IPSec aktarım modu için ExpressRoute özel eşlemesini yapılandırınConfigure IPsec transport mode for ExpressRoute private peering

Bu makalede, IPSec tünelleri aktarım modunda ExpressRoute üzerinden özel Windows çalıştıran Azure Vm'leri arasında eşleme oluşturmanıza yardımcı olur ve şirket içi Windows konakları.This article helps you create IPsec tunnels in transport mode over ExpressRoute private peering between Azure VMs running Windows, and on-premises Windows hosts. Bu makaledeki adımlarda, Grup İlkesi nesneleri kullanılarak bu yapılandırmasını oluşturun.The steps in this article create this configuration using group policy objects. Grup İlkesi nesneleri (GPO'lar) ve kuruluş birimine (OU) kullanmadan bu yapılandırmayı oluşturmak mümkün olsa da, kuruluş birimleri ve GPO'lar birleşimi denetimi güvenlik ilkelerinizin kolaylaştırmaya yardımcı ve yukarı hızla ölçek sağlar.While it is possible to create this configuration without using organizational units (OUs) and group policy objects (GPOs), the combination of OUs and GPOs will help simplify the control of your security policies and allows you to quickly scale up. Bu makaledeki adımlarda, bir Active Directory yapılandırması zaten var ve kuruluş birimleri ve GPO'lar kullanımıyla ilgili bilgi sahibi olduğunuz varsayılır.The steps in this article assume that you already have an Active Directory configuration and that you are familiar with using OUs and GPOs.

Bu yapılandırma hakkındaAbout this configuration

Aşağıdaki adımlarda, yapılandırma, ExpressRoute özel eşlemesi ile tek bir Azure sanal ağına (VNet) kullanın.The configuration in the following steps use a single Azure virtual network (VNet) with ExpressRoute private peering. Ancak, bu yapılandırma, daha fazla Azure sanal ağlar ve şirket içi ağlara yayılabilir.However, this configuration can span more Azure VNets and on-premises networks. Bu makalede, IPSec şifrelemesi ilkesini tanımlayın ve Azure VM'ler ve konaklar aynı OU parçası olan yerinde bir gruba uygulanan yardımcı olur.This article will help you define an IPsec encryption policy, and apply it to a group of Azure VMs and hosts on-premises that are part of the same OU. Hedef bağlantı noktası 8080'ile ' de Azure sanal makinelerini (vm1 ve vm2) ve yalnızca HTTP trafiği için şirket içi konak1 arasında şifreleme yapılandırın.You configure encryption between the Azure VMs (vm1 and vm2), and the on-premises host1 only for HTTP traffic with destination port 8080. IPSec ilkesi oluşturulabilir farklı türde gereksinimlerinize göre.Different types of IPsec policy can be created based on your requirements.

OU'ları ile çalışmaWorking with OUs

Kuruluş birimi ile ilişkilendirilmiş güvenlik ilkesi, GPO bilgisayarlara gönderilir.The security policy associated with an OU is pushed to the computers via GPO. Tek bir konağa sağlamaktan yerine OU'ları kullanarak bazı avantajları şunlardır:A few advantages to using OUs, rather than applying policies to a single host, are:

  • Bir ilke bir OU ile ilişkilendirme aynı OU'ya ait bilgisayarlar aynı ilkeler alma garanti eder.Associating a policy with an OU guarantees that computers that belong to the same OU get the same policies.
  • OU ile ilişkili güvenlik ilkesini değiştirmek, bir OU'daki tüm Konaklara değişiklikleri uygulanır.Changing the security policy associated with OU will apply the changes to all hosts in the OU.

DiyagramlarDiagrams

Aşağıdaki diyagramda, atanan IP adres alanı ve bağlantısı gösterir.The following diagram shows the interconnection and assigned IP address space. Azure Vm'leri ve şirket içi ana bilgisayar Windows 2016 çalışır.The Azure VMs and the on-premises host are running Windows 2016. Azure Vm'leri ve şirket içi konak1 aynı etki alanının parçasıdır.The Azure VMs and the on-premises host1 are part of the same domain. Azure VM ve şirket içi ana bilgisayarlarına adları doğru DNS kullanarak çözebilirsiniz.The Azure VMs and the on-premises hosts can resolve names properly using DNS.

