Управление безопасным доступом для клиентов VPN пользователей к ресурсам в спицевых виртуальных сетях.

В этой статье показано, как использовать Virtual WAN и правила и фильтры Azure Firewall для управления безопасным доступом к ресурсам в Azure по подключениям типа "точка-сайт" или OpenVPN. Эта конфигурация полезна, если у вас есть удаленные пользователи, для которых требуется ограничить доступ к ресурсам Azure или защитить ресурсы в Azure.

Действия, описанные в этой статье, помогут вам создать архитектуру, представленную на следующей схеме, чтобы разрешить пользовательским VPN-клиентам получать доступ к определенному ресурсу (виртуальная машина 1) в периферийной виртуальной сети, подключенной к виртуальному концентратору, но не к другим ресурсам (виртуальная машина 2). Используйте этот пример архитектуры в качестве основного принципа.

Схема: защищенный виртуальный концентратор.

Предварительные требования

  • У вас есть подписка Azure. Если у вас нет подписки Azure, создайте учетную запись free.

  • У вас есть виртуальная сеть, к которой вы хотите подключиться.

    • Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться.

    • Сведения о создании виртуальной сети на портале Azure см. в статье Quickstart.

      В этом упражнении мы использовали следующие примеры значений для создания виртуальной сети. Эти значения можно изменить при создании собственной виртуальной сети.

      Параметр Ценность
      Группа ресурсов TestRG
      Имя VNet1
      Расположение/регион Восточная часть США
      Диапазон IPv4-адресов 10.11.0.0/16

  • В вашей виртуальной сети не должно быть шлюзов виртуальной сети.

    • Если в виртуальной сети уже есть шлюзы (VPN или ExpressRoute), необходимо удалить их все, прежде чем продолжать работу.
    • Для этой конфигурации требуется, чтобы виртуальные сети подключались только к шлюзу концентратора Virtual WAN.

  • Выберите диапазон IP-адресов, который вы хотите использовать для пространства частных адресов виртуального концентратора. Эти сведения используются при настройке виртуального концентратора. Виртуальный концентратор — это виртуальная сеть, которая создается и используется Virtual WAN. Это ядро вашей Virtual WAN сети в регионе. Диапазон адресного пространства должен соответствовать определенным правилам:

    • Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь.
    • Указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь.
    • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
  • У вас есть значения, доступные для конфигурации проверки подлинности, которую вы хотите использовать. Например, сервер RADIUS, проверка подлинности Microsoft Entra или Создание и экспорт сертификатов.

Создание виртуальной глобальной сети

  1. На портале в строке Search resources введите Virtual WAN в поле поиска и выберите Enter.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Узлы уровня "Базовый" можно использовать только для межсайтовых соединений.

  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

Определение параметров конфигурации P2S

Конфигурация подключения типа "точка — сеть" (P2S) определяет параметры для подключения удаленных клиентов. Этот раздел поможет вам определить параметры конфигурации P2S, а затем создать конфигурацию, которая будет использоваться для профиля VPN-клиента. Инструкции, которые вы будете использовать, зависят от метода проверки подлинности, который вы хотите использовать.

методы проверки подлинности;

При выборе метода проверки подлинности у вас есть три варианта. Каждый метод имеет определенные требования. Выберите один из следующих методов и выполните действия.

  • Аутентификация Microsoft Entra: Получите следующее:

    • Идентификатор приложения Application ID VPN-приложения Enterprise Azure, зарегистрированного в арендаторе Microsoft Entra.
    • Издатель. Пример: https://sts.windows.net/your-Directory-ID.
    • Клиент Microsoft Entra. Пример: https://login.microsoftonline.com/your-Directory-ID.

  • Проверка подлинности на основе RADIUS. Получите IP-адрес сервера RADIUS, секрет сервера RADIUS и сведения о сертификате.

  • Azure сертификаты: Для этой конфигурации требуются сертификаты. Необходимо либо создать, либо получить сертификаты. Для каждого клиента требуется отдельный сертификат клиента. Кроме того, необходимо отправить сведения о корневом сертификате (открытый ключ). Дополнительные сведения о необходимых сертификатах см. в разделе Создание и экспорт сертификатов.

  1. Перейдите к созданной виртуальной глобальной сети.

  2. В меню слева выберите Пользовательские конфигурации VPN.

  3. На странице Пользовательские конфигурации VPN выберите Создать пользовательскую конфигурацию VPN.

