Konfigurera IPsec-transportläge för privat ExpressRoute-peering

Den här artikeln hjälper dig att skapa IPsec-tunnlar i transport läge över ExpressRoute privata peering. Tunneln skapas mellan virtuella Azure-datorer som kör Windows och lokala Windows-värdar. Stegen i den här artikeln för den här konfigurationen använder grup princip objekt. Det går att skapa den här konfigurationen utan att använda organisationsenheter (OU) och grup princip objekt (GPO). Kombinationen av organisationsenheter och grup princip objekt bidrar till att förenkla kontrollen av dina säkerhets principer och gör det möjligt att snabbt skala upp. Anvisningarna i den här artikeln förutsätter att du redan har en Active Directory konfiguration och att du är van att använda organisationsenheter och grup princip objekt.

Om den här konfigurationen

Konfigurationen i följande steg använder ett enda virtuellt Azure-nätverk (VNet) med ExpressRoute privat peering. Den här konfigurationen kan dock sträcka sig över andra Azure-virtuella nätverk och lokala nätverk. Den här artikeln hjälper dig att definiera en IPsec-krypterings princip som du kan tillämpa på en grupp med virtuella Azure-datorer eller lokala värdar. Dessa virtuella Azure-datorer eller lokala värdar tillhör samma ORGANISATIONSENHET. Du konfigurerar kryptering mellan virtuella Azure-datorer (VM1 och VM2) och den lokala host1 endast för HTTP-trafik med mål porten 8080. Olika typer av IPsec-principer kan skapas utifrån dina krav.

Arbeta med organisationsenheter

Säkerhets principen som är associerad med en ORGANISATIONSENHET överförs till datorerna via GRUPPRINCIPOBJEKTet. Några fördelar med att använda organisationsenheter, i stället för att använda principer på en enda värd, är:

• Att associera en princip med en ORGANISATIONSENHET garanterar att datorer som tillhör samma ORGANISATIONSENHET får samma principer.
• Om du ändrar säkerhets principen som är kopplad till OU så tillämpas ändringarna på alla värdar i ORGANISATIONSENHETen.

Förutsägelse

Följande diagram visar samtrafik och tilldelat IP-adressutrymme. De virtuella Azure-datorerna och den lokala värden kör Windows 2016. De virtuella Azure-datorerna och de lokala host1 ingår i samma domän. De virtuella Azure-datorerna och de lokala värdarna kan matcha namn korrekt med DNS.

Det här diagrammet visar IPsec-tunnlar i överföring i ExpressRoute privat peering.

Arbeta med IPsec-princip

I Windows är kryptering kopplad till IPsec-princip. IPsec-principen avgör vilken IP-trafik som skyddas och säkerhetsmekanismen som tillämpas på IP-paketen. IPSec-principer består av följande objekt: filter listor, filter åtgärder och säkerhets regler.

När du konfigurerar IPsec-principen är det viktigt att förstå följande terminologi för IPsec-principer:

• IPSec-princip: En regel uppsättning. Endast en princip kan vara aktiv (tilldelad) vid en viss tidpunkt. Varje princip kan ha en eller flera regler som alla kan vara aktiva samtidigt. En dator kan bara tilldelas en aktiv IPsec-princip vid en specifik tidpunkt. I IPsec-principen kan du dock definiera flera åtgärder som kan vidtas i olika situationer. Varje uppsättning IPsec-regler är associerad med en filter lista som påverkar den typ av nätverks trafik som regeln gäller.

• Filter listor: Filter listor är paket med ett eller flera filter. En lista kan innehålla flera filter. Ett filter definierar om kommunikationen blockeras, tillåts eller skyddas baserat på följande kriterier: IP-adressintervall, protokoll eller till och med vissa portar. Varje filter matchar en viss uppsättning villkor. till exempel paket som skickas från ett visst undernät till en viss dator på en specifik målport. När nätverks förhållandena matchar ett eller flera av dessa filter, aktive ras filter listan. Varje filter definieras i en viss filter lista. Filter kan inte delas mellan filter listor. En bestämd filter lista kan dock integreras i flera IPsec-principer.