11

Bu diyagramda IPSec tünelleri, ExpressRoute özel eşlemesi içinde Aktarımdaki gösterilmektedir.This diagram shows the IPsec tunnels in transit in ExpressRoute private peering.

44

IPSec ilkesi ile çalışmaWorking with IPsec policy

Windows şifreleme, IPSec ilkesi ile ilişkilidir.In Windows, encryption is associated with IPsec policy. IPSec ilkesi hangi IP trafiği güvenli ve IP paketlerini uygulanan güvenlik mekanizmasını tanımlar.IPsec policy determines which IP traffic is secured and the security mechanism applied to the IP packets. IPSec ilkeleri şu öğelerden oluşan: filtre listeleri, filtre eylemleri, ve güvenlik kuralları.IPSec policies are composed of the following items: Filter Lists, Filter Actions, and Security Rules.

IPSec ilkesi yapılandırırken aşağıdaki IPSec ilkesi terimleri anlamak önemlidir:When configuring IPsec policy, it's important to understand the following IPsec policy terminology:

  • IPSec ilkesi: kuralları koleksiyonu.IPsec policy: A collection of rules. Yalnızca bir ilke ("belirli bir zamanda atanan") etkin olabilir.Only one policy can be active ("assigned") at any particular time. Her ilke, bunların tümü aynı anda etkin olabilir, bir veya daha fazla kural bulunabilir.Each policy can have one or more rules, all of which can be active simultaneously. Bir bilgisayar yalnızca bir etkin IPSec ilkesinin atanabilir adresindeki saati verildiğinde.A computer can be assigned only one active IPsec policy at given time. Ancak, IPSec ilkesi içinde farklı durumlarda büyütülmesine harcanabilir birden fazla eylem tanımlayabilirsiniz.However, within the IPsec policy, you can define multiple actions that may be taken in different situations. Her bir IPSec kuralları kümesi, kuralın geçerli olduğu ağ trafiği türü etkileyen bir filtre listesi ile ilişkilendirilir.Each set of IPsec rules is associated with a filter list that affects the type of network traffic to which the rule applies.

  • Filtre listeleri: filtre listeleri, bir veya daha fazla filtre paketidir.Filter lists: Filter lists are bundle of one or more filters. Bir liste, birden çok filtre içerebilir.One list can contain multiple filters. Filtre iletişim izin, güvenliği veya IP adres aralıkları, protokolleri veya hatta belirli protokolü bağlantı noktasını göre engellenen tanımlar.Filter defines if the communication is allowed, secured, or blocked, according to the IP address ranges, protocols, or even specific protocol ports. Her filtre, belirli bir koşul kümesini eşleşir; Örneğin, belirli bir alt ağdan belirli bir bilgisayar üzerinde belirli hedef bağlantı noktasına gönderilen paketler.Each filter matches a particular set of conditions; for example, packets sent from a particular subnet to a particular computer on a specific destination port. Ağ koşulları, bir veya daha fazla bu filtreler eşleştiğinde, filtrenin etkinleştirilir.When network conditions match one or more of those filters, the filter list is activated. Her filtre, belirli bir filtre listesi içinde tanımlanır.Each filter is defined inside a specific filter list. Filtreler, filtre listeleri arasında paylaşılamaz.Filters can't be shared between filter lists. Ancak, belirli filtresi listesi, birden fazla IPSec ilkelerine eklenebilir.However, a given filter list can be incorporated into several IPsec policies.

  • Filtre eylemleri: bir dizi güvenlik algoritmalar, protokolleri, bir güvenlik yöntemi tanımlar ve anahtar bir bilgisayar IKE görüşmelerinde sunar.Filter actions: A security method defines a set of security algorithms, protocols, and key a computer offers during IKE negotiations. Filtre, güvenlik yöntemleri, tercih sırasına göre sıralanmış listesini eylemlerdir.Filter actions are lists of security methods, ranked in order of preference. Bir bilgisayarı bir IPSec oturumu belirleyici, kabul veya filtre Eylemler listesinde depolanan güvenlik ayarına göre teklifler gönderir.When a computer negotiates an IPsec session, it accepts or sends proposals based on the security setting stored in filter actions list.

