Kullanıcı VPN istemcileri için bağlı olan sanal ağlarda bulunan kaynaklara güvenli erişimi yönetme

Bu makalede, sanal WAN ve Azure Güvenlik Duvarı kurallarının ve filtrelerinin Azure 'da Noktadan siteye Ikev2 'e veya açık VPN bağlantılarına yönelik güvenli erişimi yönetmek için nasıl kullanılacağı gösterilmektedir. Bu yapılandırma, Azure kaynaklarına erişimi kısıtlamak istediğiniz uzak kullanıcılarınız veya Azure 'da kaynaklarınızın güvenliğini sağlamak için yararlıdır.

Bu makaledeki adımlar, kullanıcı VPN istemcilerinin sanal hub 'a bağlı olan bir bağlı olan VNet 'teki belirli bir kaynağa (VM1) erişmesine izin vermek için aşağıdaki diyagramda mimariyi oluşturmanıza yardımcı olur (VM2). Bu mimari örneği temel bir kılavuz olarak kullanın.

Diyagram: güvenli sanal hub

Önkoşullar

  • Azure aboneliğiniz var. Azure aboneliğiniz yoksa ücretsiz bir hesap oluşturun.

  • Bağlanmak istediğiniz bir sanal ağınız var. Şirket içi ağlarınızın alt ağlarının hiçbirinin, bağlanmak istediğiniz sanal ağlarla çakışmadığından emin olun. Azure portal bir sanal ağ oluşturmak için hızlı başlangıç makalesine bakın.

  • Sanal ağınızda mevcut bir sanal ağ geçidi olmaması gerekir. Sanal ağınızda ağ geçitleri zaten varsa (VPN veya ExpressRoute), devam etmeden önce tüm ağ geçitlerini kaldırmanız gerekir. Bu yapılandırma, sanal ağların yalnızca sanal WAN hub ağ geçidine bağlanmasını gerektirir.

  • Sanal hub, sanal WAN tarafından oluşturulan ve kullanılan sanal bir ağ. Bu, sanal WAN ağınızın bir bölgedeki temel sayısıdır. Sanal hub bölgeniz için bir IP adresi aralığı alın. Hub için belirttiğiniz adres aralığı, bağlandığınız mevcut sanal ağlardan hiçbiriyle çakışamaz. Ayrıca, bağlandığınız şirket içi adres aralıklarıyla de çakışamaz. Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını tanımıyorsanız, sizin için bu ayrıntıları sağlayabilecek biriyle koordine edebilirsiniz.

  • Kullanmak istediğiniz kimlik doğrulama yapılandırması için kullanılabilir değerler vardır. Örneğin, bir RADIUS sunucusu, Azure Active Directory kimlik doğrulaması veya sertifika oluşturma ve dışarı aktarma.

Sanal WAN oluşturma

Bir tarayıcıdan Azure portalına gidin ve Azure hesabınızla oturum açın.

  1. Portalda + kaynak oluştur' u seçin. Arama kutusuna sanal WAN yazın ve ENTER' u seçin.

  2. Sonuçlardan sanal WAN ' ı seçin. Sanal WAN sayfasında, Oluştur ' u seçerek WAN sayfası oluştur sayfasını açın.

  3. WAN oluştur sayfasında, temel bilgiler sekmesinde aşağıdaki alanları girin:

    Ekran görüntüsü, temel bilgiler sekmesi seçiliyken WAN oluştur bölmesini gösterir.

    • Abonelik: Kullanmak istediğiniz aboneliği seçin.
    • Kaynak grubu -yeni oluştur veya var olanı kullan.
    • Kaynak grubu konumu -açılan listeden bir kaynak konumu seçin. WAN, global bir kaynaktır ve belirli bir bölgeyle sınırlı değildir. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
    • Ad -WAN 'nizi çağırmak istediğiniz adı yazın.
    • Tür -temel veya standart. Standart' ı seçin. Temel VWAN ' ı seçerseniz, temel Vwan 'ların bağlantı türünü siteden siteye sınırlayan temel hub 'ları içerebileceğini anlayın.
  4. Alanları doldurmayı tamamladıktan sonra, gözden geçir + oluştur' u seçin.

  5. Doğrulama başarılı olduktan sonra, sanal WAN oluşturmak için Oluştur ' u seçin.

P2S yapılandırma parametrelerini tanımlayın

Noktadan siteye (P2S) yapılandırması, uzak istemcileri bağlamaya yönelik parametreleri tanımlar. Bu bölüm, P2S yapılandırma parametreleri tanımlamanıza yardımcı olur ve ardından VPN istemci profili için kullanılacak yapılandırmayı oluşturur. İzleyeceğiniz yönergeler, kullanmak istediğiniz kimlik doğrulama yöntemine bağlıdır.

