Управление безопасным доступом к ресурсам в лучевой виртуальных сетей для VPN-клиентов пользователей

В этой статье показано, как использовать виртуальные глобальные сети и правила брандмауэра Azure и фильтры для управления безопасным доступом для подключений к ресурсам в Azure по протоколу IKEv2 или открытым VPN-подключениям. Эта конфигурация полезна, если у вас есть удаленные пользователи, которым требуется ограничить доступ к ресурсам Azure, или защитить ресурсы в Azure.

Действия, описанные в этой статье, помогут вам создать архитектуру на следующей схеме, чтобы разрешить клиентам VPN-клиентов получать доступ к определенному ресурсу (VM1) в периферийной виртуальной сети, подключенной к виртуальному концентратору, но не к другим ресурсам (VM2). Используйте этот пример архитектуры как базовое правило.

Схема: защищенный виртуальный концентратор

Предварительные условия

  • у вас есть подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure.

  • У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в кратком руководстве.

  • В вашей виртуальной сети не должно быть шлюзов виртуальной сети. Если в виртуальной сети уже есть шлюзы (VPN или ExpressRoute), необходимо удалить их все, прежде чем продолжать работу. Эта конфигурация требует, чтобы виртуальные сети подключались только к шлюзу концентратора Виртуальной глобальной сети.

  • Виртуальный концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Это основа вашей Виртуальной глобальной сети в регионе. Получите диапазон IP-адресов для вашего региона виртуального концентратора. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Кроме того, указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, найдите того, кто сможет предоставить вам нужную информацию.

  • У вас есть значения, доступные для конфигурации проверки подлинности, которую вы хотите использовать. Например, сервер RADIUS, Azure Active Directoryная проверка подлинности или Создание и экспорт сертификатов.

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

  1. На портале выберите + Создать ресурс. В поле поиска введите Виртуальная глобальная сеть и нажмите клавишу ВВОД.

  2. Выберите ресурс Виртуальная глобальная сеть в результатах. На странице Виртуальной глобальной сети щелкните Создать, чтобы открыть страницу "Создание глобальной сети".

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните следующие поля:

    Снимок экрана, на котором показана панель "Создание глобальной сети" с выбранной вкладкой "Основные сведения".

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей глобальной сети.
    • Тип: "Базовый" или "Стандартный". Выберите Стандартная. Выбирая тип "Базовый" для виртуальной глобальной сети, следует понимать, что в сети такого типа будут доступны только концентраторы уровня "Базовый", а значит будут доступны только подключения "сеть — сеть".
  4. Заполнив поля, нажмите кнопку Просмотр и создание.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

Определение параметров конфигурации P2S

Конфигурация "точка — сеть" (P2S) определяет параметры для подключения удаленных клиентов. Этот раздел поможет определить параметры конфигурации P2S, а затем создать конфигурацию, которая будет использоваться для профиля клиента VPN. Инструкции, которые вы хотите использовать, зависят от используемого метода проверки подлинности.

методы проверки подлинности;

При выборе метода проверки подлинности у вас есть три варианта. Каждый метод имеет определенные требования. Выберите один из следующих методов и выполните действия.

  • Azure Active Directory проверка подлинности: Получите следующее:

    • Идентификатор приложения для приложения Azure VPN Enterprise, зарегистрированного в клиенте Azure AD.
    • Издатель. Например, https://sts.windows.net/your-Directory-ID.
    • Клиент Azure AD. Например, https://login.microsoftonline.com/your-Directory-ID.
  • Проверка подлинности на основе RADIUS: Получите IP-адрес сервера RADIUS, секрет RADIUS-сервера и сведения о сертификате.

  • Сертификаты Azure: Для этой конфигурации требуются сертификаты. Необходимо либо создать сертификаты, либо получить их. Для каждого клиента требуется сертификат клиента. Кроме того, необходимо передать сведения о корневом сертификате (открытый ключ). Дополнительные сведения о необходимых сертификатах см. в разделе Создание и экспорт сертификатов.

Примечание

Некоторые функции и параметры находятся в процессе развертывания на портале Azure.

