Gestire l'accesso sicuro alle risorse in spoke reti virtuali per i client VPN utenteManage secure access to resources in spoke VNets for User VPN clients

Questo articolo illustra come usare le regole e i filtri della rete WAN virtuale e del firewall di Azure per gestire l'accesso sicuro per le connessioni alle risorse in Azure tramite IKEv2 da punto a sito o connessioni VPN aperte.This article shows you how to use Virtual WAN and Azure Firewall rules and filters to manage secure access for connections to your resources in Azure over point-to site IKEv2 or Open VPN connections. Questa configurazione è utile se si dispone di utenti remoti per i quali si vuole limitare l'accesso alle risorse di Azure o per proteggere le risorse in Azure.This configuration is helpful if you have remote users for whom you want to restrict access to Azure resources, or to secure your resources in Azure.

I passaggi descritti in questo articolo consentono di creare l'architettura nel diagramma seguente per consentire ai client VPN utente di accedere a una risorsa specifica (VM1) in un VNet spoke connesso all'hub virtuale, ma non altre risorse (VM2).The steps in this article help you create the architecture in the following diagram to allow User VPN clients to access a specific resource (VM1) in a spoke VNet connected to the virtual hub, but not other resources (VM2). Usare questo esempio di architettura come linee guida di base.Use this architecture example as a basic guideline.

Diagramma: hub virtuale protetto

PrerequisitiPrerequisites

  • Che si abbia una sottoscrizione di Azure.You have an Azure subscription. Se non si ha una sottoscrizione di Azure, creare un account gratuito.If you don't have an Azure subscription, create a free account.

  • Si ha una rete virtuale a cui ci si vuole connettere.You have a virtual network that you want to connect to. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.Verify that none of the subnets of your on-premises networks overlap with the virtual networks that you want to connect to. Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.To create a virtual network in the Azure portal, see the Quickstart article.

  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.Your virtual network must not have any existing virtual network gateways. Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.If your virtual network already has gateways (VPN or ExpressRoute), you must remove all of the gateways before proceeding. Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.This configuration requires that virtual networks connect to the Virtual WAN hub gateway only.

  • Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale.A virtual hub is a virtual network that is created and used by Virtual WAN. Si tratta dell'elemento centrale della rete WAN virtuale in un'area.It's the core of your Virtual WAN network in a region. Ottenere un intervallo di indirizzi IP per l'area dell'hub virtuale.Obtain an IP address range for your virtual hub region. L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.The address range that you specify for the hub can't overlap with any of the existing virtual networks that you connect to. Inoltre non può sovrapporsi agli intervalli di indirizzi dell'ambiente locale a cui ci si connette.It also can't overlap with the on-premises address ranges that you connect to. Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, coordinarsi con qualcuno che possa fornire tali dettagli.If you are unfamiliar with the IP address ranges located in your on-premises network configuration, coordinate with someone who can provide those details for you.

  • Sono disponibili i valori per la configurazione di autenticazione che si vuole usare.You have the values available for the authentication configuration that you want to use. Ad esempio, un server RADIUS, Azure Active Directory l'autenticazione o generare ed esportare i certificati.For example, a RADIUS server, Azure Active Directory authentication, or Generate and export certificates.

Creare una rete WAN virtualeCreate a virtual WAN

In un browser passare al portale di Azure e accedere con l'account Azure.From a browser, navigate to the Azure portal and sign in with your Azure account.

  1. Nel portale selezionare + Crea una risorsa.In the portal, select + Create a resource. Digitare Rete WAN virtuale nella casella di ricerca e premere INVIO.Type Virtual WAN into the search box and select Enter.

  2. Selezionare Rete WAN virtuale nei risultati.Select Virtual WAN from the results. Nella pagina della rete WAN virtuale selezionare Crea per aprire la pagina Crea rete WAN.On the Virtual WAN page, select Create to open the Create WAN page.

