Mengelola akses aman ke sumber daya di VNet spoke untuk klien VPN Pengguna

  • Artikel

Artikel ini memperlihatkan kepada Anda cara menggunakan aturan dan filter Virtual WAN dan Azure Firewall untuk mengelola akses aman untuk koneksi ke sumber daya Anda di Azure melalui koneksi IKEv2 atau OpenVPN titik-ke-situs. Konfigurasi ini berguna jika Anda memiliki pengguna jarak jauh yang ingin dibatasi aksesnya ke sumber daya Azure, atau untuk mengamankan sumber daya di Azure.

Langkah-langkah dalam artikel ini membantu Anda membuat arsitektur dalam diagram berikut untuk memungkinkan klien VPN Pengguna mengakses sumber daya tertentu (VM1) dalam spoke VNet yang tersambung ke hub virtual, tetapi bukan sumber daya lain (VM2). Gunakan contoh arsitektur ini sebagai pedoman dasar.

Diagram Hub virtual yang aman.

Prasyarat

  • Anda memiliki langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis.

  • Anda memiliki jaringan virtual yang ingin Anda sambungkan.

    • Pastikan bahwa tidak ada subnet jaringan lokal Anda yang tumpang tindih dengan jaringan virtual yang ingin Anda sambungkan.
    • Untuk membuat jaringan virtual di portal Microsoft Azure, lihat artikel Mulai Cepat.

  • Jaringan virtual Anda tidak boleh memiliki gateway jaringan virtual yang ada.

    • Jika jaringan virtual Anda sudah memiliki gateway (VPN atau ExpressRoute), Anda harus menghapus semua gateway sebelum melanjutkan.
    • Konfigurasi ini mengharuskan jaringan virtual terhubung ke gateway hub Virtual WAN saja.

  • Tentukan rentang alamat IP yang ingin Anda gunakan untuk ruang alamat privat hub virtual Anda. Informasi ini digunakan saat mengonfigurasi hub virtual Anda. Hub virtual adalah jaringan virtual yang dibuat dan digunakan oleh Virtual WAN. Ini adalah inti dari jaringan Virtual WAN Anda di suatu wilayah. Rentang ruang alamat harus sesuai dengan aturan tertentu:

    • Rentang alamat yang Anda tentukan untuk hub tidak dapat tumpang tindih dengan jaringan virtual apa pun yang anda sambungkan.
    • Rentang alamat tidak boleh tumpang tindih dengan rentang alamat lokal yang Anda sambungkan.
    • Jika tidak terbiasa dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal, koordinasikan dengan seseorang yang dapat memberikan detail tersebut untuk Anda.
  • Anda memiliki nilai yang tersedia untuk konfigurasi autentikasi yang ingin digunakan. Misalnya, server RADIUS, autentikasi Microsoft Entra, atau Buat dan ekspor sertifikat.

Membuat virtual WAN

  1. Di portal, pada bilah Cari sumber daya, ketik Virtual WAN dalam kotak pencarian dan pilih Enter.

  2. Pilih Virtual WAN dari hasil. Di halaman Virtual WAN, pilih + Buat untuk membuka halaman Buat WAN.

  3. Di halaman Buat WAN, pada tab Dasar, isi bidang. Ubah contoh nilai untuk diterapkan ke lingkungan Anda.

    Cuplikan layar memperlihatkan panel Buat WAN dengan tab Dasar dipilih.

    • Langganan: Pilih langganan yang ingin digunakan.
    • Grup Sumber Daya: Buat yang baru atau gunakan yang sudah ada.
    • Lokasi grup sumber daya: Pilih lokasi sumber daya dari menu drop-down. WAN adalah sumber daya global dan tidak tinggal di wilayah tertentu. Namun, Anda harus memilih wilayah agar dapat mengelola dan menemukan sumber daya WAN yang Anda buat.
    • Nama: Ketik Nama yang Anda inginkan untuk virtual WAN Anda.
    • Jenis: Dasar atau Standar. Pilih Standar. Jika Dasar dipilih, pahami bahwa WAN virtual Dasar hanya boleh berisi hub Dasar. Hub dasar hanya dapat digunakan untuk koneksi situs-ke-situs.