  1. Перейдите к разделу Все ресурсы и выберите созданную виртуальную глобальную сеть, а затем нажмите Пользовательские конфигурации VPN в меню слева.

  2. В верхней части страницы Пользовательские конфигурации VPN выберите +Создать пользовательскую конфигурацию VPN, чтобы открыть раздел Создание пользовательской конфигурации VPN.

    Снимок экрана с изображением страницы пользовательских конфигураций VPN.

  3. На вкладке Основные в разделе Сведения об экземпляре введите Имя для вашей конфигурации VPN.

  4. В раскрывающемся списке Тип туннеля выберите нужное значение. Доступные типы туннелей: IKEV2 VPN, OpenVPN и OpenVPN и IKEv2.

  5. Выполните указанные ниже действия в соответствии с выбранным типом туннеля. После того как вы укажете все значения, выберите Просмотр и создание, а затем щелкните Создать для создания конфигурации.

    IKEv2 VPN

    • Требования. Если задан типа туннеля IKEv2, то отобразится сообщение о необходимости выбрать способ проверки подлинности. Для IKEv2 можно указать только один способ проверки подлинности. Вы можете выбрать сертификат Azure, Azure Active Directory или проверку подлинности на основе протокола RADIUS.

    • Пользовательские параметры IPsec. Чтобы задать настройки для этапа IKE 1 и этапа IKE 2, установите переключатель IPsec в положение Пользовательские и выберите значения параметров. Дополнительные сведения о настройке см. в статье о пользовательских параметрах IPsec.

      Снимок экрана с изображением переключателя IPsec в положении пользовательских настроек.

    • Проверка подлинности. Чтобы перейти к нужному механизму проверки подлинности, нажмите кнопку Далее в нижней части страницы или щелкните соответствующую вкладку в верхней части. Чтобы выбрать способ, установите переключатель в положение Да.

      В этом примере выбрана проверка подлинности RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

      Снимок экрана с настройками IKE.

    OpenVPN.

    • Требования. Если задан типа туннеля OpenVPN, то отобразится сообщение о необходимости выбрать механизм проверки подлинности. Если в качестве типа туннеля выбран OpenVPN, вы можете указать несколько способов проверки подлинности. Вы можете выбрать любое подмножество сертификата Azure, Azure Active Directory или проверку подлинности на основе протокола RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

    • Проверка подлинности. Чтобы перейти к нужным способам проверки подлинности, нажмите кнопку Далее в нижней части страницы или щелкните соответствующую вкладку в верхней части. Для каждого способа установите переключатель в положение Да и введите соответствующие значения.

      В этом примере выбран способ Azure Active Directory.

      Снимок экрана с изображением страницы настроек OpenVPN.

Создание концентратора и шлюза

В этом разделе вы создадите виртуальный концентратор с помощью шлюза типа "точка — сеть". При настройке можно использовать следующие примеры значений:

  • Пространство частных IP-адресов концентратора: 10.0.0.0/24.
  • Пул адресов клиента: 10.5.0.0/16
  • Пользовательские DNS-серверы: Можно вывести до 5 DNS-серверов.
  1. В разделе виртуальной глобальной сети выберите "Концентраторы" и щелкните + Создать концентратор.

    Новый концентратор

  2. На странице "Создание виртуального концентратора" заполните следующие поля.

    • Регион — выберите регион, в котором требуется развернуть виртуальный концентратор.
    • Имя — введите имя, которое требуется вызвать для виртуального концентратора.
    • Пространство частных адресов концентратора — диапазон адресов концентратора в нотации CIDR.

    Создание виртуального концентратора

  3. На вкладке "Точка — сеть" заполните следующие поля:

    • Единицы масштабирования шлюза — совокупная емкость шлюза VPN пользователя.
    • Конфигурация "точка — сеть"  — создана на предыдущем шаге.
    • Пул адресов клиента — для удаленных пользователей.
    • IP-адрес пользовательского DNS-сервера.

    Концентратор с подключением точка — сеть

  4. Выберите Review + create (Просмотреть и создать).

  5. На странице Проверка пройдена щелкните Создать.