• Filter åtgärder: En säkerhets metod definierar en uppsättning säkerhetsalgoritmer, protokoll och nycklar som en dator erbjuder vid IKE-förhandlingar. Filter åtgärder är listor över säkerhets metoder, rankade i prioritetsordning. När en dator förhandlar om en IPsec-session, accepterar eller skickar du förslag baserat på säkerhets inställningen som lagras i filter åtgärds listan.

• Säkerhets regler: Regler styr hur och när en IPsec-princip skyddar kommunikation. Den använder filter lista och filter åtgärder för att skapa en IPSec-regel för att skapa IPSec-anslutningen. Varje princip kan ha en eller flera regler som alla kan vara aktiva samtidigt. Varje regel innehåller en lista över IP-filter och en samling säkerhets åtgärder som utförs vid en matchning med den filter listan:

  • Åtgärder för IP-filter
  • Autentiseringsmetoder
  • Inställningar för IP-tunnel
  • Anslutningstyper

Innan du börjar

Se till att du uppfyller följande krav:

• Du måste ha en fungerande Active Directory konfiguration som du kan använda för att implementera grupprincip inställningar. Mer information om grup princip objekt finns i Grupprincip objekt.

• Du måste ha en aktiv ExpressRoute-krets.

  • Information om hur du skapar en ExpressRoute-krets finns i skapa en ExpressRoute-krets.
  • Kontrol lera att kretsen har Aktiver ATS av anslutnings leverantören.
  • Kontrol lera att Azures privata peering har kon figurer ATS för din krets. Mer information finns i artikeln om konfigurering av routning .
  • Kontrol lera att du har ett VNet och en virtuell nätverksgateway som skapats och är helt etablerad. Följ anvisningarna för att skapa en virtuell nätverksgateway för ExpressRoute. En virtuell nätverksgateway för ExpressRoute använder GatewayType "ExpressRoute", inte VPN.

• ExpressRoute virtuella nätverksgateway måste vara ansluten till ExpressRoute-kretsen. Mer information finns i ansluta ett VNet till en ExpressRoute-krets.

• Verifiera att virtuella Azure Windows-datorer distribueras till VNet.

• Kontrol lera att det finns en anslutning mellan de lokala värdarna och de virtuella Azure-datorerna.

• Kontrol lera att virtuella Azure Windows-datorer och lokala värdar kan använda DNS för att matcha namn korrekt.

Arbetsflöde

1. Skapa ett grup princip objekt och koppla det till ORGANISATIONSENHETen.
2. Definiera en IPsec- filter åtgärd.
3. Definiera en IPsec- filterlista.
4. Skapa en IPsec-princip med säkerhets regler.
5. Tilldela IPsec-GRUPPRINCIPOBJEKTet till ORGANISATIONSENHETen.

Exempelvärden

• Domän namn: ipsectest.com

• OU: IPSecOU

• Lokal Windows-dator: host1

• Virtuella Azure Windows-datorer: VM1, VM2

1. skapa ett grup princip objekt

1. Skapa ett nytt grup princip objekt som är länkat till en ORGANISATIONSENHET genom att öppna snapin-modulen grupprincip hantering. Leta sedan reda på den ORGANISATIONSENHET som GRUPPRINCIPOBJEKTet ska länkas till. I exemplet heter ORGANISATIONSENHETen IPSecOU.

   

2. I snapin-modulen för grupprincip hantering väljer du ORGANISATIONSENHETen och högerklickar på. I list rutan väljer du "skapa ett grup princip objekt i den här domänen och länka det här...".

   

3. Ge GRUPPRINCIPOBJEKTet ett intuitivt namn så att du enkelt kan hitta det senare. Välj OK för att skapa och länka grupprincipobjektet.

   

2. Aktivera GPO-länken

Om du vill tillämpa GRUPPRINCIPOBJEKTet på ORGANISATIONSENHETen får GRUPPRINCIPOBJEKTet inte bara kopplas till ORGANISATIONSENHETen, men länken måste också vara aktive rad.

1. Leta upp det grup princip objekt som du har skapat, högerklicka och välj Redigera i list rutan.

2. Om du vill tillämpa GRUPPRINCIPOBJEKTet på ORGANISATIONSENHETen väljer du länk aktiverat.

   

3. definiera åtgärden för IP-filter

1. I list rutan högerklickar du på IP-säkerhetsprincip på Active Directory och väljer sedan Hantera IP-filterlistor och filter åtgärder....