  4. Setelah selesai mengisi bidang, di bagian bawah halaman, pilih Tinjau +Buat.

  5. Setelah lolos validasi, pilih Buat untuk membuat virtual WAN.

Menentukan parameter konfigurasi P2S

Konfigurasi point-to-site (P2S) menentukan parameter untuk menyambungkan klien jarak jauh. Bagian ini membantu Anda menentukan parameter konfigurasi P2S, lalu membuat konfigurasi yang akan digunakan untuk profil klien VPN. Instruksi yang Anda ikuti bergantung pada metode autentikasi yang ingin digunakan.

Metode autentikasi

Saat memilih metode autentikasi, Anda punya tiga pilihan. Setiap metode memiliki persyaratan khusus. Pilih salah satu metode berikut, lalu selesaikan langkah-langkahnya.

  • Autentikasi Microsoft Entra: Dapatkan hal berikut:

    • ID Aplikasi Aplikasi Azure VPN Enterprise yang terdaftar di penyewa Microsoft Entra Anda.
    • Pengeluar sertifikat. Contoh: https://sts.windows.net/your-Directory-ID.
    • Penyewa Microsoft Entra. Contoh: https://login.microsoftonline.com/your-Directory-ID.

  • Autentikasi berbasis radius: Dapatkan IP server Radius, rahasia server Radius, dan informasi sertifikat.

  • Sertifikat Azure: Sertifikat diperlukan untuk konfigurasi ini. Anda perlu membuat atau memperoleh sertifikat. Diperlukan sertifikat klien untuk setiap klien. Selain itu, informasi sertifikat akar (kunci umum) harus diunggah. Untuk informasi selengkapnya tentang sertifikat yang diperlukan, lihat Membuat dan mengekspor sertifikat.

  1. Membuka virtual WAN yang Anda buat.

  2. Pilih Konfigurasi VPN Pengguna dari menu di sebelah kiri.

  3. Pada halaman Konfigurasi VPN pengguna, pilih +Buat konfigurasi VPN pengguna.

    Cuplikan layar halaman konfigurasi VPN pengguna.

  4. Pada tab Buat konfigurasi VPN Pengguna baru halaman Dasar-dasar, di bawah Detail instans, masukkan Nama yang ingin Anda tetapkan untuk konfigurasi VPN Anda .

    Cuplikan layar IPsec beralih ke kustom.

  5. Untuk Jenis Tunnel, pilih jenis tunnel yang Anda inginkan dari drop-down. Opsi jenis tunnel adalah: IKEv2 VPN, OpenVPN, dan OpenVpn dan IKEv2. Setiap jenis tunnel memiliki pengaturan tertentu yang diperlukan. Jenis tunnel yang Anda pilih sesuai dengan pilihan autentikasi yang tersedia.

    Persyaratan dan Parameter:

    VPN IKEv2

    • Persyaratan: Saat Anda memilih jenis tunnel IKEv2, Anda akan melihat pesan yang mengarahkan Anda untuk memilih metode autentikasi. Untuk IKEv2, Anda dapat menentukan beberapa metode autentikasi. Anda dapat memilih Sertifikat Azure, autentikasi berbasis RADIUS, atau keduanya.

    • Parameter kustom IPSec: Untuk menyesuaikan parameter untuk IKE Fase 1 dan IKE Fase 2, alihkan sakelar IPsec ke Kustom dan pilih nilai parameter. Untuk informasi selengkapnya tentang parameter yang dapat disesuaikan, lihat artikel IPsec Kustom.

    Openvpn

    • Persyaratan: Saat Anda memilih jenis tunnel OpenVPN, Anda akan melihat pesan yang mengarahkan Anda untuk memilih mekanisme autentikasi. Jika OpenVPN dipilih sebagai jenis tunnel, Anda dapat menentukan beberapa metode autentikasi. Anda dapat memilih subset Sertifikat Azure, ID Microsoft Entra, atau autentikasi berbasis RADIUS. Untuk autentikasi berbasis RADIUS, Anda dapat memberikan alamat IP server RADIUS sekunder dan rahasia server.