  • Güvenlik kuralları: belirleyen kuralları nasıl ve ne zaman bir IPSec ilkesi iletişimi korur.Security rules: Rules govern how and when an IPsec policy protects communication. Kullandığı filtresi listesi ve filtre eylemlerini IPSec bağlantısı oluşturmak için bir IPSec kuralı oluşturmak için.It uses filter list and filter actions to create an IPsec rule to build the IPsec connection. Her ilke, bunların tümü aynı anda etkin olabilir, bir veya daha fazla kural bulunabilir.Each policy can have one or more rules, all of which can be active simultaneously. Her kural, IP filtreleri ve bu filtre listesi ile eşleşmeyi üzerinde gerçekleşmesi güvenlik eylemleri koleksiyonunu listesini içerir:Each rule contains a list of IP filters and a collection of security actions that take place upon a match with that filter list:

    • IP filtresi eylemleriIP Filter Actions
    • Kimlik doğrulama yöntemleriAuthentication methods
    • IP tünel ayarlarıIP tunnel settings
    • Bağlantı türleriConnection types

55

Başlamadan önceBefore you begin

Aşağıdaki önkoşulları karşıladığından emin olun:Ensure that you meet the following prerequisites:

  • Grup İlkesi ayarlarını uygulamak için kullanabileceğiniz çalışan bir Active Directory yapılandırması olmalıdır.You must have a functioning Active Directory configuration that you can use to implement Group Policy settings. GPO'ları hakkında daha fazla bilgi için bkz: Grup İlkesi nesneleri.For more information about GPOs, see Group Policy Objects.

  • Etkin bir ExpressRoute bağlantı hattınızın olması gerekir.You must have an active ExpressRoute circuit.

    • ExpressRoute devresi oluşturma hakkında daha fazla bilgi için bkz: ExpressRoute devresi oluşturma.For information about creating an ExpressRoute circuit, see Create an ExpressRoute circuit.
    • Bağlantı sağlayıcınız tarafından bağlantı hattının etkinleştirildiğinden emin olun.Verify that the circuit is enabled by your connectivity provider.
    • Bağlantı hattınız için yapılandırılmış Azure özel eşleme sahip olduğunuzu doğrulayın.Verify that you have Azure private peering configured for your circuit. Bkz: yönlendirmeyi yapılandırma makale için yönlendirme yönergeleri.See the configure routing article for routing instructions.
    • Bir sanal ağ ile oluşturulan ve tam olarak sağlanan sanal ağ geçidi sahip olduğunuzu doğrulayın.Verify that you have a VNet and a virtual network gateway created and fully provisioned. Yönergelerini izleyin ExpressRoute için sanal ağ geçidi oluşturma.Follow the instructions to create a virtual network gateway for ExpressRoute. ExpressRoute için sanal ağ geçidi, GatewayType 'ExpressRoute' VPN'değil kullanır.A virtual network gateway for ExpressRoute uses the GatewayType 'ExpressRoute', not VPN.
  • ExpressRoute sanal ağ geçidi ExpressRoute işlem hattına bağlı olması gerekir.The ExpressRoute virtual network gateway must be connected to the ExpressRoute circuit. Daha fazla bilgi için bir ExpressRoute bağlantı hattına bir VNet bağlama.For more information, see Connect a VNet to an ExpressRoute circuit.

  • Azure Windows Vm'leri bir Vnet'e dağıtıldığını doğrulayın.Verify that the Azure Windows VMs are deployed to the VNet.

  • Şirket içi ana bilgisayarlar ve Azure Vm'leri arasında bağlantı olduğundan emin olun.Verify that there is connectivity between the on-premises hosts and the Azure VMs.

  • Azure Windows VM ve şirket içi ana bilgisayarlarına düzgün adlarını çözümlemek için DNS kullanabilir olduğundan emin olun.Verify that the Azure Windows VMs and the on-premises hosts are able to use DNS to properly resolve names.

İş akışıWorkflow

  1. Bir GPO oluşturun ve OU'ya ilişkilendirin.Create a GPO and associate it to the OU.
  2. Bir IPSec tanımlamak filtre eylemi.Define an IPsec Filter Action.
  3. Bir IPSec tanımlamak filtre listesi.Define an IPsec Filter List.
  4. IPSec ilkesi ile oluşturmak güvenlik kuralları.Create an IPsec Policy with Security Rules.
  5. IPSec GPO OU'ya atayın.Assign the IPsec GPO to the OU.

