Configurare la modalità trasporto IPSec per il peering privato ExpressRouteConfigure IPsec transport mode for ExpressRoute private peering

Questo articolo consente di creare tunnel IPSec in modalità trasporto tramite peering privato ExpressRoute tra macchine virtuali di Azure che eseguono Windows e host Windows locali.This article helps you create IPsec tunnels in transport mode over ExpressRoute private peering between Azure VMs running Windows, and on-premises Windows hosts. Le procedure in questo articolo permettono di creare questa configurazione usando oggetti Criteri di gruppo.The steps in this article create this configuration using group policy objects. Sebbene sia possibile creare questa configurazione senza usare unità organizzative e oggetti Criteri di gruppo, la combinazione di unità organizzative e oggetti Criteri di gruppo consente di semplificare il controllo dei criteri di sicurezza e permette una rapida scalabilità verticale.While it is possible to create this configuration without using organizational units (OUs) and group policy objects (GPOs), the combination of OUs and GPOs will help simplify the control of your security policies and allows you to quickly scale up. Le procedure in questo articolo presuppongono che sia già disponibile una configurazione di Active Directory e che si abbia familiarità con l'uso di unità organizzative e oggetti Criteri di gruppo.The steps in this article assume that you already have an Active Directory configuration and that you are familiar with using OUs and GPOs.

Informazioni sulla configurazioneAbout this configuration

La configurazione nelle procedure seguenti usa una singola rete virtuale di Azure con il peering privato ExpressRoute.The configuration in the following steps use a single Azure virtual network (VNet) with ExpressRoute private peering. Questa configurazione può tuttavia essere estesa a più reti virtuali di Azure e reti locali.However, this configuration can span more Azure VNets and on-premises networks. Questo articolo aiuta a definire criteri di crittografia IPSec e ad applicarli a un gruppo di macchine virtuali di Azure e host locali che fanno parte della stessa unità organizzativa.This article will help you define an IPsec encryption policy, and apply it to a group of Azure VMs and hosts on-premises that are part of the same OU. Viene configurata la crittografia tra macchine virtuali di Azure (vm1 e vm2) e l'host locale host1 solo per il traffico HTTP destinato alla porta 8080.You configure encryption between the Azure VMs (vm1 and vm2), and the on-premises host1 only for HTTP traffic with destination port 8080. In base ai requisiti, è possibile creare tipi diversi di criteri IPSec.Different types of IPsec policy can be created based on your requirements.

Uso di unità organizzativeWorking with OUs

I criteri di sicurezza associati a un'unità organizzativa vengono inviati ai computer tramite un oggetto Criteri di gruppo.The security policy associated with an OU is pushed to the computers via GPO. Ecco alcuni vantaggi che derivano dall'usare unità organizzative al posto di applicare criteri a un singolo host:A few advantages to using OUs, rather than applying policies to a single host, are:

  • L'associazione di criteri a un'unità organizzativa garantisce che i computer che appartengono alla stessa unità organizzativa ottengano gli stessi criteri.Associating a policy with an OU guarantees that computers that belong to the same OU get the same policies.
  • Se si modificano i criteri di sicurezza associati all'unità organizzativa, le modifiche vengono applicate a tutti gli host nell'unità organizzativa.Changing the security policy associated with OU will apply the changes to all hosts in the OU.

DiagrammiDiagrams

Il diagramma seguente illustra l'interconnessione e lo spazio indirizzi IP assegnato.The following diagram shows the interconnection and assigned IP address space. Le macchine virtuali di Azure e l'host locale sono in esecuzione in Windows 2016.The Azure VMs and the on-premises host are running Windows 2016. Le macchine virtuali di Azure e l'host locale host1 fanno parte dello stesso dominio.The Azure VMs and the on-premises host1 are part of the same domain. Le macchine virtuali di Azure e gli host locali possono risolvere correttamente i nomi tramite DNS.The Azure VMs and the on-premises hosts can resolve names properly using DNS.

11

Questo diagramma illustra i tunnel IPSec in transito nel peering privato ExpressRoute.This diagram shows the IPsec tunnels in transit in ExpressRoute private peering.