Создание файлов конфигурации VPN-клиента

В этом разделе вы создадите и Скачайте файлы профиля конфигурации. Эти файлы используются для настройки собственного VPN-клиента на клиентском компьютере. Сведения о содержимом файлов клиентского профиля см. в разделе Конфигурация "точка — сеть" — "сертификаты".

  1. На странице виртуальной глобальной сети выберите Конфигурации VPN пользователя.

  2. На странице Пользовательские конфигурации VPN выберите конфигурацию, а затем выберите элемент Скачать профиль VPN пользователя виртуальной глобальной сети. После скачивания конфигурации на уровне глобальной сети у вас будет встроенный профиль VPN пользователя на основе Диспетчера трафика. Дополнительные сведения о глобальных профилях и профилях на основе концентраторов см. в разделе о профилях на основе концентраторов. Использование глобального профиля упрощает сценарии отработки отказа.

    Если по какой-либо причине концентратор становится недоступен, предоставляемое службой встроенное управление трафиком обеспечивает обмен данными с ресурсами Azure через другой концентратор для пользователей с подключением типа "точка — сеть". Вы всегда можете скачать конфигурацию VPN для конкретного концентратора, перейдя к этому концентратору. В разделе VPN пользователя(точка — сеть) скачайте профиль VPN пользователя для виртуального концентратора.

  3. На странице Скачать профиль VPN пользователя виртуальной глобальной сети выберите значение для параметра Тип проверки подлинности , а затем щелкните Создать и загрузить профиль. Будет создан пакет профиля и скачан ZIP-файл, содержащий параметры конфигурации.

Настройка VPN-клиентов

Используйте загруженный профиль для настройки клиентов удаленного доступа. Процедуры для каждой операционной системы отличаются, поэтому следуйте инструкциям, применимым к вашей операционной системе.

Microsoft Windows

OpenVPN
  1. С официального веб-сайта загрузите и установите клиент OpenVPN.
  2. Загрузите профиль VPN для шлюза. Это можно сделать с вкладки конфигурации VPN пользователя на портале Azure, или с помощью New-AzureRmVpnClientConfiguration в PowerShell.
  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в Notepad.
  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата. Инструкции см. в статье о том, как экспортировать сертификат, чтобы получить закодированный открытый ключ.
  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Инструкции см. в статье о том, как извлечь закрытый ключ.
  6. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.
  7. Скопируйте файл vpnconfig.ovpn в папку C:\Program Files\OpenVPN\config.
  8. Щелкните правой кнопкой мыши значок OpenVPN в области уведомлений и выберите Подключить.
IKEv2
  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.
  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.
  3. На клиентском компьютере перейдите в раздел Параметры сети и щелкните VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.
  4. Перед попыткой подключения убедитесь, что вы установили сертификат клиента на клиентском компьютере. Сертификат клиента требуется при использовании собственной аутентификации Azure на основе сертификата. Дополнительную информацию о создании сертификатов см. в разделе Настройка подключения "точка — сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала Azure. Инструкции по установке сертификата клиента см. в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа "точка — сеть".

Подключение периферийной виртуальной сети

В этом разделе вы подключаете периферийную виртуальную сеть к виртуальному концентратору глобальной сети.

На этом шаге вы создаете подключение между концентратором и виртуальной сетью. Повторите эти шаги для каждой виртуальной сети, которую вы хотите подключить.

  1. На странице своей глобальной сети выберите Подключения к виртуальной сети.

  2. На странице подключения к виртуальной сети выберите +Добавить подключение.

  3. На странице Добавление подключения заполните следующие поля.

    • Имя подключения. Укажите имя своего подключения.
    • Концентраторы. Выберите концентратор, который нужно связать с этим подключением.
    • Подписка. Проверьте подписку.
    • Виртуальная сеть. Выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В виртуальной сети не должно быть шлюза виртуальной сети.
  4. Нажмите кнопку ОК, чтобы создать подключение.

Создание виртуальных машин

В этом разделе вы создадите две виртуальные машины в виртуальной сети, VM1 и VM2. В схеме сети мы используем 10.18.0.4 и 10.18.0.5. При настройке виртуальных машин необходимо выбрать созданную виртуальную сеть (на вкладке "сеть"). Инструкции по созданию виртуальной машины см. в разделе Краткое руководство. Создание виртуальной машины.