Kimlik doğrulama yöntemleri

Kimlik doğrulama yöntemini seçerken üç seçeneğiniz vardır. Her yöntemin belirli gereksinimleri vardır. Aşağıdaki yöntemlerden birini seçin ve ardından adımları uygulayın.

  • Azure Active Directory kimlik doğrulaması: Aşağıdakileri edinin:

    • Azure AD kiracınızda kayıtlı Azure VPN kurumsal uygulamasının uygulama kimliği .
    • Veren. Örnek: https://sts.windows.net/your-Directory-ID.
    • Azure AD kiracısı. Örnek: https://login.microsoftonline.com/your-Directory-ID.
  • RADIUS tabanlı kimlik doğrulaması: RADIUS sunucusu IP 'sini, RADIUS sunucu gizli anahtarını ve sertifika bilgilerini alın.

  • Azure sertifikaları: Bu yapılandırma için sertifikalar gereklidir. Sertifika oluşturmanız veya edinmeniz gerekir. Her istemci için bir istemci sertifikası gereklidir. Ayrıca, kök sertifika bilgilerinin (ortak anahtar) yüklenmesi gerekir. Gerekli sertifikalar hakkında daha fazla bilgi için bkz. sertifikaları oluşturma ve dışarı aktarma.

Not

Bazı özellikler ve ayarlar Azure portal kullanıma alma sürecinizdeki bir işlemdir.

  1. Tüm kaynaklar ' a gidin ve oluşturduğunuz sanal WAN ' ı seçin, ardından sol taraftaki menüden Kullanıcı VPN yapılandırması ' nı seçin.

  2. Kullanıcı VPN yapılandırmaları sayfasında, sayfanın üst kısmındaki + Yeni Kullanıcı VPN yapılandırması oluştur sayfasını açmak için + Kullanıcı VPN yapılandırması oluştur ' u seçin.

    Kullanıcı VPN yapılandırması sayfasının ekran görüntüsü.

  3. Temel bilgiler sekmesinde, örnek ayrıntıları' nın altında, VPN yapılandırmanıza atamak istediğiniz adı girin.

  4. Tünel türü için, açılan listeden istediğiniz tünel türünü seçin. Tünel türü seçenekleri şunlardır: ıKEV2 VPN, OpenVPN ve OpenVPN ve IKEv2.

  5. Seçtiğiniz tünel türüne karşılık gelen aşağıdaki adımları kullanın. Tüm değerler belirtilmişse, yapılandırmayı oluşturmak için gözden geçir + oluştur' a ve ardından Oluştur ' a tıklayın.

    IKEv2 VPN

    • Gereksinimler: Ikev2 tünel türünü seçtiğinizde, bir kimlik doğrulama yöntemi seçmenizi yönlendiren bir ileti görürsünüz. Ikev2 için yalnızca bir kimlik doğrulama yöntemi belirtebilirsiniz. Azure sertifikası, Azure Active Directory veya RADIUS tabanlı kimlik doğrulaması seçebilirsiniz.

    • IPSec özel parametreleri: IKE Aşama 1 ve ıKE aşama 2 parametrelerini özelleştirmek için IPsec anahtarını özel olarak değiştirin ve parametre değerlerini seçin. Özelleştirilebilir parametreler hakkında daha fazla bilgi için bkz. Özel IPSec makalesi.

      IPSec 'in özel olarak geçiş ekran görüntüsü.

    • Kimlik doğrulama: Kimlik doğrulama yöntemine ilerlemek için sayfanın alt kısmındaki İleri ' ye tıklayarak kullanmak istediğiniz kimlik doğrulama mekanizmasına gidin veya sayfanın en üstündeki uygun sekmeye tıklayın. Yöntemi seçmek için anahtarı Evet olarak değiştirin.

      Bu örnekte, RADIUS kimlik doğrulaması seçilidir. RADIUS tabanlı kimlik doğrulaması için, ikincil bir RADIUS sunucusu IP adresi ve sunucu parolası sağlayabilirsiniz.

      IKE 'nin ekran görüntüsü.

    OpenVPN

    • Gereksinimler: OpenVPN tüneli türünü seçtiğinizde, bir kimlik doğrulama mekanizması seçmenizi yönlendiren bir ileti görürsünüz. Tünel türü olarak OpenVPN seçilirse, birden çok kimlik doğrulama yöntemi belirtebilirsiniz. Herhangi bir Azure sertifikası, Azure Active Directory veya RADIUS tabanlı kimlik doğrulaması alt kümesini seçebilirsiniz. RADIUS tabanlı kimlik doğrulaması için, ikincil bir RADIUS sunucusu IP adresi ve sunucu parolası sağlayabilirsiniz.