44

Uso di criteri IPSecWorking with IPsec policy

In Windows la crittografia è associata ai criteri IPSec.In Windows, encryption is associated with IPsec policy. I criteri IPSec determinano il tipo di traffico IP che viene protetto e il meccanismo di sicurezza applicato ai pacchetti IP.IPsec policy determines which IP traffic is secured and the security mechanism applied to the IP packets. I criteri IPSec sono composti dagli elementi seguenti: elenchi di filtri, operazioni di filtro e regole di sicurezza.IPSec policies are composed of the following items: Filter Lists, Filter Actions, and Security Rules.

Quando si configurano i criteri IPSec, è importante comprendere la terminologia seguente:When configuring IPsec policy, it's important to understand the following IPsec policy terminology:

  • Criteri IPSec: raccolta di regole.IPsec policy: A collection of rules. In un determinato momento può essere attivo ("assegnato") un solo criterio.Only one policy can be active ("assigned") at any particular time. Ogni criterio può avere una o più regole, che possono essere attive contemporaneamente.Each policy can have one or more rules, all of which can be active simultaneously. A un computer può venire assegnato solo un criterio IPSec attivo in un determinato momento.A computer can be assigned only one active IPsec policy at given time. Tuttavia, all'interno di un criterio IPSec, è possibile definire più operazioni che possono essere eseguite in situazioni diverse.However, within the IPsec policy, you can define multiple actions that may be taken in different situations. Ogni set di regole IPSec è associato a un elenco di filtri che influiscono sul tipo di traffico di rete a cui si applica la regola.Each set of IPsec rules is associated with a filter list that affects the type of network traffic to which the rule applies.

  • Elenchi di filtri: gli elenchi di filtri sono gruppi di uno o più filtri.Filter lists: Filter lists are bundle of one or more filters. Un elenco può contenere più filtri.One list can contain multiple filters. Un filtro definisce se la comunicazione è consentita, protetta o bloccata, in base a intervalli di indirizzi IP, protocolli o anche porte specifiche dei protocolli.Filter defines if the communication is allowed, secured, or blocked, according to the IP address ranges, protocols, or even specific protocol ports. Ogni filtro corrisponde a un particolare set di condizioni, ad esempio i pacchetti inviati da una subnet specifica a un determinato computer su una porta di destinazione specifica.Each filter matches a particular set of conditions; for example, packets sent from a particular subnet to a particular computer on a specific destination port. Quando le condizioni di rete corrispondono a uno o più filtri, l'elenco di filtri viene attivato.When network conditions match one or more of those filters, the filter list is activated. Ogni filtro è definito all'interno di un elenco di filtri specifico.Each filter is defined inside a specific filter list. I filtri non possono essere condivisi tra elenchi di filtri.Filters can't be shared between filter lists. Un determinato elenco di filtri può tuttavia essere incorporato in diversi criteri IPSec.However, a given filter list can be incorporated into several IPsec policies.

  • Operazioni di filtro: un metodo di sicurezza definisce un set di algoritmi di sicurezza, protocolli e chiavi offerti da un computer durante le negoziazioni IKE.Filter actions: A security method defines a set of security algorithms, protocols, and key a computer offers during IKE negotiations. Le operazioni di filtro sono elenchi di metodi di sicurezza, classificati in ordine di preferenza.Filter actions are lists of security methods, ranked in order of preference. Quando un computer negozia una sessione IPSec, accetta o invia proposte in base all'impostazione di sicurezza archiviata nell'elenco di operazioni di filtro.When a computer negotiates an IPsec session, it accepts or sends proposals based on the security setting stored in filter actions list.

  • Regole di sicurezza: le regole controllano come e quando i criteri IPSec proteggono la comunicazione.Security rules: Rules govern how and when an IPsec policy protects communication. Vengono usati l'elenco di filtri e le operazioni di filtro per generare una regola IPSec per creare la connessione IPSec.It uses filter list and filter actions to create an IPsec rule to build the IPsec connection. Ogni criterio può avere una o più regole, che possono essere attive contemporaneamente.Each policy can have one or more rules, all of which can be active simultaneously. Ogni regola contiene un elenco di filtri IP e una raccolta di operazioni di sicurezza che vengono eseguite quando si verifica una corrispondenza con tale elenco di filtri:Each rule contains a list of IP filters and a collection of security actions that take place upon a match with that filter list:

