Rozwiązywanie problemów z zabezpieczeniami sieci

  • 9 min

Ustalenie przyczyny, dla której zapora aplikacji internetowej (WAF) blokuje pożądany ruch

Czasami żądania, które powinny przechodzić przez zaporę aplikacji internetowej (WAF), są blokowane.

Aby dostosować ścisłe przepisy Open Web Application Security Project (OWASP) do potrzeb aplikacji lub organizacji, zapora aplikacji internetowych (WAF) pomaga dostosować lub wyłączyć reguły albo utworzyć wyjątki, które mogą powodować problemy lub fałszywe alarmy. Odbywa się to na podstawie poszczególnych witryn i identyfikatorów URI. Oznacza to, że zmiany zasad będą miały wpływ tylko na określone witryny/identyfikatory URI i nie będą dotyczyć innych witryn, które mogą nie mieć tych samych problemów.

Poniższe artykuły pomogą Ci zrozumieć, jak działa WAF (zapora aplikacji internetowej) oraz jak funkcjonują jego reguły i dzienniki.

Zrozumienie dzienników zapory aplikacji internetowej

Dzienniki WAF działają jako zapis wszystkich ocenianych żądań, które są zgodne lub zablokowane. Jeśli zauważysz wynik fałszywie dodatni, wtedy gdy zapora sieciowa blokuje żądanie, którego nie powinna, możesz wykonać następujące czynności:

  1. Znajdź konkretne żądanie.

  2. Sprawdź dzienniki, aby znaleźć określony identyfikator URI, znacznik czasu lub identyfikator transakcji żądania.

  3. Napraw wyniki fałszywie dodatnie.

Wyświetlanie dzienników zapory aplikacji internetowej

Aby wyświetlić dzienniki WAF, wykonaj następujące czynności:

  1. W portalu Azure wybierz pozycję Wszystkie zasoby, a następnie wybierz zasady usługi Application Gateway WAF.

  2. Wybierz pozycję Dziennik aktywności.

  3. Wybierz poszczególne operacje, aby uzyskać więcej informacji.

  4. Dziennik aktywności można pobrać, wybierając pozycję Pobierz jako plik CSV.

  5. Aby przesłać strumieniowo zdarzenia dziennika aktywności do innej usługi, wybierz pozycję Eksportuj dzienniki aktywności.

Eksportuj dzienniki aktywności:

  1. Wybierz pozycję Dodaj ustawienie diagnostyczne.

  2. Wpisz nazwę ustawienia diagnostycznego.

  3. Wybierz odpowiednie kategorie dzienników, które mają być przesyłane strumieniowo w kategorii. Na przykład wybierz pozycję Zabezpieczenia, Zasady i Alert.

  4. Wybierz miejsce docelowe przesyłania strumieniowego w Szczegółach miejsca docelowego. Na przykład wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics.

  5. Wprowadź dodatkowe szczegóły miejsca docelowego. Na przykład odpowiednia subskrypcja i obszar roboczy Log Analytics.

  6. Wybierz pozycję Zapisz.

Tryb oceniania anomalii

Tryb oceniania anomalii jest używany przez firmę OWASP, aby zdecydować, czy blokować ruch. W trybie wykrywania anomalii ruch zgodny z dowolną regułą nie jest natychmiast blokowany, gdy zapora działa w trybie zapobiegania zagrożeniom. Reguły mają pewne kryterium: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Każda z nich ma skojarzona wartość liczbowa o nazwie Wynik anomalii. Wartość liczbowa wskazuje ważność żądania.

Aby uzyskać więcej informacji, sprawdź Tryb oceniania anomalii.

Naprawianie wyników fałszywie dodatnich

Aby naprawić wyniki fałszywie dodatnie i uniknąć problemów z zablokowanym ruchem, możesz użyć listy wykluczeń. Używanie listy wykluczeń ma zastosowanie tylko do określonej części żądania lub zestawu reguł, który jest wyłączony. Możesz wykluczyć treść, nagłówki lub pliki cookie dla określonego warunku, zamiast wykluczać całe żądanie. W środowisku ustawień globalnych określone wykluczenie ma zastosowanie do całego ruchu przechodzącego przez WAF.

Aby uzyskać więcej informacji na temat list wykluczeń, odnieś się do konfiguracji zapory aplikacji internetowej.