    • Kimlik doğrulama: Kimlik doğrulama yöntemine ilerlemek için sayfanın alt kısmındaki İleri ' ye tıklayarak kullanmak istediğiniz kimlik doğrulama yöntemine gidin veya sayfanın en üstündeki uygun sekmeye tıklayın. Seçmek istediğiniz her yöntem için, anahtarı Evet olarak değiştirin ve uygun değerleri girin.

      Bu örnekte Azure Active Directory seçilidir.

      OpenVPN sayfasının ekran görüntüsü.

Hub ve ağ geçidini oluşturma

Bu bölümde, sanal hub 'ı Noktadan siteye ağ geçidi ile oluşturursunuz. Yapılandırırken, aşağıdaki örnek değerleri kullanabilirsiniz:

  • Hub özel IP adresi alanı: 10.0.0.0/24
  • İstemci adres havuzu: 10.5.0.0/16
  • Özel DNS sunucuları: En fazla 5 DNS sunucusu listeleyebilirsiniz
  1. Sanal WAN'nizin sayfasında, sol bölmede Hub'lar'ı seçin. Hub'lar sayfasında +Yeni Hub'ı seçin.

    yeni hub

  2. Sanal hub oluştur sayfasında aşağıdaki alanları doldurun:

    • Bölge - Sanal hub'ı dağıtmak istediğiniz bölgeyi seçin.
    • Ad - Sanal hub'ını aramak istediğiniz adı girin.
    • Hub özel adres alanı - Hub'ın CIDR notasyonunda adres aralığı.

    sanal merkez oluşturma

  3. Noktadan siteye sekmesinde aşağıdaki alanları doldurun:

    • Ağ geçidi ölçek birimleri - Kullanıcı VPN ağ geçidinin toplam kapasitesini temsil eder.
    • Bir önceki adımda oluşturduğunuz noktadan siteye yapılandırma.
    • uzak kullanıcılar için İstemci Adres Havuzu.
    • Özel DNS Sunucusu IP'i.

    noktadan siteye hub

  4. Gözden geçir ve oluştur’u seçin.

  5. Doğrulama başarılı sayfasında Oluştur'a tıklayın.

VPN istemcisi yapılandırma dosyaları oluştur

Bu bölümde, yapılandırma profili dosyalarını oluşturur ve indirirler. Bu dosyalar, istemci bilgisayarda yerel VPN istemcisini yapılandırmak için kullanılır. İstemci profili dosyalarının içeriği hakkında daha fazla bilgi için bkz. Noktadan siteye yapılandırma-sertifikalar.

  1. Sanal WAN 'nizin sayfasında, Kullanıcı VPN yapılandırması' nı seçin.

  2. Kullanıcı VPN yapılandırmaları sayfasında, bir yapılandırma seçin ve ardından sanal WAN Kullanıcı VPN profilini indir' i seçin. WAN düzeyi yapılandırmasını indirdiğinizde, yerleşik bir Traffic Manager tabanlı kullanıcı VPN profili alırsınız. Genel profiller veya hub tabanlı bir profil hakkında daha fazla bilgi için bkz. hub profilleri. Yük devretme senaryoları genel profille basitleştirilmiştir.

    Bir hub kullanılamaz durumdaysa, hizmet tarafından sunulan yerleşik trafik yönetimi, Noktadan siteye kullanıcılar için Azure kaynaklarına bağlantıyı (farklı bir hub aracılığıyla) sağlar. Hub 'a giderek, her zaman hub 'a özgü VPN yapılandırmasını indirebilirsiniz. Kullanıcı VPN (site üzerine gelin) altında, sanal hub Kullanıcı VPN profilini indirin.

  3. Sanal WAN Kullanıcı VPN profilini indir sayfasında, kimlik doğrulama türünü seçin ve profil oluştur ve indir' i seçin. Profil paketi oluşturulur ve yapılandırma ayarlarını içeren bir ZIP dosyası indirilir.

VPN istemcilerini yapılandırma

Uzak erişim istemcilerini yapılandırmak için indirilen profili kullanın. Her işletim sistemi için yordam farklıdır, sisteminize uygulanan yönergeleri izleyin.

