對使用者 VPN 用戶端的輪輻 VNet 中所含的資源進行安全存取管理

  • 發行項

本文說明如何使用虛擬 WAN 和 Azure 防火牆 規則和篩選,透過點對站 IKEv2 或 OpenVPN 連線來管理 Azure 中資源的安全存取。 如果您有遠端使用者想要限制對 Azure 資源的存取,或保護 Azure 中的資源,此設定會很有説明。

本文中的步驟可協助您在下圖中建立架構,以允許使用者 VPN 用戶端在聯機到虛擬中樞的輪輻 VNet 中存取特定資源(VM1),但不能存取其他資源(VM2)。 使用此架構範例作為基本指導方針。

安全虛擬中樞的圖表。

必要條件

  • 您有 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請建立免費帳戶

  • 您有想要連線的虛擬網路。

    • 確認內部部署網路沒有任何子網與您要連線的虛擬網路重疊。
    • 若要在 Azure 入口網站 中建立虛擬網路,請參閱快速入門文章。

  • 您的虛擬網路不得有任何現有的虛擬網路閘道。

    • 如果您的虛擬網路已經有閘道(VPN 或 ExpressRoute),您必須先移除所有閘道,才能繼續。
    • 此組態需要虛擬網路僅連線到虛擬 WAN 中樞閘道。

  • 決定您要用於您的虛擬中樞私人位址空間的 IP 位址範圍。 設定您的虛擬中樞時會使用此資訊。 虛擬中樞是虛擬 WAN 建立和使用的虛擬網路。 這是您區域中虛擬 WAN 網路的核心。 位址空間範圍必須符合特定規則:

    • 您為中樞指定的位址範圍不能與您連線的任何現有虛擬網路重疊。
    • 位址範圍不能與您連線的內部部署位址範圍重疊。
    • 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。
  • 您有可用的值可用於您想要使用的驗證組態。 例如,RADIUS 伺服器、Microsoft Entra 驗證或 產生和導出憑證

建立虛擬 WAN

  1. 在入口 網站的 [搜尋資源 ] 列中,於搜尋方塊中輸入 虛擬 WAN ,然後選取 Enter

  2. 從結果中選取 [虛擬 WAN ]。 在 [虛擬 WAN] 頁面上,選取 [+ 建立 ] 以開啟 [ 建立 WAN ] 頁面。

  3. 在 [ 建立 WAN] 頁面上的 [基本] 索引 標籤上,填入字段。 修改要套用至您環境的範例值。

    此螢幕快照顯示已選取 [基本] 索引標籤的 [建立 WAN] 窗格。

    • 用帳戶:選取您想要使用的訂用帳戶。
    • 資源群組:建立新的或使用現有群組。
    • 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,不會存在於特定區域中。 不過,您必須選取區域,才能管理和找出您所建立的 WAN 資源。
    • 名稱:輸入您想要呼叫虛擬 WAN 的名稱。
    • 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請瞭解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。

  4. 完成填寫欄位之後,請在頁面底部選取 [ 檢閱 +建立]。

  5. 驗證通過之後,按兩下 [ 建立 ] 以建立虛擬 WAN。

定義 P2S 組態參數

點對站 (P2S) 組態會定義連線遠端客戶端的參數。 本節可協助您定義 P2S 組態參數,然後建立將用於 VPN 用戶端配置檔的組態。 您遵循的指示取決於您要使用的驗證方法。

驗證方法

選取驗證方法時,您有三個選項。 每個方法都有特定需求。 選取下列其中一種方法,然後完成步驟。

  • Microsoft Entra 驗證: 取得下列專案:

    • 在 Microsoft Entra 租用戶中註冊的 Azure VPN 企業應用程式的應用程式識別碼
    • 簽發 。 範例:https://sts.windows.net/your-Directory-ID
    • Microsoft Entra 租使用者。 範例:https://login.microsoftonline.com/your-Directory-ID

  • 半徑型驗證: 取得Radius伺服器IP、Radius伺服器密碼和憑證資訊。

  • Azure 憑證: 針對此設定,需要憑證。 您必須產生或取得憑證。 每個用戶端都需要客戶端憑證。 此外,必須上傳跟證書資訊(公鑰)。 如需必要憑證的詳細資訊,請參閱 產生和導出憑證