  3. Nella pagina Crea rete WAN, nella scheda Nozioni di base, compilare i campi seguenti:On the Create WAN page, on the Basics tab, fill in the following fields:

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione - Selezionare la sottoscrizione che si vuole usare.Subscription - Select the subscription that you want to use.
    • Gruppo di risorse - Creare un nuovo gruppo o usarne uno esistente.Resource group - Create new or use existing.
    • Posizione gruppo di risorse - Scegliere una posizione per le risorse nell'elenco a discesa.Resource group location - Choose a resource location from the dropdown. Una rete WAN è una risorsa globale e non si trova in un'area specifica.A WAN is a global resource and does not live in a particular region. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.However, you must select a region in order to manage and locate the WAN resource that you create.
    • Nome - Digitare il nome che si vuole usare per la rete WAN.Name - Type the Name that you want to call your WAN.
    • Tipo - Basic o Standard.Type - Basic or Standard. Selezionare Standard.Select Standard. Se si seleziona la rete WAN virtuale Basic, tenere presente che può contenere solo hub Basic, per cui il tipo di connessione può essere solo da sito a sito.If you select Basic VWAN, understand that Basic VWANs can only contain Basic hubs, which limits your connection type to site-to-site.
  4. Dopo aver completato i campi, selezionare Rivedi e crea.After you finish filling out the fields, select Review +Create.

  5. Al termine della convalida selezionare Crea per creare la rete WAN virtuale.Once validation passes, select Create to create the virtual WAN.

Definire i parametri di configurazione di P2SDefine P2S configuration parameters

La configurazione da punto a sito (P2S) definisce i parametri per la connessione dei client remoti.The point-to-site (P2S) configuration defines the parameters for connecting remote clients. Questa sezione consente di definire i parametri di configurazione di P2S e di creare la configurazione che verrà usata per il profilo client VPN.This section helps you define P2S configuration parameters, and then create the configuration that will be used for the VPN client profile. Le istruzioni seguite dipendono dal metodo di autenticazione che si vuole usare.The instructions you follow depend on the authentication method you want to use.

Metodi di autenticazioneAuthentication methods

Quando si seleziona il metodo di autenticazione, sono disponibili tre opzioni.When selecting the authentication method, you have three choices. Ogni metodo presenta requisiti specifici.Each method has specific requirements. Selezionare uno dei metodi seguenti e quindi completare la procedura.Select one of the following methods, and then complete the steps.

  • Autenticazione Azure Active Directory: Ottenere quanto segue:Azure Active Directory authentication: Obtain the following:

    • ID applicazione dell'applicazione aziendale VPN di Azure registrata nel tenant del Azure ad.The Application ID of the Azure VPN Enterprise Application registered in your Azure AD tenant.
    • Autorità emittente.The Issuer. Esempio: https://sts.windows.net/your-Directory-ID.Example: https://sts.windows.net/your-Directory-ID.
    • Tenant Azure ad.The Azure AD tenant. Esempio: https://login.microsoftonline.com/your-Directory-ID.Example: https://login.microsoftonline.com/your-Directory-ID.
  • Autenticazione basata su RADIUS: Ottenere l'indirizzo IP del server RADIUS, il segreto del server RADIUS e le informazioni sul certificato.Radius-based authentication: Obtain the Radius server IP, Radius server secret, and certificate information.

  • Certificati di Azure: Per questa configurazione sono necessari i certificati.Azure certificates: For this configuration, certificates are required. È necessario generare o ottenere i certificati.You need to either generate or obtain certificates. Per ogni client è necessario un certificato client.A client certificate is required for each client. Inoltre, è necessario caricare le informazioni sul certificato radice (chiave pubblica).Additionally, the root certificate information (public key) needs to be uploaded. Per ulteriori informazioni sui certificati richiesti, vedere generare ed esportare i certificati.For more information about the required certificates, see Generate and export certificates.

Nota

Alcune funzionalità e impostazioni sono in fase di implementazione nel portale di Azure.Some features and settings are in the process of rolling out to the Azure portal.

  1. Passare a tutte le risorse e selezionare la rete WAN virtuale creata, quindi selezionare configurazioni VPN utente dal menu a sinistra.Navigate to All resources and select the virtual WAN that you created, then select User VPN configurations from the menu on the left.

  2. Nella pagina configurazioni VPN utente selezionare + Crea configurazione VPN utente nella parte superiore della pagina per aprire la pagina di configurazione per la creazione di una nuova VPN utente .On the User VPN configurations page, select +Create user VPN config at the top of the page to open the Create new user VPN configuration page.

    Screenshot della pagina configurazioni VPN utente.

  3. Nella scheda informazioni di base , in Dettagli istanza, immettere il nome che si vuole assegnare alla configurazione VPN.On the Basics tab, under Instance details, enter the Name you want to assign to your VPN configuration.