Microsoft Windows

OpenVPN
  1. Resmi web sitesinden OpenVPN istemcisini indirip yükleyin.
  2. Ağ geçidinin VPN profilini indirin. Bu, Azure portal veya PowerShell 'de New-AzureRmVpnClientConfiguration Kullanıcı VPN yapılandırması sekmesinden yapılabilir.
  3. Profilin sıkıştırmasını açın. OpenVPN klasöründeki vpnconfig.ovpn yapılandırma dosyasını not defterinde açın.
  4. P2S istemci sertifikası bölümünü base64’teki P2S istemci sertifikası genel anahtarı ile doldurun. PEK biçimli bir sertifikada,. cer dosyasını açabilir ve sertifika üstbilgileri arasında Base64 anahtarı üzerinden kopyalama yapabilirsiniz. Adımlar için bkz . kodlanmış ortak anahtarı almak için sertifikayı dışarı aktarma.
  5. Özel anahtar bölümünü, base64’teki P2S istemci sertifikası özel anahtarı ile doldurun. Adımlar için bkz . özel anahtar ayıklama..
  6. Başka bir alanı değiştirmeyin. VPN’e bağlanmak için istemci girişinde doldurulmuş yapılandırmayı kullanın.
  7. vpnconfig.ovpn dosyasını C:\Program Files\OpenVPN\config klasörüne kopyalayın.
  8. Sistem tepsisindeki OpenVPN simgesine sağ tıklayın ve Bağlan' ı seçin.
IKEv2
  1. Windows bilgisayarın mimarisine karşılık gelen VPN istemcisi yapılandırma dosyalarını seçin. 64 bit işlemci mimarisi için 'VpnClientSetupAmd64' yükleyici paketini seçin. 32 bit işlemci mimarisi için 'VpnClientSetupX86' yükleyici paketini seçin.
  2. Yüklemek için pakete çift tıklayın. Bir SmartScreen açılır penceresi görürseniz daha fazla bilgi' yi ve yine de Çalıştır' ı seçin.
  3. İstemci bilgisayarda ağ ayarları ' na gidin ve VPN' yi seçin. VPN bağlantısı, bağlandığı sanal ağın adını gösterir.
  4. Bağlanmayı denemeden önce, istemci bilgisayara bir istemci sertifikası yüklediğinizi doğrulayın. Yerel Azure sertifika kimlik doğrulaması türü kullanılırken kimlik doğrulaması için bir istemci sertifikası gereklidir. Sertifika oluşturma hakkında daha fazla bilgi için bkz. sertifika oluşturma. İstemci sertifikasını nasıl yükleyeceğiniz hakkında bilgi için bkz. istemci sertifikası yüklemesi.

Bağlı olan VNet 'i bağlama

Bu bölümde, bağlı olan sanal ağını sanal WAN hub 'ına iliştirebilirsiniz.

Bu adımda, hub 'ınız ile VNet arasında bağlantı oluşturursunuz. Bu adımları bağlanmak istediğiniz tüm sanal ağlar için tekrarlayın.

  1. Sanal WAN 'nizin sayfasında, sanal ağ bağlantıları' nı seçin.

  2. Sanal ağ bağlantısı sayfasında + bağlantı ekle' yi seçin.

  3. Bağlantı ekle sayfasında aşağıdaki alanları doldurun:

    • Bağlantı adı: Bağlantınıza bir ad verin.
    • Hub'lar: Bu bağlantıyla ilişkilendirmek istediğiniz hub'ı seçin.
    • Abonelik: Aboneliği doğrulayın.
    • Sanal ağ: Bu hub'a bağlamak istediğiniz sanal ağı seçin. Sanal ağda önceden var olan bir sanal ağ geçidi bulunamaz.
  4. Bağlantıyı oluşturmak için Tamam'ı seçin.

Sanal makineler oluşturma

Bu bölümde, VNet 'iniz, VM1 ve VM2 ' de iki VM oluşturursunuz. Ağ diyagramında 10.18.0.4 ve 10.18.0.5 kullanırız. VM 'lerinizi yapılandırırken oluşturduğunuz sanal ağı (Ağ sekmesinde bulunur) seçtiğinizden emin olun. VM oluşturma adımları için bkz. hızlı başlangıç: VM oluşturma.

Sanal hub güvenliğini sağlama

Standart bir sanal hub, bağlı olan sanal ağlardaki kaynakları korumak için yerleşik güvenlik ilkelerine sahip değildir. Güvenli bir sanal hub, Azure 'da kaynaklarınızı korumak üzere gelen ve giden trafiği yönetmek için Azure Güvenlik Duvarı veya bir üçüncü taraf sağlayıcı kullanır.

Aşağıdaki makaleyi kullanarak hub 'ı güvenli bir hub 'a dönüştürün: bir sanal WAN hub 'ında Azure Güvenlik duvarını yapılandırma.