  4. На странице Создание пользовательской конфигурации VPN на вкладке Основные в разделе Сведения об экземпляре введите значение для поля Имя для вашей конфигурации VPN.

    Снимок экрана с переключателем IPsec в положении пользовательский.

  5. В раскрывающемся списке Тип туннеля выберите нужное значение. Доступные типы туннелей: IKEV2 VPN, OpenVPN и OpenVPN и IKEv2. Каждый тип туннеля имеет свои обязательные параметры. Выбранный тип туннеля соответствует доступным вариантам проверки подлинности.

    Требования и параметры:

    IKEv2 VPN

    • Требования: Если выбран тип туннеля IKEv2, то отобразится сообщение, предлагающее выбрать способ аутентификации. Для IKEv2 можно указать несколько методов проверки подлинности. Вы можете выбрать Azure сертификат, проверку подлинности на основе RADIUS или оба варианта.

    • Пользовательские параметры IPsec. Чтобы задать настройки для этапа IKE 1 и этапа IKE 2, установите переключатель IPsec в положение Пользовательские и выберите значения параметров. Дополнительные сведения о настройке см. в статье о пользовательских параметрах IPsec.

    OpenVPN.

    • Требования. Если вы выбрали тип туннеля OpenVPN, то отобразится сообщение о необходимости выбрать механизм аутентификации. Если OpenVPN выбран в качестве типа туннеля, можно указать несколько методов проверки подлинности. Вы можете выбрать любое подмножество сертификата Azure, Microsoft Entra ID или проверки подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

    OpenVPN и IKEv2

    • Требования. При выборе типа туннеля OpenVPN и IKEv2 вы увидите сообщение, направляющее вас к выбору механизма проверки подлинности. Если в качестве типа туннеля выбраны OpenVPN и IKEv2 , можно указать несколько методов проверки подлинности. Вы можете выбрать Microsoft Entra ID вместе с Azure сертификатом или проверкой подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

  6. Настройте способы проверки подлинности, которые вы хотите использовать. Каждый метод проверки подлинности находится на отдельной вкладке: Azure certificate, RADIUS authentication и Microsoft Entra ID. Некоторые способы проверки подлинности доступны только для определенных типов туннелей.

    На вкладке способа проверки подлинности, который вы хотите настроить, выберите Да, чтобы просмотреть доступные параметры конфигурации.

    • Пример: проверка подлинности на основе сертификата

      Для настройки этого параметра тип туннеля на странице "Основное" может быть IKEv2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: выбран пункт

    • Пример: проверка подлинности RADIUS

      Чтобы настроить этот параметр, тип туннеля на странице "Основы" можно использовать Ikev2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: страница проверки подлинности RADIUS.

    • Образец — аутентификация Microsoft Entra

      Чтобы настроить этот параметр, тип туннеля на странице "Основы" должен быть OpenVPN. проверка подлинности на основе Microsoft Entra ID поддерживается только в OpenVPN.

      Microsoft Entra страница проверки подлинности.

  7. Когда вы закончите настройку параметров, щелкните Проверка и создание внизу страницы.

  8. Нажмите Создать, чтобы создать пользовательскую конфигурацию VPN.

Создание концентратора и шлюза

В этом разделе описано, как создать виртуальный концентратор с помощью шлюза типа "точка — сеть". При настройке можно использовать следующие примеры значений:

  • Диапазон частных IP-адресов концентратора: 10.1.0.0/16
  • Пул адресов клиента: 10.5.0.0/16
  • Пользовательские DNS-серверы: можно указать до 5 DNS-серверов.

Страница "Основные сведения"

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство для создания концентратора составляет /24.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Параметр маршрутизации узла: оставьте параметр по умолчанию (ExpressRoute), если у вас нет конкретной необходимости изменить это поле. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

Указатель на страницу сайта

  1. Перейдите на вкладку Точка — сеть, чтобы открыть страницу настройки подключения "точка — сеть". Чтобы просмотреть параметры «точка-сайт», нажмите Да.

    Снимок экрана: конфигурация виртуального концентратора с выбранным параметром

  2. Настройте следующие параметры:

    • Единицы масштабирования шлюза — совокупная емкость VPN-шлюза пользователя. Если выбрать 40 или более единиц масштабирования шлюза, запланируйте пул адресов клиента соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.

    • Наведите указатель на конфигурацию сайта. Выберите конфигурацию VPN пользователя, созданную на предыдущем шаге.