Aby skonfigurować listy wykluczeń przy użyciu witryny Azure Portal

  1. Przejdź do portalu WAF (zapory aplikacji internetowej).

  2. Wybierz pozycję Zarządzaj wykluczeniami w obszarze Reguły zarządzane.

Przykładowa lista wykluczeń:

Zrzut ekranu przedstawiający przykładową listę wykluczeń.

  • Wyłącz regułę: Wyłączenie reguły umożliwia traktowanie określonego warunku jako niezagrożenie, które w przeciwnym razie byłoby oznaczone jako złośliwe i zablokowane. W środowisku ustawień globalnych wyłączenie reguły dla całego WAF jest zagrożeniem i może osłabić bezpieczeństwo.

Aby wyłączyć grupy reguł lub określone reguły

  1. Przejdź do bramy aplikacji, a następnie wybierz pozycję Zapora aplikacji internetowej.

  2. Wybierz swoją politykę WAF.

  3. Wybierz pozycję Reguły zarządzane.

    Zrzut ekranu przedstawiający bramę zapory aplikacji internetowej.

  4. Wyszukaj reguły lub grupy reguł, które chcesz wyłączyć.

  5. Zaznacz pola wyboru dla reguł, które chcesz wyłączyć.

  6. Wybierz akcję w górnej części strony (Włącz/wyłącz) dla wybranych reguł.

  7. Wybierz pozycję Zapisz.

Narzędzie innej firmy o nazwie Fiddler może udostępniać dodatkowe informacje. Program Fiddler pomoże Ci:

  • Znajdowanie nazw atrybutów żądania: Przejrzyj poszczególne żądania i określ, jakie konkretne pola strony internetowej są wywoływane. Pomaga również wykluczyć niektóre pola z inspekcji przy użyciu list wykluczeń.

  • Znajdź nazwy nagłówków żądania: wyświetl nagłówki żądań i odpowiedzi wewnątrz narzędzi deweloperskich programu Chrome lub zobacz nagłówki żądania GET.

  • Znajdź nazwy plików cookies dla żądania: Aby wyświetlić pliki cookie, wybierz kartę Pliki Cookie w programie Fiddler.

Ograniczanie parametrów globalnych w celu wyeliminowania wyników fałszywie dodatnich

  • Wyłącz inspekcję treści żądania: Niektórym treściom, które nie stanowią zagrożenia dla Twojej aplikacji, można uniemożliwić ocenę przez WAF, ustawiając opcję Sprawdzanie treści żądania na wyłączone. W ten sposób tylko treść żądania nie jest sprawdzana. Nagłówki i pliki cookie będą nadal sprawdzane, chyba że znajdują się na liście wykluczeń.

    Zrzut ekranu przedstawiający zasady zapory aplikacji internetowej. Opcja Sprawdź treść żądania jest wyłączona.

  • Limity rozmiaru plików: Ryzyko ataku na serwery internetowe i aplikacje można zmniejszyć przez ograniczenie rozmiarów plików dla zapory aplikacji webowej. Zezwalanie na duże pliki zwiększa ryzyko wyczerpania serwera. Aby zapobiec atakom, zaleca się ograniczenie rozmiaru pliku do typowego przypadku aplikacji.

Uwaga / Notatka

Metryki zapory (tylko WAF_v1) Dla zapór aplikacji internetowej w wersji 1 następujące metryki są teraz dostępne w portalu:

  • Liczba zablokowanych żądań przez zaporę aplikacji internetowej — liczba zablokowanych żądań.
  • Liczba reguł, które zablokowały żądania w zaporze aplikacji internetowej — wszystkie dopasowane reguły, które spowodowały zablokowanie żądania.
  • Całkowity rozkład reguł zapory aplikacji internetowej — wszystkie reguły, które zostały dopasowane podczas oceny

Aby włączyć metryki, wybierz kartę Metryki w portalu i wybierz jedną z trzech metryk.

Określanie, która wersja protokołu TLS jest uruchomiona przez klienta

Jeśli klient korzysta z wersji protokołu Transport Layer Security (TLS), która jest niższa niż minimalna wymagana wersja, wszystkie wywołania usługi Azure Storage zakończy się niepowodzeniem. W związku z tym z punktu widzenia zabezpieczeń konto usługi Azure Storage może wymagać od klientów minimalnej wersji protokołu TLS do wysyłania żądań. Na przykład żądanie wysyłane przez klienta korzystającego z protokołu TLS 1.1 zakończy się niepowodzeniem, jeśli konto magazynu wymaga protokołu TLS 1.2.