Trafiği yönetmek ve filtrelemek için kurallar oluşturma

Azure Güvenlik duvarının davranışını gösteren kurallar oluşturun. Hub 'ı güvenli hale getirerek, sanal hub 'ı girdiğiniz tüm paketlerin Azure kaynaklarınıza erişmeden önce güvenlik duvarı işlemeye tabi olduğundan emin veriyoruz.

Bu adımları tamamladıktan sonra, VPN kullanıcılarının 10.18.0.4 özel IP adresi ile VM 'ye erişmesine izin veren ancak özel IP adresi 10.18.0.5 olan VM 'ye erişim izni veren bir mimari oluşturmuş olursunuz.

  1. Azure portal, güvenlik duvarı Yöneticisi' ne gidin.

  2. Güvenlik altında Azure Güvenlik Duvarı ilkeleri' ni seçin.

  3. Azure Güvenlik Duvarı Ilkesi oluştur' u seçin.

  4. İlke ayrıntıları' nın altına bir ad yazın ve sanal hub 'ınızın dağıtıldığı bölgeyi seçin.

  5. İleri ' yi seçin: DNS ayarları (Önizleme).

  6. Sonraki: kurallar' ı seçin.

  7. Kurallar sekmesinde kural koleksiyonu Ekle' yi seçin.

  8. Koleksiyon için bir ad sağlayın. Türü olarak ayarlayın. 100 öncelik değerini ekleyin.

  9. Aşağıdaki örnekte gösterildiği gibi kural, kaynak türü, kaynak, protokol, hedef bağlantı noktası ve hedef türü adını girin. Ardından Ekle' yi seçin. Bu kural, VPN istemci havuzundaki herhangi bir IP adresinin 10.18.04 özel IP adresi olan VM 'ye erişmesini sağlar, ancak sanal hub 'a bağlı başka herhangi bir kaynak değildir. İstediğiniz mimari ve izin kurallarına uyacak şekilde istediğiniz kuralları oluşturun.

    Güvenlik duvarı kuralları

  10. İleri ' yi seçin: tehdit bilgileri.

  11. Ileri 'yi seçin : hub.

  12. Hub 'lar sekmesinde sanal hub 'ları ilişkilendir' i seçin.

  13. Daha önce oluşturduğunuz sanal hub 'ı seçin ve ardından Ekle' yi seçin.

  14. Gözden geçir ve oluştur’u seçin.

  15. Oluştur’u seçin.

Bu işlemin tamamlanması 5 dakika veya daha fazla sürebilir.

Azure Güvenlik Duvarı aracılığıyla trafiği yönlendirme

Bu bölümde, trafiğin Azure Güvenlik Duvarı üzerinden yönlendirildiğinden emin olmanız gerekir.

  1. Portalda, güvenlik duvarı Yöneticisi' nden güvenli sanal hub 'lar' ı seçin.
  2. Oluşturduğunuz sanal hub 'ı seçin.
  3. Ayarlar altında Güvenlik Yapılandırması' nı seçin.
  4. Özel trafik altında Azure Güvenlik Duvarı aracılığıyla gönder' i seçin.
  5. VNet bağlantısının ve şube bağlantısı özel trafiğinin Azure Güvenlik Duvarı tarafından güvenli olduğunu doğrulayın.
  6. Kaydet’i seçin.

Doğrulama

Güvenli hub 'ınızın kurulumunu doğrulayın.

  1. İstemci cihazınızdan VPN aracılığıyla güvenli sanal hub 'a bağlanın.
  2. 10.18.0.4 IP adresini istemcinizden ping yapın. Yanıt görmeniz gerekir.
  3. 10.18.0.5 IP adresini istemcinizden ping yapın. Yanıt görmeyebilirsiniz.

Dikkat edilmesi gerekenler

  • Güvenli sanal hub 'daki etkin rotalar tablosunun , güvenlik duvarı tarafından özel trafik için bir sonraki atlamaya sahip olduğundan emin olun. Etkin rotalar tablosuna erişmek için sanal hub kaynağınız ' ne gidin. Bağlantı altında, yönlendirme' yi seçin ve ardından geçerli rotalar' ı seçin. Buradan, varsayılan yol tablosunu seçin.
  • Kurallar Oluştur bölümünde kurallar oluşturduğunuza emin olun. Bu adımlar kaçırıldığında, oluşturduğunuz kurallar gerçekten hub ile ilişkilendirilmeyecektir ve yol tablosu ve paket akışı Azure Güvenlik duvarını kullanmaz.

Sonraki adımlar