對使用者 VPN 用戶端的輪輻 VNet 中所含的資源進行安全存取管理
本文說明如何使用虛擬 WAN 和 Azure 防火牆規則與篩選功能,透過點對站 IKEv2 或 OpenVPN 連線,對 Azure 中的資源連線進行安全存取管理。 如果您想要限制遠端使用者對 Azure 資源的存取,或保護 Azure 中的資源,則此設定會很有幫助。
本文中的步驟可協助您建立下圖中的結構,讓使用者 VPN 用戶端可以在連線至虛擬中樞的輪輻 VNet 中存取特定資源 (VM1),但不會存取其他資源 (VM2)。 使用此結構範例作為基本指引。
必要條件
您有 Azure 訂用帳戶。 如果您沒有 Azure 訂閱,請建立免費帳戶。
您有一個要連線至其中的虛擬網路。
- 驗證沒有任何內部部署網路的子網路與您要連線的虛擬網路子網路重疊。
- 若要在 Azure 入口網站中建立虛擬網路,請參閱快速入門文章。
您的虛擬網路必須沒有任何現有的虛擬網路閘道。
- 如果虛擬網路已經有閘道 (VPN 或 ExpressRoute) ,您必須先移除所有閘道,然後再繼續。
- 此組態需要讓虛擬網路只連線到虛擬 WAN 中樞閘道。
決定您要用於您的虛擬中樞私人位址空間的 IP 位址範圍。 設定您的虛擬中樞時會使用此資訊。 虛擬中樞是虛擬 WAN 建立和使用的虛擬網路。 這是您區域中虛擬 WAN 網路的核心。 位址空間範圍必須符合特定規則:
- 您為中樞指定的位址範圍不能與您連線的任何現有虛擬網路重疊。
- 位址範圍不能與您連線的內部部署位址範圍重疊。
- 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。
- 您的值可用於要使用的驗證設定。 例如,RADIUS 伺服器、Microsoft Entra 驗證,或產生和匯出憑證。
建立虛擬 WAN
在入口網站前往 [搜尋資源] 列,接著在搜尋方塊中輸入 [虛擬 WAN],然後選取 [Enter]。
從結果中選取 [虛擬 WAN] 在 [虛擬 WAN] 頁面中,選取 [+ 建立],以開啟 [建立 WAN] 頁面。
在 [建立 WAN] 頁面的 [基本] 索引標籤中,填寫欄位。 修改範例值以套用至您的環境。
- 訂閱:選取您要使用的訂閱。
- 資源群組:建立新的或使用現有的。
- 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,並不會在特定區域存留。 不過,您必須選取一個區域以管理及放置所建立的 WAN 資源。
- 名稱:鍵入要用來稱呼虛擬 WAN 的名稱。
- 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請了解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。
填寫欄位完成後,請在頁面底部選取 [檢閱 + 建立]。
驗證通過後,按一下 [建立],以建立虛擬 WAN。
定義 P2S 設定參數
點對站 (P2S) 設定會定義用於連線遠端用戶端的參數。 本節可協助您定義 P2S 設定參數,然後建立將用於 VPN 用戶端設定檔的設定。 您遵循的指示取決於您要使用的驗證方法。
驗證方法
選取驗證方法時,您有三個選項。 每個方法都有特定需求。 選取下列其中一種方法,然後完成步驟。
Microsoft Entra 驗證:取得下列資訊:
- 在 Microsoft Entra 租用戶中註冊的 Azure VPN 企業應用程式所用應用程式識別碼。
- 簽發者。 範例:
https://sts.windows.net/your-Directory-ID
。 - Microsoft Entra 租用戶。 範例:
https://login.microsoftonline.com/your-Directory-ID
。
RADIUS 驗證:取得 RADIUS 伺服器 IP、RADIUS 伺服器祕密和憑證資訊。
