Управление безопасным доступом к ресурсам в периферийных виртуальных сетях для пользовательских VPN-клиентов

В этой статье показано, как использовать правила и фильтры Виртуальная глобальная сеть и Брандмауэр Azure для управления безопасным доступом к ресурсам в Azure через подключения IKEv2 или OpenVPN типа "точка — сеть". Эта конфигурация удобна, если у вас есть удаленные пользователи, которым требуется ограничить доступ к ресурсам Azure или защитить ресурсы в Azure.

Действия, описанные в этой статье, помогут вам создать архитектуру, представленную на следующей схеме, чтобы разрешить пользовательским VPN-клиентам получать доступ к определенному ресурсу (виртуальная машина 1) в периферийной виртуальной сети, подключенной к виртуальному концентратору, но не к другим ресурсам (виртуальная машина 2). Используйте этот пример архитектуры в качестве основного принципа.

Схема: защищенный виртуальный концентратор.

Предварительные требования

  • у вас есть подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure.

  • У вас есть виртуальная сеть, к которой вы хотите подключиться.

    • Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться.
    • Сведения о создании виртуальной сети на портале Azure см. в кратком руководстве.
  • В вашей виртуальной сети не должно быть шлюзов виртуальной сети.

    • Если в виртуальной сети уже есть шлюзы (VPN или ExpressRoute), необходимо удалить их все, прежде чем продолжать работу.
    • Эта конфигурация требует, чтобы виртуальные сети подключались только к шлюзу концентратора Виртуальной глобальной сети.
  • Выберите диапазон IP-адресов, который вы хотите использовать для пространства частных адресов виртуального концентратора. Эти сведения используются при настройке виртуального концентратора. Виртуальный концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Это основа вашей Виртуальной глобальной сети в регионе. Диапазон адресного пространства должен соответствовать определенным правилам:

    • Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь.
    • Указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь.
    • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
  • У вас есть значения, доступные для конфигурации проверки подлинности, которую вы хотите использовать. Например, сервер RADIUS, проверка подлинности Azure Active Directory или создание и экспорт сертификатов.

Создание виртуальной глобальной сети

  1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть —это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартная. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".
  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

Определение параметров конфигурации P2S

Конфигурация подключения типа "точка — сеть" (P2S) определяет параметры для подключения удаленных клиентов. Этот раздел поможет вам определить параметры конфигурации P2S, а затем создать конфигурацию, которая будет использоваться для профиля VPN-клиента. Подходящие инструкции зависят от используемого метода проверки подлинности.

Методы проверки подлинности

При выборе метода проверки подлинности у вас есть три варианта. Каждый метод имеет определенные требования. Выберите один из следующих методов и выполните соответствующие выполните действия.

  • Проверка подлинности Azure Active Directory — получите следующее:

    • Идентификатор приложения для корпоративного приложения Azure VPN, зарегистрированного в клиенте Azure AD.
    • Издатель. Например, https://sts.windows.net/your-Directory-ID.
    • Клиент Azure AD. Например, https://login.microsoftonline.com/your-Directory-ID.
  • Проверка подлинности на основе RADIUS — получите IP-адрес сервера RADIUS, секрет сервера RADIUS и сведения о сертификате.

  • Сертификаты Azure — для этой конфигурации требуются сертификаты. Их необходимо создать самостоятельно или получить. Для каждого клиента требуется отдельный сертификат клиента. Кроме того, необходимо отправить сведения о корневом сертификате (открытый ключ). Дополнительные сведения о необходимых сертификатах см. в статье Создание и экспорт сертификатов.

  1. Перейдите к созданной виртуальной глобальной сети.

  2. В меню слева выберите Пользовательские конфигурации VPN.

  3. На странице Пользовательские конфигурации VPN выберите Создать пользовательскую конфигурацию VPN.

    Снимок экрана с изображением страницы пользовательских конфигураций VPN.

  4. На странице Создание пользовательской конфигурации VPN на вкладке Основные в разделе Сведения об экземпляре введите значение для поля Имя для вашей конфигурации VPN.