    • Operazioni di filtro IPIP Filter Actions
    • Metodi di autenticazioneAuthentication methods
    • Impostazioni tunnel IPIP tunnel settings
    • Tipi di connessioneConnection types

55

Prima di iniziareBefore you begin

Accertarsi che siano soddisfatti i prerequisiti seguenti:Ensure that you meet the following prerequisites:

  • È necessario disporre di una configurazione funzionante di Active Directory da usare per implementare le impostazioni di Criteri di gruppo.You must have a functioning Active Directory configuration that you can use to implement Group Policy settings. Per altre informazioni sugli oggetti Criteri di gruppo, vedere Group Policy Objects (Oggetti Criteri di gruppo).For more information about GPOs, see Group Policy Objects.

  • È necessario avere un circuito ExpressRoute attivo.You must have an active ExpressRoute circuit.

    • Per informazioni sulla creazione di un circuito ExpressRoute, vedere Creare un circuito ExpressRoute .For information about creating an ExpressRoute circuit, see Create an ExpressRoute circuit.
    • Verificare che il circuito sia abilitato dal provider di connettività.Verify that the circuit is enabled by your connectivity provider.
    • Verificare che per il circuito sia configurato il peering privato Azure.Verify that you have Azure private peering configured for your circuit. Vedere l'articolo relativo alla configurazione del routing per istruzioni relative al routing.See the configure routing article for routing instructions.
    • Verificare di disporre di una rete virtuale e di un gateway di rete virtuale e che ne sia stato effettuato il provisioning completo.Verify that you have a VNet and a virtual network gateway created and fully provisioned. Seguire le istruzioni per creare un gateway di rete virtuale per ExpressRoute.Follow the instructions to create a virtual network gateway for ExpressRoute. Un gateway di rete virtuale per ExpressRoute usa 'ExpressRoute' come GatewayType, non VPN.A virtual network gateway for ExpressRoute uses the GatewayType 'ExpressRoute', not VPN.
  • Il gateway di rete virtuale ExpressRoute deve essere connesso al circuito ExpressRoute.The ExpressRoute virtual network gateway must be connected to the ExpressRoute circuit. Per altre informazioni, vedere Connettere una rete virtuale a un circuito ExpressRoute.For more information, see Connect a VNet to an ExpressRoute circuit.

  • Verificare che le macchine virtuali Windows di Azure siano distribuite nella rete virtuale.Verify that the Azure Windows VMs are deployed to the VNet.

  • Verificare che ci sia connettività tra gli host locali e le macchine virtuali di Azure.Verify that there is connectivity between the on-premises hosts and the Azure VMs.

  • Verificare che le macchine virtuali Windows di Azure e gli host locali siano in grado di risolvere correttamente i nomi tramite DNS.Verify that the Azure Windows VMs and the on-premises hosts are able to use DNS to properly resolve names.

Flusso di lavoroWorkflow

  1. Creare un oggetto Criteri di gruppo e associarlo all'unità organizzativa.Create a GPO and associate it to the OU.
  2. Definire un'operazione di filtro IPSec.Define an IPsec Filter Action.
  3. Definire un elenco di filtri IPSec.Define an IPsec Filter List.
  4. Creare un criterio IPSec con regole di sicurezza.Create an IPsec Policy with Security Rules.
  5. Assegnare l'oggetto Criteri di gruppo IPSec all'unità organizzativa.Assign the IPsec GPO to the OU.

Valori di esempioExample values

  • Nome di dominio: ipsectest.comDomain Name: ipsectest.com

  • Unità organizzativa: IPSecOUOU: IPSecOU

  • Computer Windows locale: host1On-premises Windows computer: host1

  • Macchine virtuali Windows di Azure: vm1, vm2Azure Windows VMs: vm1, vm2

1. creare un oggetto Criteri di gruppo1. Create a GPO

  1. Per creare un nuovo oggetto Criteri di gruppo collegato a un'unità organizzativa, aprire lo snap-in Gestione Criteri di gruppo e individuare l'unità organizzativa a cui l'oggetto Criteri di gruppo verrà collegato.To create a new GPO linked to an OU, open the Group Policy Management snap-in and locate the OU to which the GPO will be linked. Nell'esempio il nome dell'unità organizzativa è IPSecOU.In the example, the OU is named IPSecOU.