  4. Per tipo di tunnel, dall'elenco a discesa, selezionare il tipo di tunnel desiderato.For Tunnel type, from the dropdown, select the tunnel type that you want. Le opzioni relative al tipo di tunnel sono: IKEV2 VPN, OpenVPN, OpenVPN e IKEv2.The tunnel type options are: IKEv2 VPN, OpenVPN, and OpenVpn and IkeV2.

  5. Usare i passaggi seguenti che corrispondono al tipo di tunnel selezionato.Use the following steps that correspond to the tunnel type that you selected. Una volta specificati tutti i valori, fare clic su Verifica + crea e quindi su Crea per creare la configurazione.After all the values are specified, click Review + create, then Create to create the configuration.

    VPN IKEv2IKEv2 VPN

    • Requisiti: Quando si seleziona il tipo di tunnel IKEv2 , viene visualizzato un messaggio che indica di selezionare un metodo di autenticazione.Requirements: When you select the IKEv2 tunnel type, you see a message directing you to select an authentication method. Per IKEv2, è possibile specificare un solo metodo di autenticazione.For IKEv2, you may specify only one authentication method. È possibile scegliere il certificato di Azure, Azure Active Directory o l'autenticazione basata su RADIUS.You can choose Azure Certificate, Azure Active Directory, or RADIUS-based authentication.

    • Parametri personalizzati IPSec: Per personalizzare i parametri per la fase 1 e la fase 2 di IKE, impostare l'opzione IPsec su Custom e selezionare i valori dei parametri.IPSec custom parameters: To customize the parameters for IKE Phase 1 and IKE Phase 2, toggle the IPsec switch to Custom and select the parameter values. Per ulteriori informazioni sui parametri personalizzabili, vedere l'articolo relativo a IPsec personalizzato .For more information about customizable parameters, see the Custom IPsec article.

      Screenshot del passaggio IPsec a Custom.

    • Autenticazione: Passare al meccanismo di autenticazione che si vuole usare facendo clic su Avanti nella parte inferiore della pagina per passare al metodo di autenticazione oppure fare clic sulla scheda appropriata nella parte superiore della pagina.Authentication: Navigate to the authentication mechanism that you want to use by either clicking Next at the bottom of the page to advance to the authentication method, or click the appropriate tab at the top of the page. Impostare l'opzione su per selezionare il metodo.Toggle the switch to Yes to select the method.

      In questo esempio è selezionata l'autenticazione RADIUS.In this example, RADIUS authentication is selected. Per l'autenticazione basata su RADIUS, è possibile specificare un indirizzo IP del server RADIUS secondario e un segreto server.For RADIUS-based authentication, you can provide a secondary RADIUS server IP address and server secret.

      Screenshot di IKE.

    OpenVPNOpenVPN

    • Requisiti: Quando si seleziona il tipo di tunnel OpenVPN , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione.Requirements: When you select the OpenVPN tunnel type, you see a message directing you to select an authentication mechanism. Se si seleziona OpenVPN come tipo di tunnel, è possibile specificare più metodi di autenticazione.If OpenVPN is selected as the tunnel type, you may specify multiple authentication methods. È possibile scegliere qualsiasi subset di certificati di Azure, Azure Active Directory o l'autenticazione basata su RADIUS.You can choose any subset of Azure Certificate, Azure Active Directory, or RADIUS-based authentication. Per l'autenticazione basata su RADIUS, è possibile specificare un indirizzo IP del server RADIUS secondario e un segreto server.For RADIUS-based authentication, you can provide a secondary RADIUS server IP address and server secret.

    • Autenticazione: Passare al metodo di autenticazione che si vuole usare facendo clic su Avanti nella parte inferiore della pagina per passare al metodo di autenticazione oppure fare clic sulla scheda appropriata nella parte superiore della pagina.Authentication: Navigate to the authentication method(s) that you want to use by either clicking Next at the bottom of the page to advance to the authentication method, or click the appropriate tab at the top of the page. Per ogni metodo che si desidera selezionare, impostare l'opzione su e immettere i valori appropriati.For each method that you want to select, toggle the switch to Yes and enter the appropriate values.

      In questo esempio Azure Active Directory è selezionata.In this example, Azure Active Directory is selected.