Örnek değerlerExample values

  • Etki alanı adı: ipsectest.comDomain Name: ipsectest.com

  • OU: IPSecOUOU: IPSecOU

  • Şirket içi Windows bilgisayar: konak1On-premises Windows computer: host1

  • Azure Windows sanal makineleri: vm1, vm2Azure Windows VMs: vm1, vm2

1. bir GPO oluşturun1. Create a GPO

  1. Bir kuruluş birimine bağlı yeni bir GPO oluşturmak için Grup İlkesi Yönetimi ek bileşenini açın ve GPO bağlanacak OU'yu bulun.To create a new GPO linked to an OU, open the Group Policy Management snap-in and locate the OU to which the GPO will be linked. Örnekte, OU adlı IPSecOU.In the example, the OU is named IPSecOU.

    99

  2. Grup İlkesi Yönetimi ek bileşeninde, OU seçin ve sağ tıklayın.In the Group Policy Management snap-in, select the OU, and right-click. Bulunan açılır menüye tıklayarak "bu etki alanında GPO oluştur ve buraya bağla … ".In the dropdown, click "Create a GPO in this domain, and Link it here…".

    1010

  3. GPO, kolay, daha sonra bulabilmesi için sezgisel bir adı.Name the GPO an intuitive name so that you can easily locate it later. Tıklayın Tamam oluşturmak ve GPO'yu bağlayın.Click OK to create and link the GPO.

    1111

GPO OU'ya uygulamak için GPO yalnızca kuruluş bağlanmalıdır değil, ancak bağlantı etkinleştirilmiş olması da gerekir.To apply the GPO to the OU, the GPO must not only be linked to the OU, but the link must be also enabled.

  1. Oluşturduğunuz GPO'ya sağ tıklayın ve seçin bulun Düzenle açılır listeden.Locate the GPO that you created, right-click, and select Edit from the dropdown.

  2. GPO OU'ya uygulamak için seçin bağlantı etkin.To apply the GPO to the OU, select Link Enabled.

    1212

3. IP filtre eylemini tanımlayın3. Define the IP filter action

  1. Açılan listeden, sağ IP güvenlik ilkesi Active Directory üzerindeve ardından yönetme IP filtresi listelerini ve filtre eylemler... .From the drop-down, right-click IP Security Policy on Active Directory, and then click Manage IP filter lists and filter actions....

    1515

  2. Üzerinde "Yönet filtre eylemleri" sekmesini tıklatın, Ekle.On the "Manage filter Actions" tab, click Add.

    1616

  3. Üzerinde IP Güvenlik filtreleme eylemini Sihirbazı, tıklayın sonraki.On the IP Security Filter Action wizard, click Next.

    1717

  4. Böylece daha sonra bulabilmeniz filtreleme eylemini kullanımı kolay adı.Name the filter action an intuitive name so that you can find it later. Bu örnekte filtreleme eylemini adlı myEncryption.In this example, the filter action is named myEncryption. Ayrıca, bir açıklama da ekleyebilirsiniz.You can also add a description. Ardından İleri'ye tıklayın.Then, click Next.

    1818

  5. Güvenlik anlaşması başka bir bilgisayarla IPSec kurulamıyorsa davranışı tanımlamanızı sağlar.Negotiate security lets you define the behavior if IPsec can't be established with another computer. Seçin güvenlik anlaşması, ardından sonraki.Select Negotiate security, then click Next.

    1919

  6. Üzerinde IPSec desteği olmayan bilgisayarlarla Communicating sayfasında iletişime izin verme, ardından sonraki.On the Communicating with computers that do not support IPsec page, select Do not allow unsecured communication, then click Next.

    2020

  7. Üzerinde IP trafiğini ve güvenlik sayfasında özel, ardından ayarları... .On the IP Traffic and Security page, select Custom, then click Settings....

    2121

  8. Üzerinde özel güvenlik yöntemi ayarları sayfasında veri bütünlüğü ve şifreleme (ESP): SHA1, 3DES.On the Custom Security Method Settings page, select Data integrity and encryption (ESP): SHA1, 3DES. ' A tıklayarak Tamam.Then, click OK.

    2222

  9. Üzerinde filtre eylemleri yönetme sayfasında, gördüğünüz, myEncryption filtresi başarıyla eklendi.On the Manage Filter Actions page, you can see that the myEncryption filter was successfully added. Kapat’a tıklayın.Click Close.

    2323

4. bir IP filtre listesi tanımlayın4. Define an IP filter list

Hedef bağlantı noktası 8080'ile şifrelenmiş HTTP trafik belirten bir filtre listesi oluşturun.Create a filter list that specifies encrypted HTTP traffic with destination port 8080.