    99

  2. Nello snap-in Gestione Criteri di gruppo selezionare l'unità organizzativa e fare clic con il pulsante destro del mouse.In the Group Policy Management snap-in, select the OU, and right-click. Dal menu a discesa scegliere "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento".In the dropdown, click "Create a GPO in this domain, and Link it here…".

    1010

  3. Assegnare all'oggetto Criteri di gruppo un nome intuitivo in modo che sia possibile individuarlo facilmente in seguito.Name the GPO an intuitive name so that you can easily locate it later. Fare clic su OK per creare l'oggetto Criteri di gruppo e il collegamento.Click OK to create and link the GPO.

    1111

Per applicare l'oggetto Criteri di gruppo all'unità organizzativa, non è sufficiente che l'oggetto Criteri di gruppo sia collegato all'unità organizzativa, ma è anche necessario abilitare il collegamento.To apply the GPO to the OU, the GPO must not only be linked to the OU, but the link must be also enabled.

  1. Individuare l'oggetto Criteri di gruppo creato, fare clic con pulsante destro del mouse e scegliere Modifica dal menu a discesa.Locate the GPO that you created, right-click, and select Edit from the dropdown.

  2. Per applicare l'oggetto Criteri di gruppo all'unità organizzativa, selezionare Collegamento abilitato.To apply the GPO to the OU, select Link Enabled.

    1212

3. definire l'azione del filtro IP3. Define the IP filter action

  1. Nell'elenco a discesa fare clic con il pulsante destro del mouse su Criteri di sicurezza IP su Active Directory e quindi scegliere Gestisci elenchi filtri IP e operazioni filtro.From the drop-down, right-click IP Security Policy on Active Directory, and then click Manage IP filter lists and filter actions....

    1515

  2. Nella scheda "Gestione operazioni filtro" fare clic su Aggiungi.On the "Manage filter Actions" tab, click Add.

    1616

  3. Nella pagina Impostazione guidata operazione filtro sicurezza IP fare clic su Avanti.On the IP Security Filter Action wizard, click Next.

    1717

  4. Assegnare all'operazione di filtro un nome intuitivo in modo che sia possibile trovarla in seguito.Name the filter action an intuitive name so that you can find it later. In questo esempio il nome dell'operazione di filtro è myEncryption.In this example, the filter action is named myEncryption. È anche possibile aggiungere una descrizione.You can also add a description. Quindi fare clic su Next.Then, click Next.

    1818

  5. L'opzione Negozia sicurezza consente di definire il comportamento se non è possibile abilitare IPSec per la comunicazione con un altro computer.Negotiate security lets you define the behavior if IPsec can't be established with another computer. Selezionare Negozia sicurezza e quindi fare clic su Avanti.Select Negotiate security, then click Next.

    1919

  6. Nella pagina Comunicazione con computer che non supportano IPSec selezionare Non consentire comunicazioni non sicure e quindi fare clic su Avanti.On the Communicating with computers that do not support IPsec page, select Do not allow unsecured communication, then click Next.

    2020

  7. Nella pagina Sicurezza traffico IP selezionare Personalizzata e quindi fare clic su Impostazioni.On the IP Traffic and Security page, select Custom, then click Settings....

    2121

  8. Nella pagina Impostazioni personalizzate metodo di sicurezza selezionare Integrità dati con crittografia (ESP): SHA1, 3DES.On the Custom Security Method Settings page, select Data integrity and encryption (ESP): SHA1, 3DES. Successivamente, scegliere OK.Then, click OK.

    2222

  9. Nella pagina Gestione operazioni filtro è possibile vedere che il filtro myEncryption è stato aggiunto correttamente.On the Manage Filter Actions page, you can see that the myEncryption filter was successfully added. Fare clic su Chiudi.Click Close.

    2323

4. definire un elenco di filtri IP4. Define an IP filter list

Creare un elenco di filtri che specifica il traffico HTTP crittografato destinato alla porta 8080.Create a filter list that specifies encrypted HTTP traffic with destination port 8080.