      Screenshot della pagina OpenVPN.

Creare hub e gatewayCreate the hub and gateway

In questa sezione viene creato l'hub virtuale con un gateway da punto a sito.In this section, you create the virtual hub with a point-to-site gateway. Quando si configura, è possibile usare i valori di esempio seguenti:When configuring, you can use the following example values:

  • Spazio di indirizzi IP privato dell'hub: 10.0.0.0/24Hub private IP address space: 10.0.0.0/24
  • Pool di indirizzi client: 10.5.0.0/16Client address pool: 10.5.0.0/16
  • Server DNS personalizzati: È possibile elencare fino a 5 server DNSCustom DNS Servers: You can list up to 5 DNS Servers
  1. Nella rete WAN virtuale selezionare Hub e quindi + Nuovo hub.Under your virtual WAN, select Hubs and select +New Hub.

    Nuovo hub

  2. Nella pagina Crea hub virtuale completare i campi seguenti.On the create virtual hub page, fill in the following fields.

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.Region - Select the region that you want to deploy the virtual hub in.
    • Nome: immettere il nome con cui denominare l'hub virtuale.Name - Enter the name that you want to call your virtual hub.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR.Hub private address space - The hub's address range in CIDR notation.

    Creare un hub virtuale

  3. Nella scheda Da punto a sito completare i campi seguenti:On the Point-to-site tab, complete the following fields:

    • Unità di scala gateway, che rappresenta la capacità aggregata del gateway VPN utente.Gateway scale units - which represents the aggregate capacity of the User VPN gateway.
    • Configurazione da punto a sito, creata nel passaggio precedente.Point to site configuration - which you created in the previous step.
    • Pool indirizzi client, per gli utenti remoti.Client Address Pool - for the remote users.
    • IP server DNS personalizzato.Custom DNS Server IP.

    Hub con configurazione da punto a sito

  4. Selezionare Rivedi e crea.Select Review + create.

  5. Nella pagina Convalida superata selezionare Crea.On the validation passed page, select Create.

Generare i file di configurazione del client VPNGenerate VPN client configuration files

In questa sezione vengono generati e scaricati i file del profilo di configurazione.In this section, you generate and download the configuration profile files. Questi file vengono usati per configurare il client VPN nativo nel computer client.These files are used to configure the native VPN client on the client computer. Per informazioni sul contenuto dei file del profilo client, vedere configurazione da punto a sito-certificati.For information about the contents of the client profile files, see Point-to-site configuration - certificates.

  1. Nella pagina della rete WAN virtuale selezionare Configurazioni VPN utente.On the page for your virtual WAN, select User VPN configurations.

  2. Nella pagina configurazioni VPN utente selezionare una configurazione e quindi fare clic su Scarica profilo VPN utente rete virtuale.On the User VPN configurations page, select a configuration, then select Download virtual WAN user VPN profile. Quando si Scarica la configurazione a livello di WAN, si ottiene un profilo di VPN utente basato su Traffic Manager predefinito.When you download the WAN-level configuration, you get a built-in Traffic Manager-based User VPN profile. Per altre informazioni sui profili globali o sui profili basati su hub, vedere Profili degli hub.For more information about Global profiles or a hub-based profile, see Hub profiles. Gli scenari di failover sono semplificati con il profilo globale.Failover scenarios are simplified with global profile.

    Se per qualche motivo un hub non è disponibile, il profilo predefinito di Gestione traffico fornito dal servizio assicura la connettività tramite un hub diverso alle risorse di Azure per gli utenti da punto a sito.If for some reason a hub is unavailable, the built-in traffic management provided by the service ensures connectivity (via a different hub) to Azure resources for point-to-site users. È sempre possibile scaricare una configurazione VPN specifica dell'hub passando all'hub.You can always download a hub-specific VPN configuration by navigating to the hub. In VPN utente (da punto a sito) scaricare il profilo VPN utente dell'hub virtuale.Under User VPN (point to site), download the virtual hub User VPN profile.

  3. Nella pagina Scarica profilo VPN utente WAN virtuale selezionare il tipo di autenticazione e quindi selezionare genera e Scarica profilo.On the Download virtual WAN user VPN profile page, select the Authentication type, then select Generate and download profile. Il pacchetto del profilo genererà un file zip contenente le impostazioni di configurazione da scaricare.The profile package will generate and a zip file containing the configuration settings will download.

