors** ($True/$False; Nem kötelező, alapértelmezett $False, ha nincs megadva) |
| DPD időtúllépés | Másodperc (egész szám: min. 9/max. 3600; alapértelmezett 45 másodperc) |
A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:
- IKE titkosítási algoritmus (fő mód / 1. fázis)
- IKE integritási algoritmus (fő mód / 1. fázis)
- DH-csoport (fő mód / 1. fázis)
- IPsec titkosítási algoritmus (gyors mód / 2. fázis)
- IPsec-integritási algoritmus (gyors mód / 2. fázis)
- PFS-csoport (gyors mód / 2. fázis)
- Forgalomválasztó (ha a UsePolicyBasedTrafficSelectorst használja)
- Az sa élettartamok csak helyi specifikációk, és nem kell egyeznie.
Ha a GCMAES-t az IPsec-titkosítási algoritmushoz használja, ugyanazt a GCMAES-algoritmust és kulcshosszt kell kiválasztania az IPsec-integritáshoz; például GCMAES128 mindkettőhöz.
Az Algoritmusok és kulcsok táblában:
- Az IKE a fő módnak vagy az 1. fázisnak felel meg.
- Az IPsec a gyors módnak vagy a 2. fázisnak felel meg.
- A DH-csoport a fő módban vagy az 1. fázisban használt Diffie-Hellman csoportot adja meg.
- A PFS-csoport a gyors módban vagy a 2. fázisban használt Diffie-Hellman csoportot adta meg.
Az IKE főmódú sa élettartama 28 800 másodpercen van rögzítve az Azure VPN-átjárókon.
A "UsePolicyBasedTrafficSelectors" a kapcsolat opcionális paramétere. Ha a UsePolicyBasedTrafficSelectorst úgy állítja be, hogy $True egy kapcsolaton, az az Azure VPN-átjárót úgy konfigurálja, hogy a helyszíni házirendalapú VPN-tűzfalhoz csatlakozzon. Ha engedélyezi a PolicyBasedTrafficSelectors szolgáltatást, győződjön meg arról, hogy a VPN-eszköz rendelkezik a helyszíni hálózat (helyi hálózati átjáró) előtagjainak az Azure-beli virtuális hálózati előtagok közötti és az azokból származó összes kombinációjával definiált egyező forgalomválasztókkal, ahelyett, hogy bármelyikhez. Az Azure VPN Gateway bármilyen forgalomválasztót elfogad, amelyet a távoli VPN-átjáró javasol, függetlenül attól, hogy mi van konfigurálva az Azure VPN-átjárón.
Például ha a helyszíni hálózati előtagok a 10.1.0.0/16 és a 10.2.0.0/16, a virtuális hálózati előtagok pedig 192.168.0.0/16 és 172.16.0.0/16, az alábbi forgalomválasztókat kell megadnia:
- 10.1.0.0/16 <===> 192.168.0.0/16
- 10.1.0.0/16 <===> 172.16.0.0/16
- 10.2.0.0/16 <===> 192.168.0.0/16
- 10.2.0.0/16 <===> 172.16.0.0/16
A szabályzatalapú forgalomválasztókkal kapcsolatos további információkért tekintse meg Csatlakozás több helyszíni szabályzatalapú VPN-eszközt.
DPD időtúllépés – Az alapértelmezett érték 45 másodperc az Azure VPN-átjárókon. Ha rövidebb időszakokra állítja az időtúllépést, az IKE agresszívabb újrakulcsolását eredményezi, ami azt eredményezi, hogy egyes esetekben a kapcsolat megszakad. Ez nem feltétlenül kívánatos, ha a helyszíni helyek távolabb vannak attól az Azure-régiótól, ahol a VPN-átjáró található, vagy a fizikai kapcsolat állapota csomagvesztést okozhat. Az általános javaslat az időtúllépés beállítása 30–45 másodperc között.