  1. Per definire il tipo di traffico che deve essere crittografato, usare un elenco di filtri IP.To qualify which types of traffic must be encrypted, use an IP filter list. Nella scheda Gestione elenchi filtri IP fare clic su Aggiungi per aggiungere un nuovo elenco di filtri IP.In the Manage IP Filter Lists tab, click Add to add a new IP filter list.

    2424

  2. Nel campo Nome digitare un nome per l'elenco di filtri IP.In the Name: field, type a name for your IP filter list. Ad esempio, azure-onpremises-HTTP8080.For example, azure-onpremises-HTTP8080. Quindi, fare clic su Aggiungi.Then, click Add.

    2525

  3. Nella pagina Descrizione filtro IP e proprietà Speculare selezionare Speculare.On the IP Filter Description and Mirrored property page, select Mirrored. L'impostazione speculare consente di definire una corrispondenza con i pacchetti che viaggiano in entrambe le direzioni, permettendo la comunicazione bidirezionale.The mirrored setting matches packets going in both directions, which allows for two-way communication. Fare quindi clic su Avanti.Then click Next.

    2626

  4. Nella pagina Origine traffico IP, nell'elenco a discesa Indirizzo origine scegliere Subnet o indirizzo IP specifico.On the IP Traffic Source page, from the Source address: dropdown, choose A specific IP Address or Subnet.

    2727

  5. Specificare l'indirizzo di origine in Subnet o indirizzo IP per il traffico IP e quindi fare clic su Avanti.Specify the source address IP Address or Subnet: of the IP traffic, then click Next.

    2828

  6. Specificare il valore di Subnet o indirizzo IP in Indirizzo di destinazione.Specify the Destination address: IP Address or Subnet. Quindi fare clic su Next.Then, click Next.

    2929

  7. Nella pagina Tipo protocollo IP selezionare TCP.On the IP Protocol Type page, select TCP. Quindi fare clic su Next.Then, click Next.

    3030

  8. Nella pagina Porta protocollo IP selezionare Da qualsiasi porta e A questa porta.On the IP Protocol Port page, select From any port and To this port:. Digitare 8080 nella casella di testo.Type 8080 in the text box. Queste impostazioni specificano che solo il traffico HTTP destinato alla porta 8080 verrà crittografato.These settings specify only the HTTP traffic on destination port 8080 will be encrypted. Quindi fare clic su Next.Then, click Next.

    3131

  9. Visualizzare l'elenco di filtri IP.View the IP filter list. La configurazione dell'elenco di filtri IP azure-onpremises-HTTP8080 attiva la crittografia per tutto il traffico che soddisfa i criteri seguenti:The configuration of the IP Filter List azure-onpremises-HTTP8080 triggers encryption for all traffic that matches the following criteria:

    • Qualsiasi indirizzo di origine in 10.0.1.0/24 (Subnet2 Azure)Any source address in 10.0.1.0/24 (Azure Subnet2)
    • Qualsiasi indirizzo di destinazione in 10.2.27.0/25 (subnet locale)Any destination address in 10.2.27.0/25 (on-premises subnet)
    • Protocollo TCPTCP protocol
    • Porta di destinazione 8080Destination port 8080

    3232

5. modificare l'elenco di filtri IP5. Edit the IP filter list

Per crittografare lo stesso tipo di traffico nella direzione opposta (dall'host locale alla macchina virtuale di Azure) è necessario un secondo filtro IP.To encrypt the same type of traffic in opposite direction (from the on-premises host to the Azure VM) you need a second IP filter. Il processo di configurazione del nuovo filtro corrisponde a quello usato per configurare il primo filtro IP.The process of setting up of the new filter is the same process you used to set up the first IP filter. Le uniche differenze sono la subnet di origine e la subnet di destinazione.The only differences are the source subnet and destination subnet.

  1. Per aggiungere un nuovo filtro IP all'elenco di filtri IP, selezionare Modifica.To add a new IP filter to the IP Filter List, select Edit.

