快连VPN:速度和安全性最佳的VPN服务
在本文中,我将向您展示如何架构一个Azure防火墙部署,其中一个集中式防火墙将检查通过VPN连接流动的流量,然后再到达Azure虚拟网络或返回本地网络。
设计概念
该设计的前提是一个简单且可能熟悉的概念:您在Azure虚拟网络中部署的“虚拟数据中心”之外的任何内容都不被信任——这包括通过VPN(或ExpressRoute)连接的办公室网络。
设计概述
该设计将包含一个中心虚拟网络,承载共享服务。在本例中,共享服务将包括:
- Azure防火墙
- 与本地网络连接的VPN网关
来自办公室的所有流量将通过VPN连接路由到Azure防火墙,然后才能转发到托管在辐射虚拟网络中的应用程序。来自应用程序的数据到办公室网络将通过Azure防火墙路由,然后通过网关在VPN连接中隧道传输。
中心虚拟网络
这是一个相对简单的虚拟网络,包含两个子网:
- AzureFirewallSubnet:这是托管Azure防火墙所必需的。防火墙有一个公共IP地址,您应注意在NAT规则中的“目标地址”,以及一个内部IP地址,您应注意用于创建其他子网中的路由表。
- GatewaySubnet:该子网将托管VPN网关。
将创建一个路由表并与GatewaySubnet子网关联。路由到应用程序虚拟网络所使用的地址空间将通过Azure防火墙的内部IP地址路由。假设您将使用以下地址:
- 10.0.0.0/8,用于所有与该中心虚拟网络对等的Azure虚拟网络的地址空间。
- 10.0.1.4,作为Azure防火墙的内部IP地址。
您将创建的用户定义路由如下:
- 所有流量到10.0.0.0/8
- 下一跳类型为虚拟应用程序
- 虚拟设备地址为10.0.1.4
请注意,您为VPN连接使用的本地网络定义将创建系统管理的路由,用于将返回流量通过VPN隧道返回办公室。
VNet对等
每个应用程序或服务都部署在一个专用虚拟网络中,具有一个或多个子网。请记住,每个子网都有自己的路由表,默认情况下仅包含系统管理的路由。
VNet对等将用于共享中心虚拟网络的资源与包含应用程序的辐射虚拟网络。对等虚拟网络之间总是存在一对配置。在这种情况下:
- 中心 -> 辐射:启用允许网关传递
- 辐射 -> 中心:启用转发流量并使用远程网关
请注意,只有在中心网关完全部署并处于运行状态后,才能在辐射虚拟网络中启用使用远程网关。尝试在网关处于创建状态时配置此设置将失败,因为路由无法传播到网关。
应用程序虚拟网络
默认情况下,这些虚拟网络中的每个子网将尝试使用自动传播的系统路由:通过对等连接将所有流量发送到本地网络。然而,我们希望控制此路由,并强制流量从辐射子网通过Azure防火墙,然后再到达网关。
为此,您将为每个需要与本地网络通信的辐射子网创建并关联一个路由表资源。如果192.168.1.0/24是本地网络的地址空间,而10.0.1.4是Azure防火墙的IP地址,则这些表中的路由将是:
- 所有流量到192.168.1.0/24
- 下一跳类型为虚拟应用程序
- 虚拟设备地址为10.0.1.4
Azure防火墙
现在,Azure防火墙控制着本地网络与您在Azure虚拟网络中运行的应用程序之间的所有流量。您可以创建网络规则集合,以根据需要允许或拒绝(默认情况下所有流量都被拒绝)流量流动。
本地网络现在被视为外部的,并且不被您在Azure中的“虚拟数据中心”信任——这意味着您已经在用户设备网络中的恶意软件与云中的宝贵服务和数据之间创建了一种隔离形式。
相关文章
- 使用Azure ExpressRoute私有对等和Azure虚拟WAN私密连接Microsoft 365
分享文章