További információ: Több helyszíni házirendalapú VPN-eszköz csatlakoztatása.
Mely Diffie-Hellman csoportok támogatottak?
Az alábbi táblázat az egyéni szabályzat által támogatott megfelelő Diffie-Hellman-csoportokat sorolja fel:
| Diffie-Hellman csoport | DH-csoport | PFS-csoport | A kulcs hossza |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 bites MODP |
| 2 | DHGroup2 | PFS2 | 1024 bites MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 bites MODP |
| 19 | ECP256 | ECP256 | 256 bites ECP |
| 20 | ECP384 | ECP384 | 384 bites ECP |
| 24 | DHGroup24 | PFS24 | 2048 bites MODP |
További részletekért lásd: RFC3526 és RFC5114.
Az egyéni házrend helyettesíti az alapértelmezett IPsec/IKE-házirendet az Azure VPN-átjárókon?
Igen. Miután megadott egy egyéni házirendet egy kapcsolathoz, az Azure VPN-átjáró csak a kapcsolat házirendjét használja, mind IKE-kezdeményezőként, mind IKE-válaszadóként.
Ha eltávolítok egy egyéni IPsec/IKE-házirendet, azzal a kapcsolat nem védetté válik?
Nem, a kapcsolatot továbbra is védi az IPsec/IKE. Miután eltávolítja a kapcsolat egyéni házirendjét, az Azure VPN-átjáró visszaáll az IPsec/IKE-javaslatok alapértelmezett listájára, és újraindítja az IKE-kézfogást a helyszíni VPN-eszközzel.
Az IPsec/IKE-házirend hozzáadása vagy frissítése megszakítja a VPN-kapcsolatot?
Igen, ez okozhat rövid (néhány másodperces) megszakítást, mivel az Azure VPN-átjáró bontja a meglévő kapcsolatot, és újraindítja az IKE-kézfogást, így újra létrehozza az IPsec-alagutat az új titkosítási algoritmusokkal és paraméterekkel. Győződjön meg róla, hogy a helyszíni VPN-eszközt is konfigurálta ugyanazokkal az algoritmusokkal és kulcserősségekkel, így minimálisra csökkentheti a megszakítások időtartamát.
Használhatok különböző házirendeket különböző kapcsolatokhoz?
Igen. Az egyéni házirendeket kapcsolatonként hozza létre. A különböző kapcsolatokhoz különböző IPsec/IKE-házirendeket hozhat létre és alkalmazhat. Emellett a kapcsolatok egy részhalmazára is alkalmazhat egyéni házirendeket. A fennmaradó kapcsolatok az Azure alapértelmezett IPsec/IKE-házirendjét használják.
Használhatok egyéni házirendet a virtuális hálózatok közötti kapcsolatokhoz is?
Igen, mind az IPsec létesítmények közötti kapcsolataihoz, mind a virtuális hálózatok közötti kapcsolatokhoz alkalmazhat egyéni házirendet.
Ugyanazt a házirendet kell megadnom mindkét, virtuális hálózatok közötti kapcsolat erőforrásaihoz?
Igen. A virtuális hálózatok közötti alagút két kapcsolati erőforrásból áll az Azure-ban, amelyek a két különböző irányba mutatnak. Győződjön meg róla, hogy mindkét kapcsolati erőforrás azonos házirenddel rendelkezik, ellenkező esetben a virtuális hálózatok közötti kapcsolat nem jön létre.
Mi az alapértelmezett DPD időtúllépési érték? Megadhatok egy másik DPD-időtúllépést?
Az alapértelmezett DPD-időtúllépés 45 másodperc. Minden IPsec- vagy VNet–VNet-kapcsolaton megadhat egy másik DPD-időtúllépési értéket 9 másodperctől 3600 másodpercig.