    3333

  2. Nella pagina Elenco filtri IP fare clic su Aggiungi.On the IP Filter List page, click Add.

    3434

  3. Creare un secondo filtro IP usando le impostazioni nell'esempio seguente:Create a second IP filter using the settings in the following example:

    3535

  4. Dopo aver creato il secondo filtro IP, l'elenco di filtri IP sarà simile al seguente:After you create the second IP filter, the IP filter list will look like this:

    3636

Se è necessaria la crittografia tra una posizione locale e una subnet di Azure per proteggere un'applicazione, invece di modificare l'elenco di filtri IP esistente è possibile aggiungere un nuovo elenco di filtri IP.If encryption is required between an on-premises location and an Azure subnet to protect an application, instead of modifying the existing IP filter list, you can add a new IP filter list instead. L'associazione di due elenchi di filtri IP allo stesso criterio IPSec offre una maggiore flessibilità, perché un elenco di filtri IP specifico può essere modificato o rimosso in qualsiasi momento senza alcun impatto sugli altri elenchi di filtri IP.Associating 2 IP filter lists to the same IPsec policy provides better flexibility because a specific IP filter list can be modified or removed at any time without impacting the other IP filter lists.

6. creare un criterio di sicurezza IPsec6. Create an IPsec security policy

Creare un criterio IPSec con regole di sicurezza.Create an IPsec policy with security rules.

  1. Selezionare la voce Criteri di sicurezza IP su Active Directory associata all'unità organizzativa.Select the IPSecurity Policies on Active directory that is associated with the OU. Fare clic con il pulsante destro del mouse e scegliere Crea criterio di sicurezza IP.Right-click, and select Create IP Security Policy.

    3737

  2. Assegnare un nome al criterio di sicurezza.Name the security policy. Ad esempio, policy-azure-onpremises.For example, policy-azure-onpremises. Quindi fare clic su Next.Then, click Next.

    3838

  3. Fare clic su Avanti senza selezionare la casella di controllo.Click Next without selecting the checkbox.

    3939

  4. Verificare che la casella di controllo Modifica proprietà sia selezionata e quindi fare clic su Fine.Verify that the Edit properties checkbox is selected, and then click Finish.

    4040

7. modificare i criteri di sicurezza IPsec7. Edit the IPsec security policy

Aggiungere i criteri IPSec all'elenco di filtri IP e all'operazione di filtro configurati in precedenza.Add to the IPsec policy the IP Filter List and Filter Action that you previously configured.

  1. Nella scheda Regole della finestra delle proprietà dei criteri HTTP fare clic su Aggiungi.On the HTTP policy Properties Rules tab, click Add.

    4141

  2. Nella pagina di benvenuto fare clic su Avanti.On the Welcome page, click Next.

    4242

  3. Una regola consente di definire la modalità IPSec: modalità tunnel o modalità trasporto.A rule provides the option to define the IPsec mode: tunnel mode or transport mode.

    • In modalità tunnel il pacchetto originale viene incapsulato da un set di intestazioni IP.In tunnel mode, the original packet is encapsulated by a set of IP headers. La modalità tunnel protegge le informazioni di routing interne crittografando l'intestazione IP del pacchetto originale.Tunnel mode protects the internal routing information by encrypting the IP header of the original packet. La modalità tunnel viene spesso implementata tra i gateway in scenari VPN da sito a sito.Tunnel mode is widely implemented between gateways in site-to-site VPN scenarios. La modalità tunnel nella maggior parte dei casi viene usata per la crittografia end-to-end tra host.Tunnel mode is in most of cases used for end-to-end encryption between hosts.

    • La modalità trasporto crittografa solo il payload e il trailer ESP, mentre l'intestazione IP del pacchetto originale non viene crittografata.Transport mode encrypts only the payload and ESP trailer; the IP header of the original packet isn't encrypted. Nella modalità trasporto, l'origine IP e la destinazione IP dei pacchetti restano invariate.In transport mode, the IP source and IP destination of the packets are unchanged.

    Selezionare Questa regola non specifica un tunnel e quindi fare clic su Avanti.Select This rule does not specify a tunnel, and then click Next.

    4343

  4. Tipo di rete definisce la connessione di rete associata ai criteri di sicurezza.Network Type defines which network connection associates with the security policy. Selezionare Tutte le connessioni di rete e quindi fare clic su Avanti.Select All network connections, and then click Next.