  1. 流覽至您所建立的虛擬 WAN。

  2. 從左側功能表中選取 [使用者 VPN 組態 ]。

  3. 在 [ 使用者 VPN 組態 ] 頁面上,選取 [+建立使用者 VPN 設定]。

    使用者 VPN 組態頁面的螢幕快照。

  4. 在 [建立新的使用者 VPN 組態] 頁面 [基本數據] 索引標籤的 [實例詳細數據] 底下,輸入您要指派給 VPN 組態的名稱

    IPsec 切換至自定義的螢幕快照。

  5. 針對 [通道類型],從下拉式清單中選取您想要的通道類型。 通道類型選項包括: IKEv2 VPN、OpenVPN 和 OpenVpn 和 IKEv2。 每個通道類型都有特定的必要設定。 您選擇的通道類型會對應至可用的驗證選項。

    需求和參數

    IKEv2 VPN

    • 需求: 當您選取 IKEv2 通道類型時,您會看到一則訊息,指示您選取驗證方法。 針對 IKEv2,您可以指定多個驗證方法。 您可以選擇 Azure 憑證、RADIUS 型驗證或兩者。

    • IPSec 自定義參數: 若要自定義 IKE 階段 1 和 IKE 階段 2 的參數,請將 IPsec 參數切換為 [自定義 ],然後選取參數值。 如需可自定義參數的詳細資訊,請參閱 自定義 IPsec 一文。

    OpenVPN

    • 需求: 當您選取 OpenVPN 通道類型時,您會看到一則訊息,指示您選取驗證機制。 如果選取 OpenVPN 作為通道類型,您可以指定多個驗證方法。 您可以選擇任何 Azure 憑證、Microsoft Entra ID 或 RADIUS 型驗證子集。 針對RADIUS型驗證,您可以提供次要RADIUS伺服器IP位址和伺服器密碼。

    OpenVPN 和 IKEv2

    • 需求: 當您選取 OpenVPN 和 IKEv2 信道類型時,您會看到一則訊息,指示您選取驗證機制。 如果選取 OpenVPN 和 IKEv2 作為通道類型,您可以指定多個驗證方法。 您可以選擇 Microsoft Entra 識別符,以及 Azure 憑證或 RADIUS 型驗證。 針對RADIUS型驗證,您可以提供次要RADIUS伺服器IP位址和伺服器密碼。

  6. 設定您想要使用的驗證方法。 每個驗證方法都位於個別的索引標籤中: Azure 憑證RADIUS 驗證Microsoft Entra ID。 某些驗證方法僅適用於特定通道類型。

    在您要設定之驗證方法的索引標籤上,選取 [ ] 以顯示可用的組態設定。

    • 範例 - 憑證驗證

      若要設定此設定,[基本] 頁面的通道類型可以是 IKEv2、OpenVPN 或 OpenVPN 和 IKEv2。

      已選取 [是] 的螢幕快照。

    • 範例 - RADIUS 驗證

      若要設定此設定,[基本] 頁面上的通道類型可以是 Ikev2、OpenVPN 或 OpenVPN 和 IKEv2。

      RADIUS 驗證頁面的螢幕快照。

    • 範例 - Microsoft Entra 驗證

      若要設定此設定,[基本] 頁面上的通道類型必須是OpenVPN。 只有 OpenVPN 才支援 Microsoft Entra ID 型驗證。

      Microsoft Entra 驗證頁面。

  7. 當您完成設定之後,請選取頁面底部的 [ 檢閱 + 建立 ]。

  8. 選取 [建立 ] 以建立使用者 VPN 組態。

建立中樞和閘道

在本節中,您會使用點對站網關建立虛擬中樞。 設定時,您可以使用下列範例值:

  • 中樞私人IP位址空間: 10.1.0.0/16
  • 用戶端位址池: 10.5.0.0/16
  • 自定義 DNS 伺服器: 最多可以列出 5 部 DNS 伺服器

基本概念頁面

  1. 移至您所建立的虛擬 WAN。 在虛擬 WAN 頁面左窗格的 [連線 ivity] 底下,選取 [中樞]。

  2. 在 [中 樞] 頁面上,選取 [+新增中樞 ] 以開啟 [ 建立虛擬中樞 ] 頁面。

    顯示 [建立虛擬中樞] 窗格的螢幕快照,並已選取 [基本] 索引卷標。

  3. 在 [ 建立虛擬中樞 ] 頁面 [基本] 索引 標籤上,完成下列字段:

    • 區域:選取您要在其中部署虛擬中樞的區域。
    • 名稱:您想要知道虛擬中樞的名稱。
    • 中樞私人地址空間:CIDR 表示法中樞的位址範圍。 最小位址空間是 /24 以便建立中樞。
    • 虛擬中樞容量:從下拉式清單中選取 。 如需詳細資訊,請參閱 虛擬中樞設定
    • 中樞路由喜好設定:保留為預設值。 如需詳細資訊,請參閱 虛擬中樞路由喜好設定