Feljegyzés
Az alapértelmezett érték 45 másodperc az Azure VPN-átjárókon. Ha rövidebb időszakokra állítja az időtúllépést, az IKE agresszívabb újrakulcsolását eredményezi, ami azt eredményezi, hogy egyes esetekben a kapcsolat megszakad. Ez nem feltétlenül kívánatos, ha a helyszíni helyek távolabb vannak attól az Azure-régiótól, ahol a VPN-átjáró található, vagy ha a fizikai kapcsolat állapota csomagvesztést okozhat. Az általános javaslat az időtúllépés beállítása 30 és 45 másodperc között.
Működik az egyéni IPsec/IKE-házirend az ExpressRoute-kapcsolatokkal?
Szám Az IPsec/IKE-házirend csak az S2S VPN- és a virtuális hálózatok közötti kapcsolatokkal, az Azure VPN-átjárókon keresztül működik.
Hogyan IKEv1 vagy IKEv2 protokolltípussal hoz létre kapcsolatokat?
Az IKEv1-kapcsolatok az összes RouteBased VPN-típusú termékváltozaton létrehozhatók, kivéve az alapszintű termékváltozatot, a standard termékváltozatot és az egyéb örökölt termékváltozatokat. A kapcsolatok létrehozásakor megadhatja az IKEv1 vagy IKEv2 kapcsolati protokoll típusát. Ha nem ad meg kapcsolati protokolltípust, az IKEv2 az alapértelmezett beállítás, ahol lehetséges. További információkért tekintse meg a PowerShell-parancsmag dokumentációját. Az SKU-típusok és az IKEv1/IKEv2 támogatásáról lásd Csatlakozás házirendalapú VPN-eszközök átjáróit.
Engedélyezett az IKEv1 és az IKEv2 kapcsolatok közötti átvitel?
Igen. Az IKEv1 és az IKEv2 kapcsolatok közötti átvitel támogatott.
Rendelkezhetek IKEv1 helyek közötti kapcsolatokkal a RouteBased VPN-típus alapszintű termékváltozataihoz?
Szám Az alapszintű termékváltozat ezt nem támogatja.
Módosíthatom a kapcsolat protokolltípusát a kapcsolat létrehozása után (IKEv1 IKEv2 és fordítva)?
Szám A kapcsolat létrehozása után az IKEv1/IKEv2 protokollok nem módosíthatók. Törölnie kell és újra létre kell hoznia egy új kapcsolatot a kívánt protokolltípussal.
Miért csatlakozik gyakran újra az IKEv1-kapcsolat?
Ha a statikus útválasztási vagy útvonalalapú IKEv1-kapcsolat rutin időközönként megszakad, annak valószínűleg az az oka, hogy a VPN-átjárók nem támogatják a helyszíni újrakulcsokat. A fő mód újrakulcsolásakor az IKEv1 alagutak megszakadnak, és akár 5 másodpercig is eltarthat az újracsatlakozás. A fő módú egyeztetés időtúllépési értéke határozza meg az újrakulcsok gyakoriságát. Az újracsatlakozások megakadályozása érdekében válthat az IKEv2 használatára, amely támogatja a helyszíni újrakulcsokat.
Ha a kapcsolat véletlenszerű időpontokban újracsatlakozik, kövesse a hibaelhárítási útmutatót.
Hol találhatók a konfigurációs információk és a lépések?
További információkért és konfigurációs lépésekért tekintse meg az alábbi cikkeket.
- IPsec/IKE-szabályzat konfigurálása S2S- vagy VNet–VNet-kapcsolatokhoz – Azure Portal
- IPsec/IKE-szabályzat konfigurálása S2S- vagy VNet–VNet-kapcsolatokhoz – Azure PowerShell
Következő lépések
Az egyéni IPsec-/IKE-szabályzat kapcsolaton való konfigurálásával kapcsolatos részletes útmutatásért lásd : IPsec/IKE-szabályzat konfigurálása.
A UsePolicyBasedTrafficSelectors beállításról további információt Csatlakozás több szabályzatalapú VPN-eszközről is.