У меня есть вопрос по этой теме: https://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sithttps ://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sit.
Описание:
У меня есть виртуальная сеть с настроенным VPN-шлюзом, который действует как концентратор и имеет пиринг с тремя другими виртуальными сетями, в которых размещаются мои ресурсы для производства, тестирования и разработки. В каждой из этих виртуальных сетей существуют определенные конечные точки, к которым локальное устройство должно иметь доступ (адреса являются лишь примерами):
Производство: 10.100.1.2 Тестирование: 10.100.2.2 Разработка: 10.100.3.2
Согласно первой теме, мне следует изменить правила NSG во всех трех виртуальных сетях. Однако я нашел другую тему: https://learn.microsoft.com/en-us/answers/questions/767869/site-to-site-vpn-subjects-to-nsg, в которой говорится, что после поступления трафика сети Azure через VPN-шлюз в виртуальной сети концентратора, он считается исходящим из самой сети Azure. Следовательно, мои правила NSG не будут работать должным образом, и локальное устройство получит доступ ко всем моим ресурсам.
Как правильно решить эту проблему?
Некоторым соединениям может потребоваться доступ ко всем ресурсам, некоторые должны быть ограничены. Не проще ли добавить некоторые правила брандмауэра, например, в виртуальную сеть концентратора?
Да, добавление правил брандмауэра в виртуальную сеть концентратора действительно может обеспечить централизованный и эффективный способ управления требованиями к доступу для подключений, поступающих из вашей локальной сети через VPN-шлюз.
Как ограничить локальный доступ к определенным конечным точкам в архитектуре распределенной виртуальной сети с помощью VPN типа «сеть-сеть»?
Чтобы ограничить локальный доступ к определенным устройствам в Azure VNet
, вы можете использовать несколько методов. Ниже перечислены наиболее эффективные методы:
Самый безопасный метод — использовать Azure Firewall
, хотя это может быть не самый экономичный вариант.
Второй подход заключается в использовании Network Security Groups
, который является экономически эффективным и easiest
способом.
Правило ГЯП
Если вы хотите заблокировать определенные конечные точки в виртуальной сети Azure из сети VPN, вы можете настроить правила группы сетевой безопасности. Вы можете указать правило NSG, указав в качестве источника VPN network range
, а в качестве места назначения — IP-адреса или подсети ресурсов Azure-connected
.
Конфигурация брандмауэра
Вы можете использовать Брандмауэр Azure в гибридной сети для ограничения трафика от VPN ranges
до Azure Vnet
.
Ссылки:
Фильтруйте сетевой трафик с помощью группы сетевой безопасности с помощью портала Azure
Как заблокировать сетевой трафик с помощью Azure Virtual Network Manager — портал Azure
Спасибо за такой подробный ответ! И последнее: с какими ресурсами мне следует связать правило брандмауэра/правила NSG? В случае с подсетью шлюза это невозможно, поэтому следует ли применять правила ко всем пиринговым виртуальным сетям?
Чтобы ограничить доступ виртуальной машины (ВМ) к VPN, вы можете добавить частный IP-адрес виртуальной машины в параметре назначения. Таким образом, если какой-либо пользователь попытается получить доступ к виртуальной машине через VPN, доступ будет заблокирован только для этой конкретной виртуальной машины.
Спасибо. И если есть примерно 2 устройства с 2 разными IP-адресами, которые я подключаю S2S к моей подсети шлюза. У одного должен быть доступ, у второго - нет, тогда я должен добавить одно разрешающее и одно запрещающее правило к виртуальной машине NSG, с которой осуществляется пиринг. VN, где установлен Гатвей?
Да, указание IP-адреса устройства, подключенного к VPN, в разделе источника заблокирует подключение с этого IP-адреса к назначенному ресурсу Azure в пункте назначения. Однако IP-адрес устройства изменится после отключения VPN.
Вы можете использовать конечные точки службы или частные конечные точки, чтобы ограничить доступ к определенным ресурсам в каждой виртуальной сети.