指向網站頁面

  1. 按兩下 [ 點對站] 索引標籤,開啟點對站 的組態頁面。 若要檢視點對月臺設定,請按兩下 [ ]。

    已選取點對站虛擬中樞設定的螢幕快照。

  2. 設定下列設定:

    • 閘道縮放單位 - 這代表使用者 VPN 閘道的匯總容量。 如果您選取 40 個或以上的閘道縮放單位,請據此規劃您的用戶端位址集區。 如需這個設定會如何影響用戶端位址集區的詳細資訊,請參閱關於用戶端位址集區。 如需閘道縮放單位的相關信息,請參閱 常見問題

    • 指向月臺設定 - 選取您在上一個步驟中建立的使用者 VPN 組態。

    • 路由喜好 設定 - Azure 路由喜好設定可讓您選擇流量在 Azure 與因特網之間路由的方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由和熱馬鈴薯路由。 虛擬 WAN 中的公用 IP 位址會根據選取的路由選項,由服務指派。 如需透過 Microsoft 網路或 ISP 路由喜好設定的詳細資訊,請參閱 路由喜好設定 一文。

    • 使用遠端/內部部署 RADIUS 伺服器 - 當虛擬 WAN 使用者 VPN 閘道設定為使用 RADIUS 型驗證時,使用者 VPN 閘道會作為 Proxy,並將 RADIUS 存取要求傳送至您的 RADIUS 伺服器。 默認會停用 [使用遠端/內部部署RADIUS伺服器] 設定,這表示使用者 VPN 閘道只能將驗證要求轉送至連線至閘道中樞之虛擬網路中的RADIUS 伺服器。 啟用設定可讓使用者 VPN 閘道向連線至遠端中樞或內部部署的 RADIUS 伺服器進行驗證。

      注意

      只有在閘道設定為使用RADIUS型驗證時,才會使用遠端/內部部署RADIUS伺服器設定和相關 Proxy IP。 如果未將閘道設定為使用RADIUS型驗證,則會忽略此設定。

      如果使用者要連線到全域 VPN 設定檔,而不是中樞型配置檔,您必須開啟 「使用遠端/內部部署 RADIUS 伺服器」。 如需詳細資訊,請參閱 全域和中樞層級配置檔

      建立使用者 VPN 閘道之後,請移至閘道並記下 RADIUS Proxy IP 字段。 RADIUS Proxy IP 是使用者 VPN 閘道傳送至 RADIUS 伺服器之 RADIUS 封包的來源 IP。 因此,您的RADIUS伺服器必須設定為接受來自RADIUS ProxyIP的驗證要求。 如果RADIUS Proxy IP 字段空白或無,請將RADIUS伺服器設定為接受來自中樞位址空間的驗證要求。

      此外,請務必設定裝載 RADIUS 伺服器的連線 (VNet 或內部部署) 的關聯和傳播,並將其傳播至使用點對站 VPN 網關部署之中樞的預設RouteTable,而點對站 VPN 組態會傳播至裝載 RADIUS 伺服器的聯機路由表。 這是確保閘道可以與RADIUS伺服器通訊的必要專案,反之亦然。

      使用者 V P N 設定與 RADIUS Proxy I Ps 的螢幕快照。

    • 用戶端位址池 - IP 位址會自動指派給 VPN 用戶端的位址池。 位址池必須不同。 位址池之間沒有重疊。 如需詳細資訊,請參閱 關於用戶端位址池

    • 自訂 DNS 伺服器 - 用戶端將使用之 DNS 伺服器的 IP 位址。 您最多可以指定 5。

  3. 選取 [檢閱 + 建立] 以驗證您的設定。

  4. 通過驗證後,選取 [建立]。 建立中樞可能需要 30 分鐘或更多時間才能完成。

產生 VPN 用戶端設定檔

在本節中,您會產生並下載組態配置檔檔案。 這些檔案可用來在用戶端電腦上設定原生 VPN 用戶端。

  1. 若要產生 WAN 層級全域配置檔 VPN 用戶端元件,請移至 虛擬 WAN (而非虛擬中樞)。

  2. 在左窗格中,選取 [ 使用者 VPN 組態]。

  3. 選取您要下載設定檔的組態。 如果您有多個中樞指派給相同的配置檔,請展開配置檔以顯示中樞,然後選取其中一個使用配置檔的中樞。

  4. 選取 [ 下載虛擬 WAN 使用者 VPN 設定檔]。

  5. 在下載頁面上,選取 [EAPTLS],然後選取 [產生並下載配置檔]。 系統會產生包含用戶端組態設定的配置檔套件(zip 檔案),並下載到您的計算機。 套件的內容取決於您組態的驗證和通道選擇。