    OpenVPN dan IKEv2

    • Persyaratan: Saat Anda memilih jenis terowongan OpenVPN dan IKEv2 , Anda akan melihat pesan yang mengarahkan Anda untuk memilih mekanisme autentikasi. Jika OpenVPN dan IKEv2 dipilih sebagai jenis terowongan, Anda dapat menentukan beberapa metode autentikasi. Anda dapat memilih ID Microsoft Entra bersama dengan Sertifikat Azure atau autentikasi berbasis RADIUS. Untuk autentikasi berbasis RADIUS, Anda dapat memberikan alamat IP server RADIUS sekunder dan rahasia server.

  6. Konfigurasi metode Autentikasi yang ingin Anda gunakan. Setiap metode autentikasi berada di tab terpisah: Sertifikat Azure, autentikasi RADIUS, dan ID Microsoft Entra. Beberapa metode autentikasi hanya tersedia pada jenis tunnel tertentu.

    Pada tab metode autentikasi yang ingin Anda konfigurasi, pilih Ya untuk menampilkan pengaturan konfigurasi yang tersedia.

    • Contoh - Autentikasi sertifikat

      Untuk mengonfigurasi pengaturan ini, jenis tunnel pada halaman Dasar dapat berupa IKEv2, OpenVPN, atau OpenVPN dan IKEv2.

      Cuplikan layar Ya dipilih.

    • Contoh - autentikasi RADIUS

      Untuk mengonfigurasi pengaturan ini, jenis terowongan pada halaman Dasar dapat berupa Ikev2, OpenVPN, atau OpenVPN dan IKEv2.

      Cuplikan layar halaman autentikasi RADIUS.

    • Contoh - Autentikasi Microsoft Entra

      Untuk mengonfigurasi pengaturan ini, jenis terowongan pada halaman Dasar harus OpenVPN. Autentikasi berbasis ID Microsoft Entra hanya didukung dengan OpenVPN.

      Halaman autentikasi Microsoft Entra.

  7. Setelah Anda selesai mengonfigurasi pengaturan, pilih Tinjau + buat di bagian bawah halaman.

  8. Pilih Buat untuk membuat konfigurasi VPN Pengguna.

Membuat hub dan gateway

Di bagian ini, Anda membuat hub virtual dengan gateway point-to-site. Saat mengonfigurasi, Anda bisa menggunakan contoh nilai berikut:

  • Ruang alamat IP privat hub: 10.1.0.0/16
  • Kumpulan alamat klien: 10.5.0.0/16
  • Server DNS kustom: Anda bisa mencantumkan maksimal 5 Server DNS

Halaman dasar

  1. Buka virtual WAN yang Anda buat. Pada panel kiri halaman WAN virtual, di bawah Konektivitas, pilih Hub.

  2. Pada halaman Hub, pilih +Hub Baru untuk membuka halaman Buat hub virtual.

    Cuplikan layar memperlihatkan panel Buat hub virtual dengan tab Dasar dipilih.

  3. Di halaman Membuat hub virtual pada tab Dasar, lengkapi bidang berikut ini:

    • Wilayah: Pilih wilayah tempat Anda ingin menggunakan hub virtual.
    • Nama: Nama yang Anda inginkan sebagai pengenal hub virtual.
    • Ruang alamat privat hub: Rentang alamat hub dalam notasi CIDR. Untuk membuat hub, ruang alamat minimum yang dibutuhkan adalah /24.
    • Kapasitas hub virtual: Pilih dari dropdown. Untuk informasi selengkapnya, lihat Pengaturan hub virtual.
    • Preferensi perutean hub: Biarkan sebagai default. Untuk informasi selengkapnya, lihat Preferensi perutean hub virtual.

Halaman yang mengarah ke situs

  1. Klik tab Titik ke situs untuk membuka halaman konfigurasi untuk titik-ke-situs. Untuk melihat pengaturan titik ke situs, klik Ya.

    Cuplikan layar konfigurasi hub virtual dengan titik-ke-situs terpilih.