    Снимок экрана с изображением переключателя IPsec в положении пользовательских настроек.

  5. В раскрывающемся списке Тип туннеля выберите нужное значение. Доступные типы туннелей: IKEV2 VPN, OpenVPN и OpenVPN и IKEv2. Каждый тип туннеля имеет свои обязательные параметры. Выбранный тип туннеля соответствует доступным вариантам проверки подлинности.

    Требования и параметры:

    IKEv2 VPN

    • Требования. Если задан типа туннеля IKEv2, то отобразится сообщение о необходимости выбрать способ проверки подлинности. Для IKEv2 можно указать только один способ проверки подлинности. Вы можете выбрать сертификат Azure или проверку подлинности на основе протокола RADIUS.

    • Пользовательские параметры IPsec. Чтобы задать настройки для этапа IKE 1 и этапа IKE 2, установите переключатель IPsec в положение Пользовательские и выберите значения параметров. Дополнительные сведения о настройке см. в статье о пользовательских параметрах IPsec.

    OpenVPN.

    • Требования. Если задан типа туннеля OpenVPN, то отобразится сообщение о необходимости выбрать механизм проверки подлинности. Если в качестве типа туннеля выбран OpenVPN, вы можете указать несколько способов проверки подлинности. Вы можете выбрать любое подмножество сертификата Azure, Azure Active Directory или проверку подлинности на основе протокола RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.
  6. Настройте способы проверки подлинности, которые вы хотите использовать. Каждый способ проверки подлинности находится на отдельной вкладке: Сертификат Azure, Проверка подлинности RADIUS и Azure Active Directory. Некоторые способы проверки подлинности доступны только для определенных типов туннелей.

    На вкладке способа проверки подлинности, который вы хотите настроить, выберите Да, чтобы просмотреть доступные параметры конфигурации.

    • Пример: проверка подлинности на основе сертификата

      Для настройки этого параметра тип туннеля на странице "Основное" может быть IKEv2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: выбран пункт

    • Пример: проверка подлинности RADIUS

      Чтобы настроить этот параметр, на странице Основные сведения можно использовать тип туннеля Ikev2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: страница проверки подлинности RADIUS.

    • Пример: проверка подлинности Azure Active Directory

      Чтобы настроить этот параметр, типом туннеля на странице Основные сведения должен быть OpenVPN. Проверка подлинности на основе Azure Active Directory поддерживается только в OpenVPN.

      Страница проверки подлинности Azure Active Directory.

  7. Когда вы закончите настройку параметров, щелкните Проверка и создание внизу страницы.

  8. Нажмите Создать, чтобы создать пользовательскую конфигурацию VPN.

Создание концентратора и шлюза

В этом разделе вы создадите виртуальный концентратор с помощью шлюза типа "точка — сеть". При настройке можно использовать следующие примеры значений:

  • Диапазон частных IP-адресов концентратора: 10.1.0.0/16
  • Пул адресов клиента: 10.5.0.0/16
  • Пользовательские DNS-серверы: можно указать до 5 DNS-серверов.

Страница "Основные сведения"

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный концентратор.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Предпочтение маршрутизации концентратора: это поле доступно только в рамках предварительной версии предпочтения маршрутизации виртуального концентратора и может просматриваться только на портале предварительной версии. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.
    • AsN маршрутизатора: если не требуется, оставьте значение по умолчанию.

Страница "Конфигурация типа "точка — сеть"

  1. Перейдите на вкладку Точка — сеть, чтобы открыть страницу настройки подключения "точка — сеть". Чтобы просмотреть параметры подключения, нажмите кнопку Да.

    Снимок экрана конфигурации виртуального концентратора с выбранной вкладкой

  2. Настройте следующие параметры.

    • Единицы масштабирования шлюза — совокупная емкость VPN-шлюза пользователя. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Для получения информации о том, как этот параметр влияет на пул адресов клиентов, см. О пулах адресов клиентов. Для получения информации о единицах масштабирования шлюза см. Часто задаваемые вопросы.