設定 VPN 用戶端

使用下載的配置檔來設定遠端存取用戶端。 每個作業系統的程式都不同,請遵循套用至您系統的指示。

IKEv2

在 [使用者 VPN 組態] 中,如果您指定了 IKEv2 VPN 通道類型,您可以設定原生 VPN 用戶端 (Windows 和 macOS Catalina 或更新版本)。

下列步驟適用於 Windows。 針對macOS,請參閱 IKEv2-macOS 步驟。

  1. 選取 Windows 電腦架構所對應的 VPN 用戶端組態檔。 若是 64 位元的處理器架構,請選擇 'VpnClientSetupAmd64' 安裝程式套件。 若是 32 位元的處理器架構,請選擇 'VpnClientSetupX86' 安裝程式套件。

  2. 對套件按兩下來加以安裝。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊],然後選取 [仍要執行]

  3. 在用戶端電腦上,流覽至 [網络 設定],然後選取 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。

  4. 在您想要透過此使用者 VPN 設定連線的每部電腦上安裝客戶端憑證。 使用原生 Azure 憑證驗證類型時,需要客戶端憑證才能進行驗證。 如需產生憑證的詳細資訊,請參閱 產生憑證。 如需如何安裝客戶端憑證的詳細資訊,請參閱 安裝客戶端憑證

OpenVPN

在 [使用者 VPN 組態] 中,如果您指定 OpenVPN 信道類型,您可以下載並設定 Azure VPN 用戶端,或在某些情況下,您可以使用 OpenVPN 用戶端軟體。 如需步驟,請使用對應至組態的連結。

連線 輪輻 VNet

在本節中,您會建立中樞與輪輻 VNet 之間的連線。

  1. 在 Azure 入口網站中前往 [虛擬 WAN],並在左窗格中選取 [虛擬網路連線]

  2. [虛擬網路連線] 頁面上,選取 [+ 新增連線]

  3. 在 [新增連線] 頁面上,進行連線設定。 如需路由設定的資訊,請參閱關於路由

    [新增連線] 頁面的螢幕快照。

    • 連線名稱:命名您的連線。
    • 中樞:選取要與此連線產生關聯的中樞。
    • 訂用帳戶:請確認訂用帳戶。
    • 資源群組:選取包含您要連線之虛擬網路的資源群組。
    • 虛擬網路:選取要與此中樞連線的虛擬網路。 您選取的虛擬網路不能有現有的虛擬網路閘道。
    • 傳播到無:這會根據預設設為 [否]。 將開關變更為 [是],可讓 [傳播到路由表] 和 [傳播到標籤] 的設定選項無法用於設定。
    • 為路由表建立關聯:您可以從下拉式清單中選取您想要建立關聯的路由表。
    • 傳播至標籤:標籤是路由表的邏輯群組。 針對此設定,從下拉式清單中進行選取。
    • 靜態路由:視需要設定靜態路由。 設定網路虛擬設備的靜態路由 (若適用)。 虛擬 WAN 支援虛擬網路連線中靜態路由的單一下一個躍點 IP。 例如,如果您有用於輸入和輸出流量的個別虛擬設備,則最好讓虛擬設備位於個別的 VNet 中,並將 VNet 連結至虛擬中樞。
    • 略過此 VNet 內工作負載的下一個躍點 IP:此設定可讓您將 NVA 和其他工作負載部署到相同的 VNet,而不會強制所有流量通過 NVA。 只有在您設定新的連線時,才能進行此設定。 如果您想要針對已建立的連線使用此設定,請刪除連線,然後新增連線。
    • 傳播靜態路由:目前即將推出此設定。此設定可讓您將 [靜態路由] 區段中定義的靜態路由,傳播至 [傳播至路由表] 中指定的路由表。 此外,針對具有已指定為 [傳播至標籤] 標籤的路由表,路由也會傳播至此路由表。 這些路由可以跨中樞傳播,但預設路由 0/0 除外。 這項功能正在進行推出。如果您需要啟用此功能,請連絡 vwanpm@microsoft.com