Azure 憑證:此設定需要憑證。 您必須產生或取得憑證。 每個用戶端都需要有用戶端憑證。 此外,必須上傳根憑證資訊 (公開金鑰)。 如需必要憑證的詳細資訊,請參閱產生和匯出憑證。
瀏覽至您所建立的虛擬 WAN。
從左側功能表選取 [使用者 VPN 設定]。
在 [使用者 VPN 設定] 頁面上,選取 [+建立使用者 VPN 設定]。
在 [建立新使用者 VPN 設定] 頁面的 [基本] 索引標籤中,在 [執行個體詳細資料] 下方輸入您要指派給 VPN 設定的名稱。
針對 [通道類型],從下拉式清單中選取您需要的通道類型。 通道類型選項包括:IKEv2 VPN、OpenVPN,以及 OpenVpn 和 IKEv2。 每個通道類型都有特殊的必要設定。 所選的通道類型會對應至可用的驗證選項。
需求和參數:
IKEv2 VPN
要求:當您選取 IKEv2 通道類型時,會顯示一則訊息指示您選取驗證方法。 若為 IKEv2,您可以指定多個驗證方法。 您可以選擇 Azure 憑證、RADIUS 驗證,或同時選擇兩者。
IPSec 自訂參數:若要自訂 IKE 階段 1 和 IKE 階段 2 的參數,請將 IPsec 切換成 [自訂],然後選取參數值。 若要進一步了解可自訂的參數,請參閱自訂 IPsec 一文。
OpenVPN
- 需求:當您選取 OpenVPN 通道類型時,會顯示一則訊息指示您選取驗證機制。 如果選取 OpenVPN 作為通道類型,您可以指定多個驗證方法。 您可以選擇 Azure 憑證、Microsoft Entra ID 或 RADIUS 驗證的任何子集。 若為 RADIUS 驗證,您可以提供次要 RADIUS 伺服器 IP 位址和伺服器祕密。
OpenVPN 和 IKEv2
- 需求:當您選取 OpenVPN 和 IKEv2 通道類型時,會顯示一則訊息指示您選取驗證機制。 如果選取 OpenVPN 和 IKEv2 作為通道類型,您可以指定多個驗證方法。 您可以選擇 Microsoft Entra ID,以及 Azure 憑證或 RADIUS 驗證。 若為 RADIUS 驗證,您可以提供次要 RADIUS 伺服器 IP 位址和伺服器祕密。
設定您想要使用的驗證方法。 每個驗證方法都會以個別的索引標籤顯示:Azure 憑證、RADIUS 驗證和 Microsoft Entra ID。 某些驗證方法僅適用於特定通道類型。
在您要設定的驗證方法所適用的索引標籤上,選取 [是] 以顯示可用的設定。
範例 - 憑證驗證
若要進行此設定,[基本] 頁面上的通道類型可以是 IKEv2、OpenVPN 或 OpenVPN 與 IKEv2。
範例 - RADIUS 驗證
若要進行此設定,[基本] 頁面上的通道類型可以是 Ikev2、OpenVPN 或 OpenVPN 與 IKEv2。
範例 - Microsoft Entra 驗證
若要進行此設定,[基本] 頁面上的通道類型必須是 OpenVPN。 只有 OpenVPN 支援以 Microsoft Entra ID 為基礎的驗證。
完成設定之後,請選取頁面底部的 [檢閱 + 建立]。
選取 [建立] 建立使用者 VPN 設定。
建立中樞和閘道
在本節中,您會使用點對站閘道建立虛擬中樞。 設定時,您可以使用下列範例值:
- 中樞私人 IP 位址空間:10.1.0.0/16
- 用戶端位址集區:10.5.0.0/16
- 自訂 DNS 伺服器:最多可以列出 5 個 DNS 伺服器
基本頁面
移至您建立的虛擬 WAN。 在虛擬 WAN 頁面的左側窗格上,於 [連線能力] 下,選取 [中樞]。
在 [中樞] 頁面上,選取 [+ 新增中樞] 來開啟 [建立虛擬中樞] 頁面。
在 [建立虛擬中樞] 頁面的 [基本] 索引標籤中,完成以下欄位:
- 區域:選取您要在其中部署虛擬中樞的區域。
- 名稱:您希望虛擬中樞顯示的名稱。
- 中樞私人位址空間:採用 CIDR 標記法的中樞位址範圍。 最小位址空間是 /24 以便建立中樞。
- 虛擬中樞容量:從下拉式清單中選取。 如需詳細資訊,請參閱虛擬中樞設定。
- 中樞路由喜好設定:保留為預設值。 如需詳細資訊,請參閱虛擬中樞路由偏好設定。