    • параметр Routing — параметр маршрутизации Azure позволяет выбрать маршруты трафика между Azure и Интернетом. Вы можете выбрать передачу трафика через сеть Майкрософт или сети поставщиков услуг Интернета (общедоступный Интернет). Эти варианты также называются холодной маршрутизацией картофеля и горячей маршрутизацией картофеля соответственно. Общедоступный IP-адрес в Virtual WAN назначается службой на основе выбранного параметра маршрутизации. Дополнительные сведения о предпочтении маршрутизации через сеть Microsoft или интернет-провайдера см. в статье предпочтение маршрутизации.

    • Использовать удаленный или локальный сервер RADIUS. Когда VPN-шлюз Virtual WAN пользователя настроен для использования проверки подлинности на основе RADIUS, VPN-шлюз пользователя выступает в качестве прокси-сервера и отправляет запросы доступа RADIUS на сервер RADIUS. Параметр "Использовать удаленный или локальный сервер RADIUS" отключен по умолчанию, то есть пользовательский VPN-шлюз будет иметь возможность перенаправлять запросы на проверку подлинности только на серверы RADIUS в виртуальных сетях, подключенных к концентратору шлюза. Включение этого параметра позволит пользовательскому VPN-шлюзу пользователя проходить проверку подлинности с помощью серверов RADIUS, подключенных к удаленным концентраторам или развернутых локально.

      Примечание.

      Настройка удаленного или локального сервера RADIUS и связанных IP-адресов прокси используется только в том случае, если шлюз настроен для использования проверки подлинности на основе RADIUS. Если шлюз не настроен на использование проверки подлинности на основе RADIUS, этот параметр будет проигнорирован.

      Параметр "Использовать удаленный или локальный RADIUS-сервер" необходимо включить, если пользователи вместо профиля на основе концентратора будут подключаться к глобальному профилю VPN. Дополнительные сведения см. в статье о глобальных профилях и профилях на основе концентратора.

      Создав VPN-шлюз пользователя, перейдите к этому шлюзу и обратите внимание на поле IP-адресов прокси-сервера RADIUS. IP-адреса прокси-сервера RADIUS являются исходными адресами пакетов RADIUS, которые пользовательский VPN-шлюз отправляет на сервер RADIUS. Поэтому сервер RADIUS должен быть настроен для приема запросов проверки подлинности от IP-адресов прокси-сервера RADIUS. Если поле IP-адресов прокси-сервера RADIUS не заполнено или отсутствует, настройте сервер RADIUS на прием запросов проверки подлинности из диапазона IP-адресов концентратора.

      Кроме того, убедитесь, что ассоциации и распространение подключения (виртуальной сети или локальной сети), на котором размещается сервер RADIUS, распространяются на таблицу маршрутов по умолчанию концентратора, развернутого при помощи VPN-шлюза типа 'точка-сайт', и что конфигурация VPN типа 'точка-сайт' распространяется на таблицу маршрутов подключения, на котором размещен сервер RADIUS. Это обязательно, чтобы убедиться, что шлюз может взаимодействовать с сервером RADIUS и наоборот.

      Снимок экрана: пользовательская конфигурация VPN с IP-адресами прокси-сервера RADIUS.

    • Клиентский пул адресов — пул адресов, из которого IP-адреса будут автоматически назначаться VPN-клиентам. Пулы адресов должны быть разными. Перекрытие между пулами адресов недопустимо. Дополнительные сведения см. в статье О пулах клиентских адресов.

    • Пользовательские DNS-серверы — IP-адрес DNS-серверов, которые будут использоваться клиентами. Можно указать максимум 5 адресов.

  3. Чтобы проверить параметры, выберите Просмотр и создание.

  4. После завершения проверки нажмите кнопку Создать. На создание концентратора требуется не менее 30 минут.

Создание файлов конфигурации VPN-клиента

В этом разделе вы создадите и скачаете файлы профиля конфигурации. Эти файлы используются для настройки собственного VPN-клиента на клиентском компьютере.

  1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от выбора параметров проверки подлинности и туннеля для вашей конфигурации.

Настройка VPN-клиентов

Используйте загруженный профиль для настройки клиентов удаленного доступа. Процедуры для каждой операционной системы отличаются, поэтому следуйте инструкциям, применимым к вашей операционной системе.

IKEv2

Если вы указали тип VPN-туннеля IKEv2, можно настроить собственный VPN-клиент (Windows и macOS Catalina или более поздней версии).

Следующие действия предназначены для Windows. Сведения о macOS см. в статье Настройка VPN-клиентов P2S — собственный VPN-клиент — шаги macOS .