Защита виртуального концентратора

У стандартного виртуального концентратора нет встроенных политик безопасности для защиты ресурсов в периферийных виртуальных сетях. Защищенный виртуальный концентратор использует брандмауэр Azure или сторонний поставщик для управления входящим и исходящим трафиком для защиты ресурсов в Azure.

Преобразуйте концентратор в защищенный центр, используя следующую статью: Настройка брандмауэра Azure в виртуальном концентраторе глобальной сети.

Создание правил для управления трафиком и их фильтрации

Создайте правила, определяющие поведение брандмауэра Azure. Обеспечивая защиту центра, мы гарантируете, что все пакеты, входящие в виртуальный концентратор, будут подвергаться обработке брандмауэра до доступа к ресурсам Azure.

После выполнения этих действий вы создадите архитектуру, позволяющую пользователям VPN получать доступ к виртуальной машине с частным IP-адресом 10.18.0.4, но не получать доступ к виртуальной машине с частным IP-адресом 10.18.0.5

  1. В портал Azure перейдите к диспетчеру брандмауэра.

  2. В разделе Безопасность выберите политики брандмауэра Azure.

  3. Щелкните Создание политики Брандмауэра Azure.

  4. В разделе сведения о политике введите имя и выберите регион, в котором развернут виртуальный концентратор.

  5. По завершении выберите Next: Параметры DNS (предварительная версия) .

  6. По завершении выберите Next: Правила.

  7. На вкладке Правила выберите элемент Добавление коллекции правил.

  8. Укажите имя коллекции. Задайте тип " сеть". Добавьте значение приоритета 100.

  9. Укажите имя правила, тип источника, источник, протокол, порты назначения и тип назначения, как показано в примере ниже. Затем выберите Добавить. Это правило позволяет любому IP-адресу из пула VPN-клиентов получить доступ к виртуальной машине с частным IP-адресом 10.18.04, но не к другому ресурсу, подключенному к виртуальному концентратору. Создайте все необходимые правила, соответствующие требуемой архитектуре и правилам разрешений.

    Правила брандмауэра

  10. По завершении выберите Next: Аналитика угроз.

  11. По завершении выберите Next: Концентраторы.

  12. На вкладке Концентраторы выберите Связать виртуальные концентраторы.

  13. Выберите созданный ранее виртуальный концентратор и нажмите кнопку Добавить.

  14. Выберите Review + create (Просмотреть и создать).

  15. Нажмите кнопку создания.

Для завершения этого процесса может потребоваться 5 минут или более.

Маршрутизация трафика через брандмауэр Azure

В этом разделе необходимо убедиться, что трафик направляется через брандмауэр Azure.

  1. На портале в диспетчере брандмауэра выберите безопасные виртуальные концентраторы.
  2. Выберите созданный виртуальный концентратор.
  3. В разделе Параметры выберите пункт Конфигурация безопасности.
  4. В разделе Частный трафик выберите Брандмауэр Azure.
  5. Убедитесь, что подключение к виртуальной сети и частный трафик подключения филиала защищены брандмауэром Azure.
  6. Щелкните Сохранить.

Проверить

Проверьте настройку защищенного центра.

  1. Подключитесь к защищенному виртуальному концентратору через VPN с клиентского устройства.
  2. Проверьте связь с IP-адресом, 10.18.0.4 из клиента. Вы должны увидеть ответ.
  3. Проверьте связь с IP-адресом, 10.18.0.5 из клиента. Вы не должны видеть ответ.

Рекомендации

  • Убедитесь, что Таблица эффективных маршрутов в защищенном виртуальном концентраторе имеет следующий прыжок для частного трафика в брандмауэре. Чтобы получить доступ к таблице эффективных маршрутов, перейдите к ресурсу виртуального концентратора . В разделе Подключение выберите Маршрутизация, а затем выберите действующие маршруты. В нем выберите таблицу маршрутов по умолчанию .
  • Убедитесь, что созданные правила были созданы в разделе Создание правил . Если эти действия отсутствуют, созданные вами правила не будут связаны с концентратором, а таблица маршрутов и потоком пакетов не будут использовать брандмауэр Azure.

Дальнейшие действия