    • Конфигурация "точка-сеть" — выберите конфигурацию VPN пользователя, созданную на предыдущем шаге.

    • Предпочтение маршрутизации — этот параметр позволяет выбрать способ передачи трафика между Azure и Интернетом. Вы можете выбрать передачу трафика через сеть Майкрософт или сети поставщиков услуг Интернета (общедоступный Интернет). Эти варианты условно называются режимами "холодной картошки" и "горячей картошки" соответственно. Общедоступный IP-адрес в виртуальной глобальной сети назначается службой на основе выбранного варианта маршрутизации. Дополнительные сведения о вариантах маршрутизации через сеть Майкрософт или поставщик услуг Интернета см. в статье Что такое предпочтение маршрутизации?

    • Использовать удаленный или локальный сервер RADIUS: если пользовательский VPN-шлюз Виртуальной глобальной сети Azure настроен для использования проверки подлинности на основе RADIUS, пользовательский VPN-шлюз выступает в качестве прокси-сервера и отправляет RADIUS-запросы на доступ к серверу RADIUS. Параметр "Использовать удаленный или локальный сервер RADIUS" отключен по умолчанию, то есть пользовательский VPN-шлюз будет иметь возможность перенаправлять запросы на проверку подлинности только на серверы RADIUS в виртуальных сетях, подключенных к концентратору шлюза. Включение этого параметра позволит пользовательскому VPN-шлюзу пользователя проходить проверку подлинности с помощью серверов RADIUS, подключенных к удаленным концентраторам или развернутых локально.

      Примечание

      Настройка удаленного или локального сервера RADIUS и связанных IP-адресов прокси используется только в том случае, если шлюз настроен для использования проверки подлинности на основе RADIUS. Если шлюз не настроен на использование проверки подлинности на основе RADIUS, этот параметр будет проигнорирован.

      Параметр "Использовать удаленный или локальный RADIUS-сервер" необходимо включить, если пользователи вместо профиля на основе концентратора будут подключаться к глобальному профилю VPN. Дополнительные сведения см. в статье о глобальных профилях и профилях на основе концентратора.

      Создав VPN-шлюз пользователя, перейдите к этому шлюзу и обратите внимание на значение в поле IP-адресов прокси-сервера RADIUS. IP-адреса прокси-сервера RADIUS являются исходными адресами пакетов RADIUS, которые пользовательский VPN-шлюз отправляет на сервер RADIUS. Поэтому сервер RADIUS должен быть настроен для приема запросов проверки подлинности от IP-адресов прокси-сервера RADIUS. Если поле IP-адресов прокси-сервера RADIUS не заполнено или отсутствует, настройте сервер RADIUS на прием запросов проверки подлинности из диапазона IP-адресов концентратора.

      Кроме того, убедитесь, что заданы связи и распространения подключения (виртуальной сети или локальной сети), на котором размещен сервер RADIUS, распространяется на значение defaultRouteTable концентратора, развернутого с VPN-шлюзом "точка — сеть", и что конфигурация VPN типа "точка — сеть" распространяется на таблицу маршрутов подключения, в котором размещен сервер RADIUS. Это обязательно, чтобы убедиться, что шлюз может взаимодействовать с сервером RADIUS и наоборот.

      Снимок экрана: пользовательская конфигурация VPN с IP-адресами прокси-сервера RADIUS.

    • Клиентский пул адресов — пул адресов, из которого IP-адреса будут автоматически назначаться VPN-клиентам. Дополнительные сведения см. в статье О пулах клиентских адресов.

    • Пользовательские DNS-серверы — IP-адрес DNS-серверов, которые будут использоваться клиентами. Можно указать максимум 5 адресов.

  3. Чтобы проверить параметры, выберите Просмотр и создание.

  4. После завершения проверки нажмите кнопку Создать. На создание концентратора требуется не менее 30 минут.

Создание файлов конфигурации VPN-клиента

В этом разделе вы создадите и скачаете файлы профиля конфигурации. Эти файлы используются для настройки собственного VPN-клиента на клиентском компьютере.