  4. 完成您想要的設定後,請按一下 [建立] 以建立連線。

建立虛擬機器

在本節中,您會在 VNet、VM1 和 VM2 中建立兩個 VM。 在網路圖中,我們使用10.18.0.4和10.18.0.5。 設定 VM 時,請務必選取您建立的虛擬網路(位於 [網络] 索引標籤上)。 如需建立 VM 的步驟,請參閱 快速入門:建立 VM

保護虛擬中樞

標準虛擬中樞沒有內建的安全策略來保護輪輻虛擬網路中的資源。 安全的虛擬中樞會使用 Azure 防火牆 或第三方提供者來管理傳入和傳出流量,以保護 Azure 中的資源。

使用下列文章將中樞轉換成安全的中樞:在虛擬 WAN 中樞中設定 Azure 防火牆。

建立規則以管理和篩選流量

建立規定 Azure 防火牆 行為的規則。 藉由保護中樞,我們可確保進入虛擬中樞的所有封包在存取您的 Azure 資源之前,都會受到防火牆處理。

完成這些步驟之後,您將建立一個架構,讓 VPN 用戶能夠存取私人 IP 位址為 10.18.0.4 的 VM,但 不要 使用私人 IP 位址 10.18.0.5 存取 VM

  1. 在 Azure 入口網站 中,流覽至 [防火牆管理員]。

  2. 在 [安全性] 底下,選取 [Azure 防火牆 原則]。

  3. 選取 [建立 Azure 防火牆原則]

  4. 在 [原則詳細數據] 底下,輸入名稱,然後選取虛擬中樞部署的區域。

  5. 選取 [下一步: DNS 設定]

  6. 選取 [ 下一步:規則]。

  7. 在 [規則] 索引標籤上,選取 [新增規則集合]

  8. 提供集合的名稱。 將類型設定為 [網络]。 新增優先順序值 100

  9. 填入規則的名稱、來源類型、來源、通訊協定、目的地埠和目的地類型,如下列範例所示。 然後,選取 [ 新增]。 此規則允許來自 VPN 用戶端集區的任何 IP 位址存取具有私人 IP 位址 10.18.04 的 VM,但不會存取連線至虛擬中樞的任何其他資源。 建立您想要符合所需架構和許可權規則的任何規則。

    防火牆規則

  10. 選取 [ 下一步:威脅情報]。

  11. 選取 [ 下一步:中樞]。

  12. 在 [中 樞] 索引標籤上 ,選取 [ 建立虛擬中樞的關聯]。

  13. 選取您稍早建立的虛擬中樞,然後選取 [ 新增]。

  14. 選取 [檢閱 + 建立]。

  15. 選取 建立

此程式可能需要5分鐘或更多時間才能完成。

透過 Azure 防火牆 路由傳送流量

在本節中,您必須確定流量會透過 Azure 防火牆 路由傳送。

  1. 在入口網站的 [防火牆管理員] 中,選取 [ 受保護的虛擬中樞]。
  2. 選取您建立的虛擬中樞。
  3. 在 [設定] 下方,選取 [安全性設定]
  4. 在 [私人流量] 下,選取 [透過 Azure 防火牆傳送]
  5. 確認 VNet 連線和分支連線私人流量受到 Azure 防火牆 保護。
  6. 選取 [儲存]

注意

如果您想要在安全的虛擬中樞中使用 Azure 防火牆 來檢查目的地為私人端點的流量,請參閱保護目的地為 Azure 虛擬 WAN 中私人端點的流量。 您必須在 Azure 防火牆 管理員的安全性設定下,針對私人流量前綴中的每個私人端點新增 /32 前置詞,才能透過安全虛擬中樞中的 Azure 防火牆 加以檢查。 如果未設定這些 /32 前置詞,則目的地為私人端點的流量會略過 Azure 防火牆。

Validate

確認安全中樞的設定。

  1. 連線 至透過來自客戶端裝置的 VPN 保護虛擬中樞
  2. 從用戶端 Ping IP 位址 10.18.0.4 。 您應該會看到回應。
  3. 從用戶端 Ping IP 位址 10.18.0.5 。 您不應該看到回應。

考量

  • 請確定 安全虛擬中樞上的有效路由表 具有防火牆的私人流量下一個躍點。 若要存取有效路由表,請流覽至您的 虛擬中樞 資源。 在 [連線 ivity] 下,選取 [路由],然後選取 [有效路由]。 從該處選取 [預設 路由表]。
  • 確認您已在 [ 建立規則] 區段中建立規則 。 如果遺漏這些步驟,您建立的規則實際上不會與中樞相關聯,路由表和封包流程不會使用 Azure 防火牆。

下一步