Configurare client VPNConfigure VPN clients

Usare il profilo scaricato per configurare i client di accesso remoto.Use the downloaded profile to configure the remote access clients. La procedura per ogni sistema operativo è diversa; seguire le istruzioni applicabili al sistema in uso.The procedure for each operating system is different, follow the instructions that apply to your system.

Microsoft WindowsMicrosoft Windows

OpenVPNOpenVPN
  1. Scaricare e installare il client OpenVPN dal sito Web ufficiale.Download and install the OpenVPN client from the official website.
  2. Scaricare il profilo VPN per il gateway.Download the VPN profile for the gateway. Questa operazione può essere eseguita dalla scheda Configurazioni VPN utente nel portale di Azure oppure tramite New-AzureRmVpnClientConfiguration in PowerShell.This can be done from the User VPN configurations tab in Azure portal, or New-AzureRmVpnClientConfiguration in PowerShell.
  3. Decomprimere il profilo.Unzip the profile. Aprire il file di configurazione vpnconfig.ovpn dalla cartella OpenVPN nel Blocco note.Open the vpnconfig.ovpn configuration file from the OpenVPN folder in notepad.
  4. Completare la sezione relativa al certificato client da punto a sito con la chiave pubblica del certificato client da punto a sito in formato Base 64.Fill in the P2S client certificate section with the P2S client certificate public key in base64. In un certificato in formato PEM è possibile aprire il file con estensione cer e copiare la chiave in formato Base 64 tra le intestazioni del certificato.In a PEM formatted certificate, you can open the .cer file and copy over the base64 key between the certificate headers. Per la procedura, vedere Come esportare un certificato per ottenere la chiave pubblica codificata.For steps, see How to export a certificate to get the encoded public key.
  5. Completare la sezione relativa alla chiave privata con la chiave privata del certificato client da punto a sito in formato Base 64.Fill in the private key section with the P2S client certificate private key in base64. Per la procedura, vedere Come estrarre la chiave privata.For steps, see How to extract private key..
  6. Lasciare invariati tutti gli altri campi.Do not change any other fields. Usare la configurazione così completata nell'input del client per connettersi alla rete VPN.Use the filled in configuration in client input to connect to the VPN.
  7. Copiare il file vpnconfig.ovpn nella cartella C:\Programmi\OpenVPN\config.Copy the vpnconfig.ovpn file to C:\Program Files\OpenVPN\config folder.
  8. Fare clic con il pulsante destro del mouse sull'icona OpenVPN nell'area di notifica e scegliere Connetti.Right-click the OpenVPN icon in the system tray and select connect.
IKEv2IKEv2
  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows.Select the VPN client configuration files that correspond to the architecture of the Windows computer. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione "VpnClientSetupAmd64".For a 64-bit processor architecture, choose the 'VpnClientSetupAmd64' installer package. Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione "VpnClientSetupX86".For a 32-bit processor architecture, choose the 'VpnClientSetupX86' installer package.
  2. Fare doppio clic sul pacchetto per installarlo.Double-click the package to install it. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni e quindi Esegui comunque.If you see a SmartScreen popup, select More info, then Run anyway.
  3. Nel computer client passare a Impostazioni di rete e selezionare VPN.On the client computer, navigate to Network Settings and select VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.The VPN connection shows the name of the virtual network that it connects to.
  4. Prima di tentare di connettersi, verificare che nel computer client sia installato un certificato client.Before you attempt to connect, verify that you have installed a client certificate on the client computer. Quando si usa il tipo di autenticazione del certificato di Azure nativo, è necessario un certificato client per l'autenticazione.A client certificate is required for authentication when using the native Azure certificate authentication type. Per altre informazioni sulla generazione di certificati, vedere Generare i certificati.For more information about generating certificates, see Generate Certificates. Per informazioni sull'installazione di un certificato client, vedere Installare un certificato client.For information about how to install a client certificate, see Install a client certificate.

Connettere il VNet spokeConnect the spoke VNet

In questa sezione si connette la rete virtuale spoke all'hub WAN virtuale.In this section, you attach the spoke virtual network to the virtual WAN hub.