  1. Чтобы создать пакет конфигурации глобального профиля VPN-клиента уровня глобальной сети, перейдите к виртуальной глобальной сети (а не к виртуальному концентратору).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если одному профилю назначено несколько концентраторов, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из концентраторов, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка VPN-клиентов

Используйте загруженный профиль для настройки клиентов удаленного доступа. Процедуры для каждой операционной системы отличаются, поэтому следуйте инструкциям, применимым к вашей операционной системе.

IKEv2

Если в пользовательской конфигурации VPN вы указали тип VPN-туннеля IKEv2, можно настроить собственный VPN-клиент (Windows и macOS Catalina или более поздней версии).

Ниже приведены инструкции для Windows. Инструкции для macOS см. в разделе IKEv2-macOS.

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.

  3. На клиентском компьютере перейдите в раздел Параметры сети и щелкните VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.

  4. Установите сертификат клиента на каждом компьютере, который требуется подключить через эту пользовательскую конфигурацию VPN. Сертификат клиента требуется при использовании собственной аутентификации Azure на основе сертификата. Дополнительную информацию о создании сертификатов см. в разделе Настройка подключения "точка —сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала Azure. Инструкции по установке сертификата клиента см. в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа "точка —сеть".

OpenVPN.

Если в пользовательской конфигурации VPN вы указали тип туннеля OpenVPN, можно скачать и настроить VPN-клиент Azure либо в некоторых случаях можно использовать клиентское программное обеспечение OpenVPN. Инструкции см. по ссылке, соответствующей вашей конфигурации.

Подключение периферийной виртуальной сети

В этом разделе вы создадите подключение между своим концентратором и периферийной виртуальной сетью.

  1. В портал Azure перейдите на страницу Виртуальная глобальная сеть —> подключения к виртуальной сети.

  2. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе Сведения о маршрутизации.

    Снимок экрана: страница

    • Имя подключения: задайте имя для своего подключения.
    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
    • Подписка: проверьте подписку.
    • Группа ресурсов. Выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
    • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
    • Связать таблицу маршрутов. В раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
    • Распространение на метки. Метки представляют собой логическую группу таблиц маршрутов. Для этого параметра выберите из раскрывающегося списка.
    • Статические маршруты. При необходимости настройте статические маршруты. Настройте статические маршруты для виртуальных сетевых модулей (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельный виртуальный модуль для потоков трафика входящего и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить их к виртуальному концентратору.
    • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVA и другие рабочие нагрузки в той же виртуальной сети без принудительного передачи всего трафика через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите его, а затем добавьте новое.
  3. Завершив настройку параметров, нажмите кнопку Создать , чтобы создать подключение.

Создание виртуальных машин

В этом разделе вы создадите две виртуальные машины в виртуальной сети — VM1 и VM2. В схеме сети мы используем 10.18.0.4 и 10.18.0.5. При настройке виртуальных машин необходимо выбрать созданную виртуальную сеть (на вкладке "Сети"). Инструкции по созданию виртуальной машины см. в разделе Краткое руководство. Создание виртуальной машины.

Защита виртуального концентратора

У стандартного виртуального концентратора нет встроенных политик безопасности для защиты ресурсов в периферийных виртуальных сетях. Защищенный виртуальный концентратор использует Брандмауэр Azure или решение стороннего поставщика для управления входящим и исходящим трафиком для защиты ресурсов в Azure.

Преобразуйте концентратор в защищенный концентратор, используя следующую статью: Настройка Брандмауэра Azure в концентраторе Виртуальной глобальной сети.

Создание правил для управления трафиком и его фильтрации

Создайте правила, определяющие поведение Брандмауэра Azure. Обеспечивая защиту концентратора, мы гарантируете, что все пакеты, поступающие в виртуальный концентратор, будут подвергаться обработке брандмауэром до получения доступа к ресурсам Azure.