W artykule Konfigurowanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla konta magazynu wyjaśniono, jak skonfigurować minimalną wersję protokołu TLS dla konta usługi Azure Storage, które może mieć wpływ na aplikacje klienckie.

Konfigurowanie wersji protokołu TLS klienta

W przypadku klienta wysłanie żądania z określoną wersją protokołu TLS jest możliwe tylko wtedy, gdy system operacyjny i program .NET Framework używany przez klienta obsługuje daną wersję.

Aby włączyć protokół TLS 1.2 w kliencie programu PowerShell:

# Set the TLS version used by the PowerShell client to TLS 1.2.

[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

$ctx = $storageAccount.Context

New-AzStorageContainer -Name "sample-container" -Context $ctx

Aby włączyć protokół TLS 1.2 w kliencie platformy .NET przy użyciu wersji 12 biblioteki klienta usługi Azure Storage:

public static async Task ConfigureTls12()

{

    // Enable TLS 1.2 before connecting to Azure Storage

    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.

    string connectionString = "";

    // Create a new container with Shared Key authorization.

    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");

    await containerClient.CreateIfNotExistsAsync();

}

Aby włączyć protokół TLS 1.2 w kliencie platformy .NET przy użyciu wersji 11 biblioteki klienta usługi Azure Storage:

static void EnableTls12()

{

    // Enable TLS 1.2 before connecting to Azure Storage

    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.

    string connectionString = "";

    // Connect to Azure Storage and create a new container.

    CloudStorageAccount storageAccount = CloudStorageAccount.Parse(connectionString);

    CloudBlobClient blobClient = storageAccount.CreateCloudBlobClient();

    CloudBlobContainer container = blobClient.GetContainerReference("sample-container");

    container.CreateIfNotExists();

}

Aby uzyskać więcej informacji, zobacz Obsługa protokołu TLS 1.2.

Uwaga / Notatka

Narzędzie Fiddler lub podobne narzędzie może pomóc w sprawdzeniu, czy określona wersja protokołu TLS została użyta przez klienta do wysłania żądania.

Połączenie sieci VPN typu punkt-lokacja (P2S) jest inicjowane przez pojedynczy punkt końcowy i jest przydatne, gdy chcesz nawiązać połączenie z siecią wirtualną z lokalizacji zdalnej. Połączenie punkt-do-sieci to lepsza opcja, jeśli masz tylko kilku klientów, którzy muszą nawiązać połączenie z VNet. Połączenia P2S nie wymagają urządzenia sieci VPN ani sieci publicznej ani adresu IP.

VPN typu P2S obsługuje protokół SSTP (Secure Socket Tunneling Protocol) i IKEv2. Możesz bezpiecznie połączyć różnych klientów z systemem Windows, Linux lub macOS z siecią wirtualną platformy Azure za pośrednictwem połączenia punkt-lokacja.

Diagram przedstawiający połączenie sieci VPN typu punkt-lokacja.

Generowanie certyfikatów

  • Generowanie certyfikatu głównego

    Najpierw uzyskaj klucz publiczny (plik .cer) dla certyfikatu głównego. Po utworzeniu certyfikatu głównego wyeksportuj certyfikat publiczny (a nie klucz prywatny). Następnie ten plik jest przekazywany na platformę Azure. Certyfikat główny działa jako zaufane źródło dla platformy Azure do połączenia P2S z siecią wirtualną. Istnieją dwa sposoby generowania certyfikatu głównego, certyfikatu przedsiębiorstwa lub certyfikatu z podpisem własnym. Aby utworzyć certyfikat główny z podpisem własnym, rozważ następujące kroki:

  1. Otwórz konsolę Windows PowerShell.

  2. Poniższy przykład tworzy certyfikat główny z podpisem własnym o nazwie "P2SRootCert", który jest automatycznie instalowany w folderze "Certificates-Current User\Personal\Certificates". Certyfikat można wyświetlić, otwierając plik certmgr.msc lub Zarządzaj certyfikatami użytkowników.

    Możesz zmodyfikować i uruchomić następujące polecenie:

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `

-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  3. Pozostaw otwartą konsolę programu PowerShell i wykonaj kolejne kroki, aby wygenerować certyfikat klienta.