   

2. På fliken "Hantera filter åtgärder" väljer du Lägg till.

   

3. I guiden filter åtgärd för IP-säkerhet väljer du Nästa.

   

4. Ge filter åtgärden ett intuitivt namn så att du kan hitta den senare. I det här exemplet heter filter åtgärden kryptering. Du kan också lägga till en beskrivning. Välj Nästa.

   

5. Med förhandlings säkerhet kan du definiera beteendet om IPSec inte kan upprättas med en annan dator. Välj förhandla om säkerhet och välj sedan Nästa.

   

6. På sidan kommunicera med datorer som inte stöder IPSec väljer du Tillåt inte oskyddad kommunikation och väljer sedan Nästa.

   

7. På sidan IP-trafik och säkerhet väljer du anpassad och väljer sedan Inställningar....

   

8. På sidan anpassade säkerhets metod inställningar väljer du data integritet och kryptering (ESP): SHA1, 3DES. Välj sedan OK.

   

9. På sidan Hantera filter åtgärder kan du se att filtret för kryptering har lagts till. Välj Stäng.

   

4. definiera en lista med IP-filter

Skapa en filter lista som anger krypterad HTTP-trafik med mål porten 8080.

1. Använd en IP-filterlista för att kvalificera vilka typer av trafik som måste krypteras. I fliken Hantera IP-filterlistor väljer du Lägg till för att lägga till en ny IP-filterlista.

   

2. I fältet Namn: anger du ett namn för IP-filterlistan. Till exempel Azure-onpremises-HTTP8080. Välj sedan Lägg till.

   

3. På sidan Beskrivning av IP-filter och speglad egenskap väljer du speglad. Den speglade inställningen matchar paket som går i båda riktningarna, vilket möjliggör tvåvägs kommunikation. Välj sedan Nästa.

   

4. På sidan källa för IP-trafikkälla väljer du en speciell IP-adress eller ett undernät i list rutan käll adress: .

   

5. Ange käll adressens IP-adress eller undernät: IP-trafik och välj sedan Nästa.

   

6. Ange mål adress: IP-adress eller undernät. Välj Nästa.

   

7. På sidan IP-protokoll typ väljer du TCP. Välj Nästa.

   

8. På sidan IP-protokoll port väljer du från valfri port och port:. Skriv 8080 i text rutan. De här inställningarna anger att endast HTTP-trafiken på mål porten 8080 ska krypteras. Välj Nästa.

   

9. Visa listan över IP-filter. Konfigurationen av IP -filterlistan Azure-onpremises-HTTP8080 utlöser kryptering för all trafik som matchar följande kriterier:

   • Alla käll adresser i 10.0.1.0/24 (Azure Subnet2)
   • Alla mål adresser i 10.2.27.0/25 (lokalt undernät)
   • TCP-protokoll
   • Målport 8080

   

5. Redigera listan över IP-filter

Om du vill kryptera samma typ av trafik från den lokala värden till den virtuella Azure-datorn behöver du ett andra IP-filter. Följ samma steg som du använde för att konfigurera det första IP-filtret och skapa ett nytt IP-filter. De enda skillnaderna är käll under nätet och mål under nätet.

1. Om du vill lägga till ett nytt IP-filter i listan IP-filter väljer du Redigera.

   

2. På sidan IP-filterlista väljer du Lägg till.

   

3. Skapa ett andra IP-filter med inställningarna i följande exempel:

   

4. När du har skapat det andra IP-filtret kommer IP-filterlistan att se ut så här:

   

Om kryptering krävs mellan en lokal plats och ett Azure-undernät för att skydda ett program. I stället för att ändra den befintliga listan över IP-filter kan du lägga till en ny IP-filterlista. Om du kopplar två eller fler IP-filterlistor till samma IPsec-princip får du mer flexibilitet. Du kan ändra eller ta bort en IP-filterlista utan att påverka de andra IP-filterlistorna.

6. skapa en IPsec-säkerhetsprincip

Skapa en IPsec-princip med säkerhets regler.