После выполнения этих действий вы создадите архитектуру, позволяющую пользователям VPN получать доступ к виртуальной машине с частным IP-адресом 10.18.0.4, но не позволяющую получать доступ к виртуальной машине с частным IP-адресом 10.18.0.5

  1. На портале Azure перейдите в раздел Брандмауэр Azure.

  2. В разделе "Безопасность" выберите Политики Брандмауэра Azure.

  3. Щелкните Создание политики Брандмауэра Azure.

  4. В разделе Сведения о политикевведите имя и выберите регион, где развернут виртуальный концентратор.

  5. По завершении выберите Next: Параметры DNS (предварительная версия) .

  6. По завершении выберите Next: Правила.

  7. На вкладке Правила выберите элемент Добавление коллекции правил.

  8. Укажите имя коллекции. Задайте тип как Сеть. Добавьте значение приоритета 100.

  9. Укажите имя правила, тип источника, источник, протокол, порты назначения и тип назначения, как показано в примере ниже. Затем выберите Добавить. Это правило позволяет любому IP-адресу из пула VPN-клиентов получить доступ к виртуальной машине с частным IP-адресом 10.18.04, но не к какому-либо другому ресурсу, подключенному к этому виртуальному концентратору. Создайте все необходимые правила, соответствующие требуемой архитектуре и правилам разрешений.

    Правила брандмауэра

  10. По завершении выберите Next: Аналитика угроз.

  11. По завершении выберите Next: Концентраторы.

  12. На вкладке Концентраторы выберите Связать виртуальные концентраторы.

  13. Выберите созданный ранее виртуальный концентратор и нажмите кнопку Добавить.

  14. Выберите Review + create (Просмотреть и создать).

  15. Нажмите кнопку создания.

Этот процесс может занять 5 минут или больше.

Маршрутизация трафика через Брандмауэр Azure

В этом разделе вам нужно убедиться, что трафик направляется через Брандмауэр Azure.

  1. На портале в разделе Диспетчер брандмауэра выберите Защищенные виртуальные концентраторы.
  2. Выберите созданный виртуальный концентратор.
  3. В разделе Параметры выберите пункт Конфигурация безопасности.
  4. В разделе Частный трафик выберите Брандмауэр Azure.
  5. Убедитесь, что подключение к виртуальной сети и частный трафик подключения филиала защищены Брандмауэром Azure.
  6. Щелкните Сохранить.

Примечание

Если вы хотите проверить трафик, предназначенный для частных конечных точек, с помощью Брандмауэра Azure в защищенном виртуальном концентраторе, см. статью Безопасный трафик для частных конечных точек в Виртуальной глобальной сети Azure. Необходимо добавить префикс /32 для каждой частной конечной точки в префиксы частного трафика в разделе "Безопасность" диспетчера Брандмауэра Azure, чтобы они проверялись с помощью Брандмауэра Azure в защищенном виртуальном концентраторе. Если эти префиксы /32 не настроены, трафик, предназначенный для частных конечных точек, будет обходить Брандмауэр Azure.

Проверить

Проверьте настройку защищенного концентратора.

  1. Подключитесь к защищенному виртуальному концентратору через VPN с клиентского устройства.
  2. Проверьте связь с IP-адресом 10.18.0.4 из клиента. Вы должны получить ответ.
  3. Проверьте связь с IP-адресом 10.18.0.5 из клиента. Ответ не должен отображаться.

Рекомендации

  • Убедитесь, что таблица фактических маршрутов в защищенном виртуальном концентраторе имеет следующий прыжок для частного трафика в брандмауэре. Чтобы получить доступ к таблице фактических маршрутов, перейдите к ресурсу Виртуальный концентратор. В разделе Подключениевыберите Маршрутизация, а затем выберите Фактические маршруты. Здесь выберите таблицу маршрутизации По умолчанию.
  • Убедитесь, что правила созданы в разделе Создание правил. Если пропустить эти действия, созданные вами правила не будут связаны с концентратором, а таблица маршрутизации и поток пакетов не будут использовать Брандмауэр Azure.

Дальнейшие действия