  2. Konfigurasikan pengaturan berikut:

    • Unit skala gateway - Mewakili kapasitas agregat gateway VPN Pengguna. Jika Anda memilih 40 unit skala gateway atau lebih, rencanakan kumpulan alamat klien Anda dengan baik. Untuk informasi mengenai bagaimana pengaturan ini memengaruhi kumpulan alamat klien, lihat Tentang kumpulan alamat klien. Untuk informasi mengenai unit skala gateway, lihat FAQ.

    • Konfigurasi titik ke situs - Pilih konfigurasi VPN Pengguna yang Anda buat pada langkah sebelumnya.

    • Preferensi perutean: Preferensi perutean Azure memungkinkan Anda memilih cara lalu lintas Anda dirutekan Azure dan Internet. Anda dapat memilih untuk merutekan lalu lintas baik melalui jaringan Microsoft atau melalui jaringan ISP (internet publik). Opsi ini juga secara berurutan disebut sebagai perutean {i>cold potatohot potatoPreferensi perutean.

    • Gunakan server RADIUS Jarak Jauh/Lokal - Ketika gateway VPN Pengguna WAN Virtual dikonfigurasi untuk menggunakan autentikasi berbasis RADIUS, gateway VPN Pengguna bertindak sebagai proksi dan mengirimkan permintaan akses RADIUS ke server RADIUS Anda. Pengaturan "Gunakan server RADIUS Jarak Jauh/Lokal" dinonaktifkan secara default, artinya gateway VPN Pengguna hanya akan dapat meneruskan permintaan autentikasi ke server RADIUS di jaringan virtual yang terhubung ke hub gateway. Mengaktifkan pengaturan akan memungkinkan gateway VPN Pengguna mengautentikasi dengan server RADIUS yang terhubung ke hub jarak jauh atau disebarkan di lingkungan lokal.

      Catatan

      Pengaturan server RADIUS Jarak Jauh/Lokal dan IP proksi terkait hanya digunakan jika Gateway dikonfigurasi untuk menggunakan autentikasi berbasis RADIUS. Jika Gateway tidak dikonfigurasi untuk menggunakan autentikasi berbasis RADIUS, pengaturan ini akan diabaikan.

      Perhatikan bahwa Anda harus mengaktifkan "Gunakan server RADIUS Jarak Jauh/Lokal" jika pengguna akan menyambungkan ke profil VPN global alih-alih profil berbasis hub. Untuk informasi selengkapnya, lihat profil global dan tingkat hub.

      Setelah Anda membuat gateway VPN Pengguna, buka gateway dan catat bidang IP proksi RADIUS. IP proksi RADIUS adalah IP sumber dari paket RADIUS yang dikirim oleh gateway VPN Pengguna ke server RADIUS Anda. Oleh karena itu, server RADIUS Anda perlu dikonfigurasi untuk menerima permintaan autentikasi dari IP proksi RADIUS. Jika bidang IP proksi RADIUS kosong atau tidak ada sama sekali, konfigurasikan server RADIUS untuk menerima permintaan autentikasi dari ruang alamat hub.

      Selain itu, pastikan untuk mengatur asosiasi dan penyebaran koneksi (VNet atau lokal) yang menghosting server RADIUS menyebar ke defaultRouteTable hub yang disebarkan dengan gateway VPN Titik-ke-situs, dan konfigurasi VPN Titik-ke-situs menyebar ke tabel rute koneksi yang menghosting server RADIUS. Ini wajib untuk memastikan gateway dapat berbicara dengan server RADIUS dan sebaliknya.

      Cuplikan layar Konfigurasi V P N Pengguna dengan I P Proksi RADIUS.

    • Kumpulan alamat klien - Kumpulan alamat dari mana alamat IP akan ditetapkan secara otomatis ke klien VPN. Kumpulan alamat harus berbeda. Tidak ada tumpang tindih antara kumpulan alamat. Untuk informasi selengkapnya, lihat Tentang kumpulan alamat klien.

    • Server DNS Kustom - Alamat IP server DNS yang akan digunakan klien. Anda dapat menentukan maksimal 5.