In questo passaggio si crea la connessione tra l'hub e una rete virtuale.In this step, you create the connection between your hub and a VNet. Ripetere questi passaggi per ogni rete virtuale a cui ci si vuole connettere.Repeat these steps for each VNet that you want to connect.

  1. Nella pagina della rete WAN virtuale selezionare Connessioni rete virtuale.On the page for your virtual WAN, select Virtual network connections.

  2. Nella pagina Connessioni rete virtuale selezionare + Aggiungi connessione.On the virtual network connection page, select +Add connection.

  3. Nella pagina Aggiungi connessione compilare i campi seguenti:On the Add connection page, fill in the following fields:

    • Nome connessione - Specificare un nome per la connessione.Connection name - Name your connection.
    • Hub - Selezionare l'hub che si vuole associare a questa connessione.Hubs - Select the hub you want to associate with this connection.
    • Sottoscrizione - Verificare la sottoscrizione.Subscription - Verify the subscription.
    • Rete virtuale - Selezionare la rete virtuale che si vuole connettere all'hub.Virtual network - Select the virtual network you want to connect to this hub. La rete virtuale non può avere un gateway di rete virtuale già esistente.The virtual network cannot have an already existing virtual network gateway.
  4. Selezionare OK per creare la connessione.Select OK to create the connection.

Creare macchine virtualiCreate virtual machines

In questa sezione vengono create due macchine virtuali in VNet, VM1 e VM2.In this section, you create two VMs in your VNet, VM1 and VM2. Nel diagramma di rete si usano 10.18.0.4 e 10.18.0.5.In the network diagram, we use 10.18.0.4 and 10.18.0.5. Quando si configurano le macchine virtuali, assicurarsi di selezionare la rete virtuale creata (disponibile nella scheda rete).When configuring your VMs, make sure to select the virtual network that you created (found on the Networking tab). Per la procedura di creazione di una macchina virtuale, vedere Guida introduttiva: creare una macchina virtuale.For steps to create a VM, see Quickstart: Create a VM.

Proteggere l'hub virtualeSecure the virtual hub

Un hub virtuale standard non ha criteri di sicurezza predefiniti per proteggere le risorse nelle reti virtuali spoke.A standard virtual hub has no built-in security policies to protect the resources in spoke virtual networks. Un hub virtuale protetto usa il firewall di Azure o un provider di terze parti per gestire il traffico in ingresso e in uscita per proteggere le risorse in Azure.A secured virtual hub uses Azure Firewall or a third-party provider to manage incoming and outgoing traffic to protect your resources in Azure.

Convertire l'hub in un hub protetto usando l'articolo seguente: configurare il firewall di Azure in un hub WAN virtuale.Convert the hub to a secured hub using the following article: Configure Azure Firewall in a Virtual WAN hub.

Creare regole per gestire e filtrare il trafficoCreate rules to manage and filter traffic

Creare regole che impongono il comportamento del firewall di Azure.Create rules that dictate the behavior of Azure Firewall. Proteggendo l'hub, si garantisce che tutti i pacchetti che entrano nell'hub virtuale siano soggetti all'elaborazione del firewall prima di accedere alle risorse di Azure.By securing the hub, we ensure that all packets that enter the virtual hub are subject to firewall processing before accessing your Azure resources.

Una volta completati questi passaggi, si creerà un'architettura che consente agli utenti VPN di accedere alla macchina virtuale con l'indirizzo IP privato 10.18.0.4, ma non di accedere alla macchina virtuale con l'indirizzo IP privato 10.18.0.5Once you complete these steps, you will have created an architecture that allows VPN users to access the VM with private IP address 10.18.0.4, but NOT access the VM with private IP address 10.18.0.5

  1. Nella portale di Azure passare a Firewall Manager.In the Azure portal, navigate to Firewall Manager.

  2. In sicurezza selezionare criteri del firewall di Azure.Under Security, select Azure Firewall policies.

  3. Selezionare Crea criterio firewall di Azure.Select Create Azure Firewall Policy.

  4. In Dettagli criterio Digitare un nome e selezionare l'area in cui è distribuito l'hub virtuale.Under Policy details, type in a name and select the region your virtual hub is deployed in.