  1. Hangi trafik türlerinin şifrelenmesi yapabilmek için kullanmak bir IP filtresi listesi.To qualify which types of traffic must be encrypted, use an IP filter list. İçinde IP Filtresi Listelerini Yönet sekmesinde Ekle yeni IP filtre listesi eklemek için.In the Manage IP Filter Lists tab, click Add to add a new IP filter list.

    2424

  2. İçinde adı: alanında, kendi IP filtresi listesi için bir ad yazın.In the Name: field, type a name for your IP filter list. Örneğin, azure şirket içi HTTP8080.For example, azure-onpremises-HTTP8080. ' A tıklayarak Ekle.Then, click Add.

    2525

  3. Üzerinde IP Filtresi açıklaması ve Yansımalı özelliği sayfasında Yansımalı.On the IP Filter Description and Mirrored property page, select Mirrored. Yansıtma ayarı için iki yönlü iletişim sağlayan her iki yönde de giden paketlerin eşleşir.The mirrored setting matches packets going in both directions, which allows for two-way communication. Ardından İleri'ye tıklayın.Then click Next.

    2626

  4. Üzerinde IP trafiğini kaynak sayfasında gelen kaynak adres: açılır listesinde, seçin belirli bir IP adresi veya alt ağ.On the IP Traffic Source page, from the Source address: dropdown, choose A specific IP Address or Subnet.

    2727

  5. Kaynak adresi belirtin IP adresinin veya alt ağ: IP trafiğinin, ardından sonraki.Specify the source address IP Address or Subnet: of the IP traffic, then click Next.

    2828

  6. Belirtin hedef adresi: IP adresinin veya alt ağ.Specify the Destination address: IP Address or Subnet. Ardından İleri'ye tıklayın.Then, click Next.

    2929

  7. Üzerinde IP protokol türü sayfasında TCP.On the IP Protocol Type page, select TCP. Ardından İleri'ye tıklayın.Then, click Next.

    3030

  8. Üzerinde IP protokolü bağlantı noktasını sayfasında herhangi bir bağlantı noktasından ve Bu bağlantı noktası: .On the IP Protocol Port page, select From any port and To this port:. Tür 8080 metin kutusuna.Type 8080 in the text box. Bu ayarlar, yalnızca HTTP trafiğini hedef bağlantı noktası 8080 üzerinde şifreleneceğini belirtir.These settings specify only the HTTP traffic on destination port 8080 will be encrypted. Ardından İleri'ye tıklayın.Then, click Next.

    3131

  9. IP filtre listesi görüntüleyin.View the IP filter list. IP filtre listesi yapılandırmasını azure şirket içi HTTP8080 aşağıdaki ölçütleri ile eşleşen tüm trafik için şifrelemeyi tetikleyen:The configuration of the IP Filter List azure-onpremises-HTTP8080 triggers encryption for all traffic that matches the following criteria:

    • 10.0.1.0/24 (Azure Subnet2) herhangi bir kaynak adresiAny source address in 10.0.1.0/24 (Azure Subnet2)
    • 10.2.27.0/25 (şirket içi alt ağ) herhangi bir hedef adresiAny destination address in 10.2.27.0/25 (on-premises subnet)
    • TCP ProtokolüTCP protocol
    • Hedef bağlantı noktası 8080Destination port 8080

    3232

5. IP filtre listesini düzenleyin5. Edit the IP filter list

Aynı türde (Azure VM şirket içi konaktan) ters yönde trafiği şifrelemek için ikinci bir IP Filtresi gerekir.To encrypt the same type of traffic in opposite direction (from the on-premises host to the Azure VM) you need a second IP filter. Yeni Filtre ayarlama işlemi ilk IP filtre ayarlamak için kullanılan aynı işlemidir.The process of setting up of the new filter is the same process you used to set up the first IP filter. Tek fark, kaynak alt ağ ve hedef alt ağ vardır.The only differences are the source subnet and destination subnet.

  1. IP filtre listesine yeni bir IP filtre eklemek için seçin Düzenle.To add a new IP filter to the IP Filter List, select Edit.

    3333

  2. Üzerinde IP filtresi listesi sayfasında Ekle.On the IP Filter List page, click Add.