  3. Pilih Tinjau + buat untuk memvalidasi pengaturan Anda.

  4. Saat melalui validasi, pilih Buat. Diperlukan waktu 30 menit atau lebih untuk menyelesaikan pembuatan hub.

Membuat file konfigurasi klien VPN

Di bagian ini, Anda membuat dan mengunduh file profil konfigurasi. File ini digunakan untuk mengonfigurasi klien VPN asli pada komputer klien.

  1. Untuk menghasilkan paket konfigurasi klien VPN profil global tingkat WAN, buka WAN virtual (bukan hub virtual).

  2. Di panel kiri, pilih Konfigurasi VPN Pengguna.

  3. Sorot konfigurasi yang ingin Anda unduh profilnya. Jika Anda memiliki beberapa hub yang ditetapkan ke profil yang sama, perluas profil untuk menampilkan hub, lalu pilih salah satu hub yang menggunakan profil.

  4. Klik Unduh profil VPN pengguna virtual WAN.

  5. Pada halaman unduhan, pilih EAPTLS, lalu Buat dan unduh profil. Paket profil (file zip) yang berisi pengaturan konfigurasi klien dihasilkan dan diunduh ke komputer Anda. Konten paket bergantung pada pilihan autentikasi dan terowongan untuk konfigurasi Anda.

Konfigurasikan klien VPN

Gunakan profil yang diunduh untuk mengonfigurasi klien akses jarak jauh. Prosedur untuk setiap sistem operasi berbeda, ikuti instruksi yang berlaku untuk sistem Anda.

IKEv2

Dalam konfigurasi VPN Pengguna, apabila Anda menentukan jenis tunnel VPN IKEv2, Anda dapat mengonfigurasi klien VPN asli (Windows dan macOS Catalina atau yang lebih baru).

Langkah-langkah berikut berlaku untuk Windows. Untuk macOS, lihat langkah-langkah IKEv2-macOS.

  1. Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal ‘VpnClientSetupAmd64’. Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal ‘VpnClientSetupX86’.

  2. Klik dua kali paket untuk menginstalnya. Jika Anda melihat popup SmartScreen, pilih Info selengkapnya, lalu Tetap jalankan.

  3. Pada komputer klien, buka Pengaturan Jaringan dan pilih VPN. Koneksi VPN menampilkan nama jaringan virtual yang disambungkannya.

  4. Instal sertifikat klien di setiap komputer yang ingin Anda sambungkan melalui konfigurasi VPN Pengguna ini. Sertifikat klien diperlukan untuk autentikasi saat menggunakan jenis autentikasi sertifikat Azure asli. Untuk mengetahui informasi selengkapnya tentang cara membuat sertifikat, lihat Membuat Sertifikat. Untuk mengetahui informasi selengkapnya tentang cara memasang sertifikat klien, lihat Memasang sertifikat klien.

Openvpn

Dalam konfigurasi VPN Pengguna, apabila Anda menentukan jenis tunnel OpenVPN, Anda dapat mengunduh dan mengonfigurasi klien Azure VPN, atau dalam kasus tertentu, Anda dapat menggunakan perangkat lunak klien OpenVPN. Untuk langkah-langkahnya, gunakan link yang sesuai dengan konfigurasi Anda.

Menyambungkan spoke VNet

Di bagian ini, Anda membuat koneksi antara hub Anda dan spoke VNet.

  1. Di portal Azure, buka Virtual WAN Anda di panel kiri, pilih Koneksi jaringan virtual.

  2. Pada halaman Koneksi jaringan virtual, pilih + Tambahkan koneksi.

  3. Pada halaman Tambahkan koneksi , konfigurasikan pengaturan koneksi. Untuk informasi tentang pengaturan perutean, lihat Tentang perutean.

    Cuplikan layar halaman Tambahkan koneksi.