  1. Выберите файлы конфигурации VPN-клиента, соответствующие архитектуре Windows компьютера. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen выберите Подробнее, затем Выполнить в любом случае.

  3. На клиентском компьютере перейдите в раздел Параметры сети и щелкните VPN. VPN-подключение показывает имя виртуальной сети, к которому он подключается.

  4. Установите сертификат клиента на каждом компьютере, который требуется подключить через эту пользовательскую конфигурацию VPN. Сертификат клиента требуется для проверки подлинности при использовании собственного типа проверки подлинности Azure сертификата. Дополнительную информацию о создании сертификатов см. в разделе Создание сертификатов. Для получения информации о том, как установить сертификат клиента, см. раздел Установка сертификата клиента.

OpenVPN.

В конфигурации VPN пользователя, если указан тип туннеля OpenVPN, можно скачать и настроить Azure VPN-клиент или в некоторых случаях использовать клиентское программное обеспечение OpenVPN. Инструкции см. по ссылке, соответствующей вашей конфигурации.

Настройка клиента

Метод аутентификации Тип туннеля ОС клиента VPN-клиент
Сертификат IKEv2, SSTP Windows Собственный VPN-клиент
IKEv2 macOS Собственный VPN-клиент
IKEv2 Linux strongSwan
OpenVPN. Windows Azure VPN-клиент
Клиент OpenVPN версии 2.x
Клиент OpenVPN версии 3.x
OpenVPN. macOS Клиент OpenVPN
OpenVPN. iOS Клиент OpenVPN
OpenVPN. Linux Azure VPN-клиент
Клиент OpenVPN
Microsoft Entra ID OpenVPN. Windows Azure VPN-клиент
OpenVPN. macOS Azure VPN-клиент
OpenVPN. Linux Azure VPN-клиент

Подключение периферийной виртуальной сети

В этом разделе вы создаете подключение между концентратором и спицеобразной виртуальной сетью.

  1. На портале Azure перейдите к Virtual WAN В левой области выберите Virtual network connections.

  2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

  3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

    • Имя подключения: задайте имя для своего подключения.

    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.

    • Подписка: проверьте подписку.

    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.

    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. Выбранная виртуальная сеть не должна уже иметь шлюз виртуальной сети.

    • Не распространять: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.

    • Ассоциировать таблицу маршрутов: из выпадающего списка можно выбрать таблицу маршрутов, которую нужно ассоциировать.

    • Применить к меткам: Метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.

    • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Virtual WAN поддерживает один IP-адрес следующего прыжка для статического маршрута в подключении к виртуальной сети. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.

    • Обход IP-адреса следующего узла для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать сетевые виртуальные устройства (NVA) и другие рабочие нагрузки в одной виртуальной сети без направления всего трафика через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение. Дополнительные сведения о поведении маршрутизации, связанном с этим параметром, см. в документации по обходу IP следующего перехода.

      Параметр IP-адреса следующего прыжка не применяется к маршрутам, полученным через пиринг BGP от одного из NVA, развернутых в виртуальной сети, непосредственно подключенной к виртуальному концентратору. Это связано с тем, что виртуальный концентратор автоматически узнает о системных маршрутах, связанных с адресами в периферийной виртуальной сети при создании соединения с периферийной виртуальной сетью. Эти автоматически полученные системные маршруты предпочтительнее, чем маршруты, полученные концентратором по протоколу BGP. Системные маршруты можно переопределить только статическими маршрутами.

    • Распространите статический маршрут. Этот параметр позволяет распространять статические маршруты, определенные в разделе статических маршрутов, в таблицы маршрутов, указанные в Распространения в таблицы маршрутов. Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как Распространить по меткам. Эти маршруты могут распространяться между узлами в сети, за исключением маршрута по умолчанию 0/0.

  4. После того как вы завершите настройку параметров, выберите Создать, чтобы установить подключение.

Создание виртуальных машин

В этом разделе вы создадите две виртуальные машины в виртуальной сети — VM1 и VM2. В схеме сети мы используем 10.18.0.4 и 10.18.0.5. При настройке виртуальных машин необходимо выбрать созданную виртуальную сеть (на вкладке "Сети"). Инструкции по созданию виртуальной машины см. в разделе Краткое руководство. Создание виртуальной машины.

Защита виртуального концентратора

У стандартного виртуального концентратора нет встроенных политик безопасности для защиты ресурсов в периферийных виртуальных сетях. Защищенный виртуальный концентратор использует Azure Firewall или решения сторонних поставщиков для управления входящим и исходящим трафиком и защиты ваших ресурсов в Azure.