點對站頁面
按一下 [點對站] 索引標籤,以開啟點對站的設定頁面。 若要檢視點對站設定,請按一下 [是]。
設定下列設定:
閘道縮放單位 - 代表使用者 VPN 閘道的彙總容量。 如果您選取 40 個或以上的閘道縮放單位,請據此規劃您的用戶端位址集區。 如需這個設定會如何影響用戶端位址集區的詳細資訊,請參閱關於用戶端位址集區。 如需閘道縮放單位的詳細資訊,請參閱常見問題集。
點對站設定:選取您在前一步驟中建立的使用者 VPN 設定。
路由喜好設定:Azure 路由喜好設定可讓您選擇流量在 Azure 與網際網路之間的路由方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由和熱馬鈴薯路由。 虛擬 WAN 中的公用 IP 位址會由服務根據選取的路由選項指派。 如需透過 Microsoft 網路或 ISP 的路由喜好設定詳細資訊,請參閱路由喜好設定一文。
使用遠端/內部部署 RADIUS 伺服器 - 虛擬 WAN 使用者 VPN 閘道設為使用 RADIUS 型驗證時,使用者 VPN 閘道會當作 Proxy 使用,並將 RADIUS 存取要求傳送至您的 RADIUS 伺服器。 [使用遠端/內部部署 RADIUS 伺服器] 設定預設為停用,這表示使用者 VPN 閘道只能將驗證要求轉送到虛擬網路 (與閘道中樞相連接) 中的 RADIUS 伺服器。 啟用設定可讓使用者 VPN 閘道向連線至遠端中樞或內部部署的 RADIUS 伺服器進行驗證。
注意
只有在閘道設定為使用 RADIUS 驗證時,才會使用遠端/內部部署 RADIUS 伺服器設定和相關的 Proxy IP。 如果閘道未設定為使用 RADIUS 驗證,將會忽略此設定。
如果使用者將連線至全域 VPN 設定檔,而不是中樞型設定檔,則您必須開啟 [使用遠端/內部部署 RADIUS 伺服器]。 如需詳細資訊,請參閱全域和中樞層級設定檔。
建立使用者 VPN 閘道之後,請移至閘道,並記下 [RADIUS Proxy IP] 欄位。 RADIUS Proxy IP 是使用者 VPN 閘道傳送至 RADIUS 伺服器的 RADIUS 封包的來源 IP。 因此,您的 RADIUS 伺服器必須設定為接受來自 RADIUS Proxy IP 的驗證要求。 如果 RADIUS Proxy IP 欄位空白或值為 none,請將 RADIUS 伺服器設定為接受來自中樞位址空間的驗證要求。
此外,針對裝載了 RADIUS 伺服器的連線 (VNet 或內部部署),請務必確認其關聯和傳播已設為傳播至中樞的 defaultRouteTable (使用點對站 VPN 閘道部署);而點對站 VPN 設定會傳播至裝載 RADIUS 伺服器的連線路由表。 這是確保閘道可以與 RADIUS 伺服器通訊的必要程序,反之亦然。
用戶端位址集區 - 系系統會自動將 IP 位址指派給 VPN 用戶端的位址集區。 位址集區不得重複。 位址集區之間不得重疊。 如需詳細資訊,請參閱關於用戶端位址集區。
自訂 DNS 伺服器 - 用戶端將使用的 DNS 伺服器 IP 位址。 最多可以指定 5 個。
選取 [檢閱 + 建立] 以驗證您的設定。
通過驗證後,選取 [建立]。 建立中樞可能需要 30 分鐘或更長時間才能完成。
產生 VPN 用戶端設定檔
在本節中,您會產生並下載組態設定檔。 這些檔案可用來在用戶端電腦上設定原生 VPN 用戶端。
若要產生 WAN 層級全域設定檔 VPN 用戶端設定套件,請前往 [虛擬 WAN] (而非虛擬中樞)。
在左窗格中,選取 [使用者 VPN 設定]。
選取您要下載其設定檔的設定。 如果您有多個中樞指派給相同的設定檔,請展開設定檔以顯示中樞,然後選取其中一個使用此設定檔的中樞。
選取 [下載虛擬 WAN 使用者 VPN 設定檔]。
在下載頁面上選取 [EAPTLS],然後選取 [產生並下載設定檔]。 設定檔套件 (ZIP 檔案) 包含會產生並下載到您電腦中的用戶端組態設定。 套件的內容取決於您為設定選擇的驗證和通道。