    • Nama koneksi: Beri nama koneksi Anda.
    • Hub: Pilih hub yang ingin dikaitkan dengan koneksi ini.
    • Langganan: Verifikasi langganan.
    • Grup sumber daya: Pilih grup sumber daya yang berisi jaringan virtual yang ingin Anda sambungkan.
    • Jaringan virtual: Pilih jaringan virtual yang ingin dihubungkan ke hub ini. Jaringan virtual yang Anda pilih tidak boleh memiliki gateway jaringan virtual yang sudah ada.
    • Sebarkan ke tak satu pun: Opsi ini diatur ke Tidak secara default. Mengubah tombol ke Ya akan membuat opsi konfigurasi untuk Sebarkan ke Tabel Rute dan Sebarkan ke label menjadi tidak dapat dikonfigurasi.
    • Kaitkan Tabel Rute: Dari menu dropdown, Anda dapat memilih tabel rute yang ingin Anda kaitkan.
    • Menyebarkan ke label: Label adalah grup logis tabel rute. Untuk pengaturan ini, pilih dari menu dropdown.
    • Rute statis: Mengonfigurasi rute statis, jika perlu. Konfigurasikan rute statis untuk Network Virtual Appliances (jika berlaku). Virtual WAN mendukung satu IP hop berikutnya untuk rute statis dalam koneksi jaringan virtual. Misalnya, jika Anda memiliki appliance virtual terpisah untuk arus lalu lintas masuk dan keluar, yang terbaik adalah memiliki appliance virtual di VNet terpisah dan melampirkan VNet ke hub virtual.
    • Melewati IP Hop Berikutnya untuk beban kerja dalam VNet ini: Pengaturan ini memungkinkan Anda menyebarkan NVA dan beban kerja lainnya ke VNet yang sama tanpa memaksa semua lalu lintas melalui NVA. Pengaturan ini hanya dapat dikonfigurasi saat Anda mengonfigurasi koneksi baru. Jika Anda ingin menggunakan pengaturan ini untuk koneksi yang telah Anda buat, hapus koneksi, lalu tambahkan koneksi baru.
    • Menyebarluaskan rute statis: Pengaturan ini saat ini sedang diluncurkan. Pengaturan ini memungkinkan Anda menyebarluaskan rute statis yang ditentukan di bagian Rute statis untuk merutekan tabel yang ditentukan dalam Sebarkan ke Tabel Rute. Selain itu, rute akan disebarluaskan ke tabel rute yang memiliki label yang ditentukan sebagai Sebarkan ke label. Rute ini dapat disebarkan antar-hub, kecuali untuk rute default 0/0. Fitur ini sedang dalam proses peluncuran. Jika Anda memerlukan fitur ini diaktifkan, silakan hubungi vwanpm@microsoft.com

  4. Setelah Anda menyelesaikan pengaturan yang ingin Anda konfigurasi, klik Buat untuk membuat koneksi.

Membuat komputer virtual

Di bagian ini, Anda membuat dua VM di VNet, VM1, dan VM2. Dalam diagram jaringan, kami menggunakan 10.18.0.4 dan 10.18.0.5. Saat mengonfigurasi VM, pastikan untuk memilih jaringan virtual yang Anda buat (ada di tab Jaringan). Untuk langkah-langkah membuat VM, lihat Mulai Cepat: Membuat VM.

Mengamankan hub virtual

Hub virtual standar tidak memiliki kebijakan keamanan bawaan untuk melindungi sumber daya dalam jaringan virtual spoke. Hub virtual yang aman menggunakan Azure Firewall atau penyedia pihak ketiga untuk mengelola lalu lintas masuk dan keluar untuk melindungi sumber daya Anda di Azure.

Konversikan hub ke hub yang aman melalui artikel berikut: Mengonfigurasi Azure Firewall di hub Virtual WAN.

Membuat aturan untuk mengelola dan memfilter lalu lintas

Buat aturan yang menentukan perilaku Azure Firewall. Dengan mengamankan hub, kami memastikan bahwa semua paket yang masuk ke hub virtual tunduk pada pemrosesan firewall sebelum mengakses sumber daya Azure Anda.