    • Generowanie certyfikatów klienta

      Certyfikat klienta jest instalowany automatycznie na komputerze, na którym jest generowany na podstawie certyfikatu głównego z podpisem własnym. Aby zainstalować certyfikat klienta na innym komputerze klienckim, należy go wyeksportować jako plik pfx wraz z całym łańcuchem certyfikatów. Plik PFX będzie zawierać informacje o certyfikacie głównym wymagane do uwierzytelniania klienta. Istnieją dwie metody tworzenia certyfikatów klienta, certyfikatu przedsiębiorstwa lub certyfikatu głównego z podpisem własnym.

      Zaleca się wygenerowanie unikatowego certyfikatu dla każdego klienta zamiast używania tego samego certyfikatu. Jest to spowodowane tym, że jeśli chcesz odwołać określony certyfikat klienta, nie musisz generować i instalować nowego dla każdego klienta korzystającego z tego samego certyfikatu. Aby wygenerować certyfikat klienta, należy wziąć pod uwagę następujące kroki:

  4. Użyj następującego przykładu, jeśli sesja konsoli programu PowerShell jest nadal otwarta:

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" `

-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

  5. Jeśli jest to nowa sesja konsoli programu PowerShell, rozważ następujące kroki:

    • Zidentyfikuj certyfikat główny z podpisem własnym zainstalowany na komputerze. To polecenie cmdlet zwraca listę certyfikatów zainstalowanych na komputerze.
    Get-ChildItem -Path "Cert:\CurrentUser\My"

    1. Znajdź nazwę podmiotu z zwróconej listy, a następnie skopiuj odcisk palca znajdujący się obok niego do pliku tekstowego. W tym przypadku "P2SRootCert".

      Thumbprint                                Subject

----------                                -------

7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert

    2. Zadeklaruj zmienną dla certyfikatu głównego przy użyciu odcisku palca z poprzedniego kroku.

      $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"

    3. Zamień THUMBPRINT na odcisk palca certyfikatu głównego, z którego chcesz wygenerować certyfikat podrzędny.

      $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"

    4. W tym przykładzie jest generowany certyfikat klienta o nazwie "P2SChildCert". Wygenerowany certyfikat klienta jest automatycznie instalowany w folderze "Certyfikaty — bieżący użytkownik\osobiste\certyfikaty" na komputerze.

Możesz zmodyfikować i uruchomić następujące polecenie, aby wygenerować certyfikat klienta:

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" `

-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

Aby dowiedzieć się więcej o eksportowaniu certyfikatu głównego i certyfikatu klienta, zobacz Generowanie i eksportowanie certyfikatów dla połączeń sieci VPN użytkownika.

Aby skonfigurować połączenie typu punkt-lokacja przy użyciu certyfikatu platformy Azure, należy wykonać następujące czynności:

  1. Dodaj pulę adresów klienta sieci VPN.

  2. Określ typ tunelu i typ uwierzytelniania.

  3. Przekaż informacje o kluczu publicznym certyfikatu głównego.

  4. Zainstaluj wyeksportowany certyfikat klienta.

  5. Skonfiguruj ustawienia dla klientów sieci VPN.

  6. Nawiązywanie połączenia z platformą Azure.

Aby uzyskać szczegółowe instrukcje konfigurowania połączenia punkt-do-sieci przy użyciu certyfikatu platformy Azure, zobacz Łączenie się z siecią wirtualną przy użyciu VPN P2S i uwierzytelniania certyfikatem: portal — Azure VPN Gateway.

Aby sprawdzić, czy połączenie sieci VPN jest aktywne (klienci z systemem Windows), otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom polecenie ipconfig/all.

Aby nawiązać połączenie z maszyną wirtualną (klienci z systemem Windows):

  1. Zlokalizuj prywatny adres IP.

  2. Sprawdź, czy masz połączenie z siecią wirtualną.

  3. Otwórz okno Podłączanie pulpitu zdalnego, wpisując "RDP" lub "Podłączanie pulpitu zdalnego" w polu wyszukiwania na pasku zadań, a następnie wybierz pozycję Podłączanie pulpitu zdalnego. Możesz również otworzyć połączenie pulpitu zdalnego przy użyciu polecenia "mstsc" w programie PowerShell.