    3434

  3. Aşağıdaki örnekte ayarları kullanarak bir ikinci IP filtresini oluşturun:Create a second IP filter using the settings in the following example:

    3535

  4. İkinci IP filtresini oluşturduktan sonra IP filtresi listesi şöyle görünür:After you create the second IP filter, the IP filter list will look like this:

    3636

Şifreleme bir şirket içi konumunuz ve mevcut IP filtresi listesi, değiştirme yerine bir uygulamayı korumak için Azure bir alt ağ arasında gerekiyorsa, bunun yerine yeni bir IP filtre listesi ekleyebilirsiniz.If encryption is required between an on-premises location and an Azure subnet to protect an application, instead of modifying the existing IP filter list, you can add a new IP filter list instead. 2 IP ilişkilendirme bırakıldığına aynı IPSec ilkesi sağlar daha iyi esneklik belirli bir IP filtre listesi değiştirildiğinde veya diğer IP filtresi listeleri etkilemeden herhangi bir zamanda kaldırıldı.Associating 2 IP filter lists to the same IPsec policy provides better flexibility because a specific IP filter list can be modified or removed at any time without impacting the other IP filter lists.

6. IPSec güvenlik ilkesi oluşturma6. Create an IPsec security policy

IPSec ilkesi ile güvenlik kuralları oluşturun.Create an IPsec policy with security rules.

  1. Seçin Active Directory'de IPSecurity ilkeleri OU ile ilişkili.Select the IPSecurity Policies on Active directory that is associated with the OU. Sağ tıklatın ve seçin IP Güvenlik İlkesi Oluştur.Right-click, and select Create IP Security Policy.

    3737

  2. Güvenlik İlkesi adı.Name the security policy. Örneğin, İlkesi-azure-şirket içi.For example, policy-azure-onpremises. Ardından İleri'ye tıklayın.Then, click Next.

    3838

  3. Tıklayın sonraki onay kutusunu seçmeden.Click Next without selecting the checkbox.

    3939

  4. Doğrulayın özelliklerini düzenleme onay kutusu seçilidir ve ardından son.Verify that the Edit properties checkbox is selected, and then click Finish.

    4040

7. IPSec güvenlik ilkesini düzenleyin7. Edit the IPsec security policy

IPSec ilkesi için ekleme IP filtresi listesi ve filtreleme eylemini önceden yapılandırılmış.Add to the IPsec policy the IP Filter List and Filter Action that you previously configured.

  1. HTTP ilkeye özellikleri kuralları sekmesinde Ekle.On the HTTP policy Properties Rules tab, click Add.

    4141

  2. Hoş Geldiniz sayfasında tıklayın sonraki.On the Welcome page, click Next.

    4242

  3. Bir kural IPSec modunu tanımlayan seçeneği sunar: tünel modu veya aktarım modu.A rule provides the option to define the IPsec mode: tunnel mode or transport mode.

    • Tünel modundaysa, özgün paketin IP üst kümesi tarafından kapsüllenir.In tunnel mode, the original packet is encapsulated by a set of IP headers. Tünel modu, özgün paketin IP üst şifreleyerek iç yönlendirme bilgilerini korur.Tunnel mode protects the internal routing information by encrypting the IP header of the original packet. Tünel modu, ağ geçitleri siteden siteye VPN senaryoları arasında yaygın olarak uygulanır.Tunnel mode is widely implemented between gateways in site-to-site VPN scenarios. Konaklar arasında uçtan uca şifreleme için kullanılan durum çoğunu tünel modu bileşenidir.Tunnel mode is in most of cases used for end-to-end encryption between hosts.

    • Yalnızca yükü ve tanıtım ESP taşıma modu şifreler; özgün paketin IP üst şifreli değil.Transport mode encrypts only the payload and ESP trailer; the IP header of the original packet isn't encrypted. Aktarım modunda, IP kaynak ve paketlerin IP hedef değiştirilmez.In transport mode, the IP source and IP destination of the packets are unchanged.

    Seçin bu kural bir tünel belirtmiyorve ardından sonraki.Select This rule does not specify a tunnel, and then click Next.

    4343

  4. Ağ türü tanımlayan ağ güvenlik ilkesi ile bağlantı ilişkilendirir.Network Type defines which network connection associates with the security policy. Seçin tüm ağ bağlantılarıve ardından sonraki.Select All network connections, and then click Next.