設定 VPN 用戶端
使用下載的設定檔來設定遠端存取用戶端。 每個作業系統的程序都不同,請遵循適用於您的系統的指示。
IKEv2
在 [使用者 VPN 設定] 中,若已指定 IKEv2 VPN 通道類型,您可以設定原生 VPN 用戶端 (Windows 和 macOS Catalina 或更新版本)。
下列步驟適用於 Windows。 針對 macOS,請參閱 IKEv2-macOS 步驟。
選取 Windows 電腦架構所對應的 VPN 用戶端組態檔。 若是 64 位元的處理器架構,請選擇 'VpnClientSetupAmd64' 安裝程式套件。 若是 32 位元的處理器架構,請選擇 'VpnClientSetupX86' 安裝程式套件。
對套件按兩下來加以安裝。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊],然後選取 [仍要執行]。
在用戶端電腦上,瀏覽至網路設定,然後按一下 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。
透過此使用者 VPN 設定,在所要連線的每部電腦上安裝用戶端憑證。 使用原生 Azure 憑證驗證類型時,必須提供用戶端憑證才能通過驗證。 如需有關產生憑證的詳細資訊,請參閱產生憑證。 如需有關如何安裝用戶端憑證的資訊,請參閱安裝用戶端憑證。
OpenVPN
在 [使用者 VPN 設定] 中,若已指定 OpenVPN 通道類型,您可以下載並設定 Azure VPN 用戶端,或在某些情況下,您可以使用 OpenVPN 用戶端軟體。 如需步驟,請使用對應至設定的連結。
- Microsoft Entra 驗證 - Azure VPN 用戶端 - Windows
- Microsoft Entra 驗證 - Azure VPN 用戶端 - macOS
- 設定 OpenVPN 用戶端軟體 - Windows、macOS、iOS、Linux
連接輪輻 VNet
在本節中,您會在中樞和輪輻 VNet 之間建立連線。
在 Azure 入口網站中前往 [虛擬 WAN],並在左窗格中選取 [虛擬網路連線]。
在 [虛擬網路連線] 頁面上,選取 [+ 新增連線]。
在 [新增連線] 頁面上,進行連線設定。 如需路由設定的資訊,請參閱關於路由。
- 連線名稱:命名您的連線。
- 中樞:選取要與此連線產生關聯的中樞。
- 訂用帳戶:請確認訂用帳戶。
- 資源群組:選取包含您要連線之虛擬網路的資源群組。
- 虛擬網路:選取要與此中樞連線的虛擬網路。 您選取的虛擬網路不能有現有的虛擬網路閘道。
- 傳播到無:這會根據預設設為 [否]。 將開關變更為 [是],可讓 [傳播到路由表] 和 [傳播到標籤] 的設定選項無法用於設定。
- 為路由表建立關聯:您可以從下拉式清單中選取您想要建立關聯的路由表。
- 傳播至標籤:標籤是路由表的邏輯群組。 針對此設定,從下拉式清單中進行選取。
- 靜態路由:視需要設定靜態路由。 設定網路虛擬設備的靜態路由 (若適用)。 虛擬 WAN 支援虛擬網路連線中靜態路由的單一下一個躍點 IP。 例如,如果您有用於輸入和輸出流量的個別虛擬設備,則最好讓虛擬設備位於個別的 VNet 中,並將 VNet 連結至虛擬中樞。
- 略過此 VNet 內工作負載的下一個躍點 IP:此設定可讓您將 NVA 和其他工作負載部署到相同的 VNet,而不會強制所有流量通過 NVA。 只有在您設定新的連線時,才能進行此設定。 如果您想要針對已建立的連線使用此設定,請刪除連線,然後新增連線。
- 傳播靜態路由:目前即將推出此設定。此設定可讓您將 [靜態路由] 區段中定義的靜態路由,傳播至 [傳播至路由表] 中指定的路由表。 此外,針對具有已指定為 [傳播至標籤] 標籤的路由表,路由也會傳播至此路由表。 這些路由可以跨中樞傳播,但預設路由 0/0 除外。 本功能正在推出中。如果您需要啟用此功能,請開啟支援案例
完成您想要的設定後,請按一下 [建立] 以建立連線。