  5. Selezionare Avanti: Impostazioni DNS (anteprima) .Select Next: DNS Settings (preview).

  6. Selezionare Avanti: Regole.Select Next: Rules.

  7. Nella scheda Regole selezionare Aggiungi una raccolta regole.On the Rules tab, select Add a rule collection.

  8. Consente di specificare un nome per la raccolta.Provide a name for the collection. Impostare il tipo come rete.Set the type as Network. Aggiungere un valore di priorità 100.Add a priority value 100.

  9. Immettere il nome della regola, il tipo di origine, l'origine, il protocollo, le porte di destinazione e il tipo di destinazione, come illustrato nell'esempio riportato di seguito.Fill in the name of the rule, source type, source, protocol, destination ports, and destination type, as shown in the example below. Quindi selezionare Aggiungi.Then, select add. Questa regola consente a qualsiasi indirizzo IP del pool di client VPN di accedere alla macchina virtuale con l'indirizzo IP privato 10.18.04, ma non tutte le altre risorse connesse all'hub virtuale.This rule allows any IP address from the VPN client pool to access the VM with private IP address 10.18.04, but not any other resource connected to the virtual hub. Creare le regole desiderate in base alle regole di architettura e autorizzazioni desiderate.Create any rules you want that fit your desired architecture and permissions rules.

    Regole del firewall

  10. Selezionare Avanti: Intelligence sulle minacce.Select Next: Threat intelligence.

  11. Selezionare Avanti: Hub.Select Next: Hubs.

  12. Nella scheda Hub selezionare Associa hub virtuali.On the Hubs tab, select Associate virtual hubs.

  13. Selezionare l'hub virtuale creato in precedenza e quindi selezionare Aggiungi.Select the virtual hub you created earlier, and then select Add.

  14. Selezionare Rivedi e crea.Select Review + create.

  15. Selezionare Crea.Select Create.

Il completamento di questo processo può richiedere più di 5 minuti.It can take 5 minutes or more for this process to complete.

Instradare il traffico attraverso il firewall di AzureRoute traffic through Azure Firewall

In questa sezione è necessario assicurarsi che il traffico venga instradato attraverso il firewall di Azure.In this section, you need to ensure that the traffic is routed through Azure Firewall.

  1. Nel portale di gestione firewall selezionare Hub virtuali protetti.In the portal, from Firewall Manager, select Secured virtual hubs.
  2. Selezionare l'hub virtuale creato.Select the virtual hub you created.
  3. In Impostazioni selezionare Configurazione della sicurezza.Under Settings, select Security configuration.
  4. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).Under Private traffic, select Send via Azure Firewall.
  5. Verificare che la connessione VNet e il traffico privato della connessione Branch siano protetti dal firewall di Azure.Verify that the VNet connection and the Branch connection private traffic is secured by Azure Firewall.
  6. Selezionare Salva.Select Save.

ConvalidaValidate

Verificare la configurazione dell'hub protetto.Verify the setup of your secured hub.

  1. Connettersi all' hub virtuale protetto tramite VPN dal dispositivo client.Connect to the Secured Virtual Hub via VPN from your client device.
  2. Effettuare il ping dell'indirizzo IP 10.18.0.4 dal client.Ping the IP address 10.18.0.4 from your client. Verrà visualizzata una risposta.You should see a response.
  3. Effettuare il ping dell'indirizzo IP 10.18.0.5 dal client.Ping the IP address 10.18.0.5 from your client. Non è possibile visualizzare una risposta.You should not be able to see a response.

ConsiderazioniConsiderations

  • Assicurarsi che la tabella route valide nell'hub virtuale protetto disponga dell'hop successivo per il traffico privato da parte del firewall.Make sure that the Effective Routes Table on the secured virtual hub has the next hop for private traffic by the firewall. Per accedere alla tabella route valide, passare alla risorsa dell' hub virtuale .To access the Effective Routes Table, navigate to your Virtual Hub resource. In connettività selezionare routing, quindi selezionare Route effettive.Under Connectivity, select Routing, and then select Effective Routes. Da qui, selezionare la tabella di route predefinita .From there, select the Default Route table.
  • Verificare di aver creato le regole nella sezione creare regole .Verify that you created rules in the Create Rules section. Se questi passaggi vengono persi, le regole create non verranno effettivamente associate all'hub e la tabella di route e il flusso di pacchetti non useranno il firewall di Azure.If these steps are missed, the rules you created will not actually be associated to the hub and the route table and packet flow will not use Azure Firewall.

Passaggi successiviNext steps