Geforceerde tunneling met het klassieke implementatiemodel configureren

Met geforceerde tunneling kunt u alle voor internet bestemde verkeer geforceerd terugsturen naar uw on-premises locatie via een site-naar-site-VPN-tunnel voor inspectie en controle. Dit is een kritieke beveiligingsvereiste voor de meeste IT-beleidsregels voor ondernemingen. Zonder geforceerde tunneling gaat internetverkeer van uw VM's in Azure altijd rechtstreeks van de Azure-netwerkinfrastructuur naar internet, zonder de optie om u in staat te stellen het verkeer te inspecteren of te controleren. Onbevoegde internettoegang kan leiden tot openbaarmaking van informatie of andere soorten beveiligingsschendingen.

De stappen in dit artikel zijn van toepassing op het klassieke (verouderde) implementatiemodel en zijn niet van toepassing op het huidige implementatiemodel, Resource Manager. Tenzij u specifiek in het klassieke implementatiemodel wilt werken, raden we u aan de Resource Manager versie van dit artikel te gebruiken.

Notitie

Dit artikel is geschreven voor het klassieke (verouderde) implementatiemodel. We raden u aan in plaats daarvan het nieuwste Azure-implementatiemodel te gebruiken. Het Resource Manager-implementatiemodel is het meest recente implementatiemodel en biedt meer opties en functiecompatibiliteit dan het klassieke implementatiemodel. Zie Informatie over implementatiemodellen en de status van uw resources voor meer informatie over het verschil tussen deze twee implementatiemodellen.

Als u een andere versie van dit artikel wilt gebruiken, gebruikt u de inhoudsopgave in het linkerdeelvenster.

Vereisten en overwegingen

Geforceerde tunneling in Azure wordt geconfigureerd via door de gebruiker gedefinieerde routes (UDR) van het virtuele netwerk. Verkeer omleiden naar een on-premises site wordt uitgedrukt als een standaardroute naar de Azure VPN-gateway. In de volgende sectie vindt u de huidige beperking van de routeringstabel en routes voor een Azure-Virtual Network:

• Elk subnet van een virtueel netwerk heeft een ingebouwde systeemrouteringstabel. De systeemrouteringstabel bevat de volgende drie groepen routes:

  • Lokale VNet-routes: Rechtstreeks naar de doel-VM's in hetzelfde virtuele netwerk.
  • On-premises routes: Naar de Azure VPN-gateway.
  • Standaardroute: Rechtstreeks naar internet. Pakketten die zijn bestemd voor de privé-IP-adressen die niet onder de vorige twee routes vallen, worden verwijderd.

• Met de release van door de gebruiker gedefinieerde routes kunt u een routeringstabel maken om een standaardroute toe te voegen en de routeringstabel vervolgens koppelen aan uw VNet-subnet(s) om geforceerde tunneling op deze subnetten in te schakelen.

• U moet een 'standaardsite' instellen tussen de lokale cross-premises sites die zijn verbonden met het virtuele netwerk.

• Geforceerde tunneling moet worden gekoppeld aan een VNet met een VPN-gateway voor dynamische routering (geen statische gateway).

• Geforceerde expressRoute-tunneling wordt niet geconfigureerd via dit mechanisme, maar wordt in plaats daarvan ingeschakeld door een standaardroute te adverteren via de ExpressRoute BGP-peeringsessies. Zie Wat is ExpressRoute? voor meer informatie.

Configuratieoverzicht

In het volgende voorbeeld is het subnet Front-end niet geforceerd getunneld. De workloads in het front-endsubnet kunnen aanvragen van klanten rechtstreeks van internet blijven accepteren en erop reageren. De subnetten Mid-tier en Back-end worden geforceerd getunneld. Alle uitgaande verbindingen van deze twee subnetten naar internet worden geforceerd of teruggeleid naar een on-premises site via een van de S2S VPN-tunnels.

Hiermee kunt u de internettoegang vanaf uw virtuele machines of cloudservices in Azure beperken en inspecteren, terwijl u de vereiste servicearchitectuur met meerdere lagen blijft inschakelen. U kunt ook geforceerde tunneling toepassen op alle virtuele netwerken als er geen internetgerichte workloads in uw virtuele netwerken zijn.

Vereisten

Controleer of u beschikt over de volgende items voordat u begint met de configuratie:

• Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.
• Een geconfigureerd virtueel netwerk.
• Wanneer u met het klassieke implementatiemodel werkt, kunt u Azure Cloud Shell niet gebruiken. In plaats daarvan moet u de nieuwste versie van de Azure Service Management (SM) PowerShell-cmdlets lokaal op uw computer installeren. Deze cmdlets verschillen van de AzureRM- of Az-cmdlets. Zie Service Management-cmdlets installeren om de SM-cmdlets te installeren. Zie de Azure PowerShell documentatie voor meer informatie over Azure PowerShell in het algemeen.

Geforceerde tunneling configureren

De volgende procedure helpt u bij het opgeven van geforceerde tunneling voor een virtueel netwerk. De configuratiestappen komen overeen met het VNet-netwerkconfiguratiebestand. In dit voorbeeld heeft het virtuele netwerk MultiTier-VNet drie subnetten: Front-end, Midtier en Back-end-subnetten, met vier cross-premises verbindingen: 'DefaultSiteHQ' en drie branches.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

Met de volgende stappen stelt u 'DefaultSiteHQ' in als de standaardsiteverbinding voor geforceerde tunneling en configureert u de subnetten Midtier en Back-end voor het gebruik van geforceerde tunneling.

1. Open uw PowerShell-console met verhoogde rechten. Maak verbinding met uw account met behulp van het volgende voorbeeld:

   Add-AzureAccount
   

2. Maak een routeringstabel. Gebruik de volgende cmdlet om uw routetabel te maken.

   New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
   

3. Voeg een standaardroute toe aan de routeringstabel.

   In het volgende voorbeeld wordt een standaardroute toegevoegd aan de routeringstabel die in stap 1 is gemaakt. De enige route die wordt ondersteund, is het doelvoorvoegsel '0.0.0.0/0' naar de 'VPNGateway' NextHop.

   Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
   

4. Koppel de routeringstabel aan de subnetten.

   Nadat een routeringstabel is gemaakt en een route is toegevoegd, gebruikt u het volgende voorbeeld om de routetabel toe te voegen aan of te koppelen aan een VNet-subnet. In het voorbeeld wordt de routetabel 'MyRouteTable' toegevoegd aan de subnetten Midtier en Back-end van VNet MultiTier-VNet.

   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
   

5. Wijs een standaardsite toe voor geforceerde tunneling.

   In de vorige stap hebben de voorbeeld-cmdletscripts de routeringstabel gemaakt en de routetabel gekoppeld aan twee van de VNet-subnetten. De resterende stap bestaat uit het selecteren van een lokale site uit de verbindingen met meerdere sites van het virtuele netwerk als standaardsite of -tunnel.

   $DefaultSite = @("DefaultSiteHQ")
   Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
   

Aanvullende PowerShell-cmdlets

Een routetabel verwijderen

Remove-AzureRouteTable -Name <routeTableName>

Een routetabel weergeven

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Een route verwijderen uit een routetabel

Remove-AzureRouteTable –Name <routeTableName>

Een route uit een subnet verwijderen

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

De routetabel weergeven die is gekoppeld aan een subnet

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Een standaardsite verwijderen uit een VNet VPN-gateway

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>