Преобразуйте концентратор в защищенный, используя следующую статью: Configure Azure Firewall в центре Virtual WAN.

Создание правил для управления трафиком и его фильтрации

Создайте правила, определяющие поведение Azure Firewall. Защита концентратора гарантирует, что все пакеты, вводимые в виртуальный концентратор, подвергаются обработке брандмауэра перед доступом к ресурсам Azure.

После выполнения этих действий вы создадите архитектуру, которая позволяет пользователям VPN получать доступ к виртуальной машине с частным IP-адресом 10.18.0.4, но не обращаться к виртуальной машине с частным IP-адресом 10.18.0.5

  1. На портале Azure перейдите к Firewall Manager.

  2. В разделе "Безопасность" выберите политики Azure Firewall.

  3. Выберите Create Azure Firewall Policy.

  4. В разделе Сведения о политикевведите имя и выберите регион, где развернут виртуальный концентратор.

  5. Выберите Далее: Параметры DNS.

  6. Нажмите кнопку "Далее" — правила.

  7. На вкладке Правила выберите элемент Добавление коллекции правил.

  8. Укажите имя коллекции. Задайте тип как Сеть. Добавьте значение приоритета 100.

  9. Введите имя правила, исходного типа, источника, протокола, портов назначения и типа назначения, как показано в следующем примере. Затем выберите Добавить. Это правило позволяет любому IP-адресу из пула VPN-клиентов получить доступ к виртуальной машине с частным IP-адресом 10.18.04, но не к какому-либо другому ресурсу, подключенному к этому виртуальному концентратору. Создайте все необходимые правила, соответствующие требуемой архитектуре и правилам разрешений.

    Правила брандмауэра

  10. Нажмите кнопку "Далее" — аналитика угроз.

  11. Нажмите кнопку Далее: Центры.

  12. На вкладке Концентраторы выберите Связать виртуальные концентраторы.

  13. Выберите созданный ранее виртуальный концентратор и нажмите кнопку Добавить.

  14. Выберите Review + create.

  15. Нажмите кнопку "Создать".

Этот процесс может занять 5 минут или больше.

Маршрутизация трафика через Azure Firewall

В этом разделе необходимо убедиться, что трафик направляется через Azure Firewall.

  1. На портале в разделе Диспетчер брандмауэра выберите Защищенные виртуальные концентраторы.
  2. Выберите созданный виртуальный концентратор.
  3. В разделе Параметры выберите пункт Конфигурация безопасности.
  4. В разделе Private traffic выберите Send через Azure Firewall.
  5. Убедитесь, что подключение виртуальной сети и частный трафик подключения Branch защищены Azure Firewall.
  6. Нажмите Сохранить.

Примечание.

Если вы хотите проверить трафик, направленный к частным конечным точкам, с помощью Azure Firewall в виртуальной сети с защитой, см. раздел Защита трафика к частным конечным точкам в Azure Virtual WAN. Необходимо добавить префикс /32 для каждой частной конечной точки в префиксы трафика Private в разделе "Настройка безопасности" диспетчера Azure Firewall для проверки с помощью Azure Firewall в защищенном виртуальном концентраторе. Если эти префиксы /32 не настроены, трафик, предназначенный для частных конечных точек, будет обходить Azure Firewall.

Проверить

Проверьте настройку защищенного концентратора.

  1. Подключитесь к защищенному виртуальному концентратору через VPN с клиентского устройства.
  2. Пингуйте IP-адрес 10.18.0.4 с вашего клиента. Вы должны получить ответ.
  3. Отправьте запрос на IP-адрес 10.18.0.5 с вашего клиента. Вы не должны видеть ответ.

Рекомендации

  • Убедитесь, что таблица эффективных маршрутов в защищенном виртуальном концентраторе определяет следующий переход для частного трафика через брандмауэр. Чтобы получить доступ к таблице фактических маршрутов, перейдите к ресурсу Виртуальный концентратор. В разделе Подключениевыберите Маршрутизация, а затем выберите Фактические маршруты. Здесь выберите таблицу маршрутизации По умолчанию.
  • Убедитесь, что правила созданы в разделе Создание правил. Если эти шаги пропущены, созданные правила не будут связаны с концентратором, а таблица маршрутов и поток пакетов не будут использовать Azure Firewall.

Следующие шаги

  • Last updated on