Setelah menyelesaikan langkah-langkah ini, Anda akan membuat arsitektur yang memungkinkan pengguna VPN mengakses VM dengan alamat IP privat 10.18.0.4, tetapi TIDAK mengakses VM dengan alamat IP privat 10.18.0.5

  1. Di portal Microsoft Azure, buka Firewall Manager.

  2. Di bagian Keamanan, pilih Kebijakan Azure Firewall.

  3. Pilih Buat Kebijakan Azure Firewall.

  4. Di bagian Detail kebijakan, ketik nama dan pilih wilayah tempat hub virtual disebarkan.

  5. Pilih Berikutnya: Pengaturan DNS.

  6. Pilih Berikutnya: Aturan.

  7. Pada tab Aturan, pilih Tambahkan kumpulan aturan.

  8. Berikan nama untuk koleksi. Atur tipe sebagai Jaringan. Tambahkan nilai prioritas 100.

  9. Isi nama aturan, jenis sumber, sumber, protokol, port tujuan, dan jenis tujuan, seperti yang ditunjukkan dalam contoh berikut. Kemudian pilih Tambahkan. Aturan ini memungkinkan alamat IP apa pun dari kumpulan klien VPN untuk mengakses VM dengan alamat IP pribadi 10.18.04, tetapi tidak ada sumber daya lain yang terhubung ke hub virtual. Buat aturan apa pun yang Anda inginkan yang sesuai dengan aturan arsitektur dan izin yang diinginkan.

    Aturan firewall

  10. Pilih Berikutnya: Inteligensi ancaman.

  11. Pilih Berikutnya: Hub.

  12. Pada tab Hub, pilih Kaitkan hub virtual.

  13. Pilih hub virtual yang Anda buat sebelumnya, lalu pilih Tambahkan.

  14. Pilih Tinjau + buat.

  15. Pilih Buat.

Proses ini bisa selesai dalam waktu 5 menit atau lebih.

Membuat rute lalu lintas melalui Azure Firewall

Di bagian ini, Anda perlu memastikan bahwa lalu lintas dialihkan melalui Azure Firewall.

  1. Di portal, dari Firewall Manager, pilih Hub virtual aman.
  2. Pilih hub virtual yang Anda buat.
  3. Di bagian Pengaturan, pilih Konfigurasi keamanan.
  4. Di bawah Lalu lintas privat, pilih Kirim melalui Azure Firewall.
  5. Patikan bahwa koneksi VNet dan lalu lintas pribadi koneksi Cabang diamankan oleh Azure Firewall.
  6. Pilih Simpan.

Catatan

Jika Anda ingin mengamankan lalu lintas ke titik akhir privat menggunakan Azure Firewall di hub virtual yang aman, lihat Mengamankan lalu lintas yang ditujukan ke titik akhir privat di Azure Virtual WAN. Anda perlu menambahkan awalan /32 untuk setiap titik akhir privat dalam Awalan lalu lintas privat di bagian Konfigurasi keamanan manajer Azure Firewall Anda agar awalan dapat diperiksa melalui Azure Firewall di hub virtual aman. Jika awalan /32 ini tidak dikonfigurasi, lalu lintas yang ditujukan untuk titik akhir privat akan melewati Azure Firewall.

Memvalidasi

Verifikasi pengaturan hub aman Anda.

  1. Sambungkan ke Hub Virtual Aman melalui VPN dari perangkat klien Anda.
  2. Ping alamat IP 10.18.0.4 dari klien Anda. Anda akan menerima respons.
  3. Ping alamat IP 10.18.0.5 dari klien Anda. Anda tidak akan menerima respons.

Pertimbangan

  • Pastikan bahwa Tabel Rute Efektif pada hub virtual aman memiliki lompatan berikutnya untuk lalu lintas privat pada firewall. Untuk mengakses Tabel Rute Efektif, buka sumber daya Hub Virtual Anda. Di bawah Konektivitas, pilih Rute, lalu pilih Rute Efektif. Dari sana, pilih tabel Rute Default.
  • Pastikan bahwa Anda membuat aturan di bagian Buat Aturan. Jika langkah-langkah ini terlewatkan, aturan yang Anda buat tidak akan benar-benar dikaitkan dengan hub, serta tabel rute dan alur paket tidak akan menggunakan Azure Firewall.

Langkah berikutnya