建立虛擬機器
在本節中,您會在 VNet、VM1 和 VM2 中建立兩個 VM。 在網路圖中,我們使用 10.18.0.4 和 10.18.0.5。 設定 VM 時,請務必選取您所建立的虛擬網路 (位於 [網路] 索引標籤)。 如需建立 VM 的步驟,請參閱快速入門:建立 VM。
保護虛擬中樞
標準虛擬中樞沒有內建的安全性原則,無法保護輪輻虛擬網路中的資源。 安全的虛擬中樞會使用 Azure 防火牆或協力廠商提供者來管理傳入和傳出流量,以保護 Azure 中的資源。
依照下列文章所述,將中樞轉換成安全的中樞:在虛擬 WAN 中樞設定 Azure 防火牆。
建立規則以管理和篩選流量
建立規則以指定 Azure 防火牆的行為。 藉由保護中樞,我們可確保進入虛擬中樞的所有封包都經由防火牆處理後,再存取您的 Azure 資源。
完成這些步驟之後,所建立結構將可讓 VPN 使用者存取具有私人 IP 位址 10.18.0.4 的 VM,但無法存取具有私人 IP 位址 10.18.0.5 的 VM
在 Azure 入口網站中,瀏覽至 [防火牆管理員]。
在 [安全性] 下方,選取 [Azure 防火牆原則]。
選取 [建立 Azure 防火牆原則]。
在 [原則詳細資料] 下方輸入名稱,然後選取部署虛擬中樞的區域。
選取 [下一步: DNS 設定]。
選取 [下一步: 規則]。
在 [規則] 索引標籤上,選取 [新增規則集合]。
提供集合的名稱。 將類型設定為 [網路]。 新增優先順序值 100。
填入規則名稱、來源類型、來源、通訊協定、目的地連接埠和目的地類型,如下列範例所示。 然後選取 [新增]。 此規則允許來自 VPN 用戶端集區的任何 IP 位址存取具有私人 IP 位址 10.18.04 的 VM,但不會存取連線到虛擬中樞的任何其他資源。 建立符合所需結構和權限規則的任何規則。
然後選取 [下一步: 威脅情報]。
選取 [下一步:中樞]。
在 [中樞] 索引標籤上,選取 [建立虛擬中樞的關聯]。
選取您稍早建立的虛擬中樞,然後選取 [新增]。
選取 [檢閱 + 建立]。
選取 建立。
此流程可能需要 5 分鐘以上的時間才能完成。
透過 Azure 防火牆路由傳送流量
在本節中,您必須確保流量會透過 Azure 防火牆路由傳送。
- 在入口網站中,從 [防火牆管理員] 中,選取 [安全虛擬中樞]。
- 選取您所建立的虛擬中樞。
- 在 [設定] 下方,選取 [安全性設定]。
- 在 [私人流量] 下,選取 [透過 Azure 防火牆傳送]。
- 確認 VNet 連線和分支連線私人流量受到 Azure 防火牆保護。
- 選取 [儲存]。
注意
若您想要使用安全虛擬中樞內的 Azure 防火牆來檢查目的地是私人端點的流量,請參閱保護目的地是 Azure 虛擬 WAN 中私人端點的流量。 您必須在 Azure 防火牆管理員的安全性設定下,為私人流量前置詞中的每個私人端點新增 /32 個前置詞,才能透過安全虛擬中樞內的 Azure 防火牆加以檢查。 如果未設定這些 /32 前置詞,則目的地為私人端點的流量將會略過Azure 防火牆。
Validate
確認安全中樞的設定。
- 透過 VPN 從用戶端裝置連線到安全虛擬中樞。
- 從用戶端 Ping IP 位址 10.18.0.4。 您應該會看到回應。
- 從用戶端 Ping IP 位址 10.18.0.5。 您應該看不到回應。
考量
- 請確定安全虛擬中樞上的有效路由表含有防火牆指定用於私人流量的下一個躍點。 若要存取有效路由表,請瀏覽至虛擬中樞資源。 在 [連線能力] 下方選取 [路由],然後選取 [有效路由]。 從該處選取 [預設路由表]。
- 確認您已在 [建立規則] 區段中建立規則。 如果遺漏這些步驟,您建立的規則便不會實際與中樞產生關聯,路由表和封包流程也不會使用 Azure 防火牆。
下一步
- 如需有關虛擬 WAN 的詳細資訊,請參閱虛擬 WAN 常見問題集。
- 如需 Azure 防火牆的詳細資訊,請參閱 Azure 防火牆常見問題。