1. Välj de IPSecurity-principer i Active Directory som är kopplade till organisationsenheten. Högerklicka och välj skapa IP-säkerhetsprincip.

   

2. Namnge säkerhets principen. Till exempel princip – Azure-onpremises. Välj Nästa.

   

3. Välj Nästa utan att markera kryss rutan.

   

4. Kontrol lera att kryss rutan Redigera egenskaper är markerad och välj sedan Slutför.

   

7. redigera IPsec-säkerhetsprincipen

Lägg till IPsec-principen i IP-filterlistan och filter åtgärden som du har konfigurerat tidigare.

1. Välj Lägg till på fliken Egenskaper för http-princip.

   

2. På sidan Välkommen klickar du på Nästa.

   

3. En regel ger möjlighet att definiera IPsec-läge: tunnel läge eller transport läge.

   • I tunnel läge kapslas det ursprungliga paketet av en uppsättning IP-huvuden. Tunnel läge skyddar den interna routningsinformation genom att kryptera det ursprungliga paketets IP-huvud. Tunnel läge implementeras i stor utsträckning mellan gateways i scenarier med plats-till-plats-VPN. Tunnel läge är i de flesta fall som används för kryptering från slut punkt till slut punkt mellan värdar.

   • Transport läge krypterar bara nytto lasten och ESP-trailern. det ursprungliga paketets IP-huvud är inte krypterat. I transport läge är paketets IP-källa och IP-mål oförändrade.

   Välj den här regeln anger ingen tunnel och väljer sedan Nästa.

   

4. Nätverks typ definierar vilken nätverks anslutning som associeras med säkerhets principen. Välj alla nätverks anslutningar och välj sedan Nästa.

   

5. Välj den IP-filterlista som du skapade tidigare, Azure-onpremises-HTTP8080 och välj sedan Nästa.

   

6. Välj den befintliga filter åtgärdens kryptering som du skapade tidigare.

   

7. Windows stöder fyra distinkta typer av autentiseringar: Kerberos, certifikat, NTLMv2 och i förväg delad nyckel. Eftersom vi arbetar med domänanslutna värdar väljer Active Directory standard (Kerberos V5-protokoll) och väljer sedan Nästa.

   

8. Den nya principen skapar säkerhets regeln: Azure-onpremises-HTTP8080. Välj OK.

   

IPsec-principen kräver alla HTTP-anslutningar på mål porten 8080 för att använda IPsec-transportläge. Eftersom HTTP är ett tydligt text protokoll, där säkerhets principen är aktive rad, så krypteras data när de överförs via ExpressRoute privata peering. IPsec-principen för Active Directory är mer komplex att konfigurera än Windows-brandväggen med avancerad säkerhet. Den tillåter dock mer anpassning av IPsec-anslutningen.

8. tilldela IPsec-GRUPPRINCIPOBJEKTet till ORGANISATIONSENHETen

1. Visa principen. Säkerhets grup principen har definierats, men ännu inte tilldelats.

   

2. Om du vill tilldela säkerhets grup principen till OU- IPSecOU högerklickar du på säkerhets principen och väljer tilldela. Varje dator tht tillhör ORGANISATIONSENHETen kommer att ha tilldelats säkerhets grup principen.

   

Kontrol lera trafik kryptering

Om du vill ta reda på vilket krypterings-GPO som tillämpas på ORGANISATIONSENHETen, installerar du IIS på alla virtuella Azure-datorer och i host1. Varje IIS anpassas för att svara på HTTP-begäranden på Port 8080. För att verifiera kryptering kan du installera en nätverks avlyssning (t. ex. wireshark) på alla datorer i ORGANISATIONSENHETen. Ett PowerShell-skript fungerar som en HTTP-klient för att generera HTTP-förfrågningar på Port 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Följande nätverks hämtning visar resultatet för lokala host1 med Visa filter-ESP för att matcha enbart den krypterade trafiken:

Om du kör PowerShell-skriptet lokalt (HTTP-klient) visar nätverks avbildningen i den virtuella Azure-datorn ett liknande spår.

Nästa steg

Mer information om ExpressRoute finns i vanliga frågor och svar om ExpressRoute.