    4444

  5. Selezionare l'elenco di filtri IP creato in precedenza, azure-onpremises-HTTP8080 e quindi fare clic su Avanti.Select the IP filter list that you created previously, azure-onpremises-HTTP8080, and then click Next.

    4545

  6. Selezionare l'operazione di filtro esistente myEncryption creata in precedenza.Select the existing Filter Action myEncryption that you created previously.

    4646

  7. Windows supporta quattro tipi diversi di autenticazioni: Kerberos, certificati, NTLMv2 e chiave già condivisa.Windows supports four distinct types of authentications: Kerberos, certificates, NTLMv2, and pre-shared key. Poiché si stanno usando host aggiunti al dominio, selezionare Impostazione predefinita di Active Directory (protocollo V5 Kerberos) e quindi fare clic su Avanti.Because we are working with domain-joined hosts, select Active Directory default (Kerberos V5 protocol), and then click Next.

    4747

  8. Il nuovo criterio crea la regola di sicurezza: azure-onpremises-HTTP8080.The new policy creates the security rule: azure-onpremises-HTTP8080. Fare clic su OK.Click OK.

    4848

Il criterio IPSec richiede che tutte le connessioni HTTP sulla porta di destinazione 8080 usino la modalità trasporto IPSec.The IPsec policy requires all HTTP connections on the destination port 8080 to use IPsec transport mode. Poiché HTTP è un protocollo di testo non crittografato, l'abilitazione del criterio di sicurezza garantisce che i dati vengano crittografati quando vengono trasferiti tramite il peering privato ExpressRoute.Because HTTP is a clear text protocol, having the security policy enabled ensures data is encrypted when is transferred through the ExpressRoute private peering. I criteri di sicurezza IP per Active Directory sono più complessi da configurare rispetto a Windows Firewall con sicurezza avanzata, ma consentono una maggiore personalizzazione della connessione IPSec.IP Security policy for Active Directory is more complex to configure than Windows Firewall with Advanced Security, but it does allow for more customization of the IPsec connection.

8. assegnare l'oggetto Criteri di gruppo IPsec all'unità organizzativa8. Assign the IPsec GPO to the OU

  1. Visualizzare il criterio.View the policy. Il criterio di gruppo di sicurezza è definito ma non ancora assegnato.The security group policy is defined, but not yet assigned.

    4949

  2. Per assegnare il criterio di gruppo di sicurezza all'unità organizzativa IPSecOU, fare clic con il pulsante destro del mouse sul criterio di sicurezza e scegliere Assegna.To assign the security group policy to the OU IPSecOU, right-click the security policy and chose Assign. Il criterio di gruppo di sicurezza verrà assegnato a ogni computer appartenente all'unità organizzativa.Every computer tht belongs to the OU will have the security group policy assigned.

    5050

Controllare la crittografia del trafficoCheck traffic encryption

Per testare la crittografia applicata dall'oggetto Criteri di gruppo all'unità organizzativa, installare IIS in tutte le macchine virtuali di Azure e in host1.To check out the encryption GPO applied on the OU, install IIS on all Azure VMs and in the host1. Ogni istanza di IIS è personalizzata per rispondere alle richieste HTTP sulla porta 8080.Every IIS is customized to answer to HTTP requests on port 8080. Per verificare la crittografia, è possibile installare uno sniffer di rete (ad esempio Wireshark) in tutti i computer nell'unità organizzativa.To verify encryption, you can install a network sniffer (like Wireshark) in all computers in the OU. Uno script di PowerShell funziona come client HTTP per generare le richieste HTTP sulla porta 8080:A powershell script works as an HTTP client to generate HTTP requests on port 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

L'acquisizione di rete seguente mostra i risultati per l'host locale host1 con il filtro ESP in modo da attivare la corrispondenza solo con il traffico crittografato:The following network capture shows the results for on-premises host1 with display filter ESP to match only the encrypted traffic:

5151

Se si esegue lo script di PowerShell in locale (client HTTP), l'acquisizione di rete nella macchina virtuale di Azure mostra una traccia simile.If you run the powershell script on-premisies (HTTP client), the network capture in the Azure VM shows a similar trace.

Passaggi successiviNext steps

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute.For more information about ExpressRoute, see the ExpressRoute FAQ.