    4444

  5. Daha önce oluşturduğunuz IP filtresi listesi seçin azure şirket içi HTTP8080ve ardından sonraki.Select the IP filter list that you created previously, azure-onpremises-HTTP8080, and then click Next.

    4545

  6. Varolan bir filtre eylemini seçin myEncryption daha önce oluşturduğunuz.Select the existing Filter Action myEncryption that you created previously.

    4646

  7. Windows kimlik doğrulama dört farklı türlerini destekler: Kerberos, sertifikaları, NTLMv2 ve anahtarı'önceden paylaşılan.Windows supports four distinct types of authentications: Kerberos, certificates, NTLMv2, and pre-shared key. Etki alanına katılmış konaklarla çalışıyoruz çünkü seçin varsayılan Active Directory (Kerberos V5 protokolü) ve ardından sonraki.Because we are working with domain-joined hosts, select Active Directory default (Kerberos V5 protocol), and then click Next.

    4747

  8. Yeni ilke güvenlik kuralı oluşturur: azure şirket içi HTTP8080.The new policy creates the security rule: azure-onpremises-HTTP8080. OK (Tamam) düğmesine tıklayın.Click OK.

    4848

Hedef bağlantı noktası 8080 IPSec aktarım modu kullanmak için tüm HTTP bağlantılarda IPSec ilkesi gerektirir.The IPsec policy requires all HTTP connections on the destination port 8080 to use IPsec transport mode. Düz metin Protokolü HTTP olduğu için etkin güvenlik ilkesine sahip veriler, ExpressRoute özel eşlemesi üzerinden aktarıldığında şifrelenir sağlar.Because HTTP is a clear text protocol, having the security policy enabled ensures data is encrypted when is transferred through the ExpressRoute private peering. IP güvenlik ilkesi Active Directory için daha Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nı yapılandırmak için daha karmaşık olmakla birlikte daha fazla özelleştirme IPSec bağlantısı ile ilgili izin vermiyor.IP Security policy for Active Directory is more complex to configure than Windows Firewall with Advanced Security, but it does allow for more customization of the IPsec connection.

8. IPSec GPO 'sunu OU 'ya atayın8. Assign the IPsec GPO to the OU

  1. İlke görüntüleyin.View the policy. Güvenlik grubu ilkesi tanımlı, ancak henüz atanmadı.The security group policy is defined, but not yet assigned.

    4949

  2. Kuruluş güvenlik Grup İlkesi atamak için IPSecOU, Güvenlik İlkesi'ne sağ tıklayın ve seçtiğiniz atama.To assign the security group policy to the OU IPSecOU, right-click the security policy and chose Assign. Her bilgisayar tht ait olduğu kuruluş atanmış güvenlik Grup İlkesi gerekir.Every computer tht belongs to the OU will have the security group policy assigned.

    5050

Onay trafiği şifrelemeCheck traffic encryption

GPO uygulandı OU'SUNDA şifreleme görmek için tüm Azure sanal makinelerinde ve konak1 IIS yükleyin.To check out the encryption GPO applied on the OU, install IIS on all Azure VMs and in the host1. Her IIS, 8080 bağlantı noktası HTTP isteklerine yanıt özelleştirilir.Every IIS is customized to answer to HTTP requests on port 8080. Şifreleme doğrulamak için bir OU'daki tüm bilgisayarlarda ağ algılayıcı (gibi Wireshark) yükleyebilirsiniz.To verify encryption, you can install a network sniffer (like Wireshark) in all computers in the OU. Bir powershell betiği, 8080 numaralı bağlantı noktasındaki HTTP istekleri oluşturmak için bir HTTP istemcisi olarak çalışır:A powershell script works as an HTTP client to generate HTTP requests on port 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Aşağıdaki ağ yakalama yalnızca şifrelenmiş trafik eşleşecek şekilde filtre ESP ile şirket içi konak1 için sonuçları görüntülemek gösterir:The following network capture shows the results for on-premises host1 with display filter ESP to match only the encrypted traffic:

5151

Powershell komut dosyası üzerinde-premisies (HTTP istemci) çalıştırıyorsanız, Azure sanal ağ yakalama benzer bir izleme gösterir.If you run the powershell script on-premisies (HTTP client), the network capture in the Azure VM shows a similar trace.

Sonraki adımlarNext steps

ExpressRoute hakkında daha fazla bilgi için, bkz. ExpressRoute SSS.For more information about ExpressRoute, see the ExpressRoute FAQ.