  4. W polu Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej. Wybierz pozycję Pokaż opcje , aby dostosować dodatkowe ustawienia, a następnie połącz.

Rozwiązywanie problemów z połączeniem

Jeśli masz problemy z nawiązaniem połączenia z maszyną wirtualną za pośrednictwem połączenia sieci VPN, przeczytaj następujące informacje:

  • Sprawdź, czy połączenie sieci VPN zakończyło się pomyślnie.

  • Upewnij się, że łączysz się z prywatnym adresem IP maszyny wirtualnej.

  • Jeśli możesz nawiązać połączenie z maszyną wirtualną przy użyciu prywatnego adresu IP, ale nie nazwy komputera, sprawdź konfigurację DNS.

  • Aby uzyskać więcej informacji na temat połączeń RDP, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.

  • Sprawdź, czy pakiet konfiguracji klienta sieci VPN został wygenerowany po określeniu adresów IP serwera DNS dla sieci wirtualnej. Jeśli adresy IP serwera DNS zostały zaktualizowane, wygeneruj i zainstaluj nowy pakiet konfiguracji klienta sieci VPN.

  • Upewnij się, że nie ma nakładających się przestrzeni adresowych. Jeśli na przykład adres IP znajduje się w zakresie adresów sieci wirtualnej (VNet), z którą nawiązujesz połączenie, lub w zakresie adresów puli adresów klienta VPN. Użyj polecenia "ipconfig", aby sprawdzić adres IPv4 przypisany do karty Ethernet na komputerze, z którego nawiązujesz połączenie.

Aby dodać zaufany certyfikat główny, zobacz Przekazywanie zaufanego certyfikatu głównego.

Aby usunąć zaufany certyfikat główny:

  1. Przejdź do strony konfiguracji połączenia punkt-sieć dla bramy sieci wirtualnej.

  2. W sekcji certyfikatu głównego strony znajdź certyfikat, który chcesz usunąć.

  3. Wybierz wielokropek obok certyfikatu, a następnie wybierz pozycję Usuń.

Odwoływanie certyfikatu klienta

Odwoływania certyfikatu klienta różni się od usuwania zaufanego certyfikatu głównego. Usunięcie zaufanego certyfikatu głównego .cer pliku z platformy Azure powoduje odwołanie wszystkich certyfikatów klienta wygenerowanych/uwierzytelnionych przez certyfikat główny. Odwoływanie certyfikatu klienta umożliwia kontynuowanie pracy innych certyfikatów skojarzonych z tym samym certyfikatem głównym.

Aby odwołać certyfikat klienta, dodaj odcisk palca do listy odwołania.

  • Pobierz odcisk palca certyfikatu klienta. Zobacz Jak pobrać odcisk palca certyfikatu.

  • Skopiuj informacje do edytora tekstów i usuń wszystkie spacje, aby był to ciąg ciągły.

  • Przejdź do strony konfiguracji punkt-do-lokacja bramy sieci wirtualnej. Jest to ta sama strona, której używałeś do przesłania zaufanego certyfikatu głównego.

  • W sekcji Odwołane certyfikaty wprowadź przyjazną nazwę certyfikatu.

  • Skopiuj i wklej ciąg odcisku palca do pola Odcisk palca .

  • Odcisk palca zostanie zweryfikowany i automatycznie dodany do listy odwołania. Na ekranie zobaczysz komunikat informujący o aktualizowaniu listy.

  • Po zakończeniu aktualizowania nie będzie można już używać certyfikatu do nawiązywania połączeń. Klienci, którzy spróbują połączyć się za pomocą tego certyfikatu, zobaczą komunikat informujący o tym, że certyfikat nie jest już ważny.

Rozwiązywanie problemów z łącznością z bezpiecznymi punktami końcowymi

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który używa prywatnego adresu IP z sieci wirtualnej i łączy Cię prywatnie i bezpiecznie z usługą łącza prywatnego.

Poniżej przedstawiono scenariusze łączności dostępne w prywatnym punkcie końcowym:

  • Sieć wirtualna z tego samego regionu.

  • Regionalne połączone sieci wirtualne.

  • Globalnie połączone sieci wirtualne.

  • Klient lokalnie za pośrednictwem sieci VPN lub obwodów usługi Azure ExpressRoute.

Diagnozowanie problemów z łącznością

Poniższe kroki poprowadzą Cię, by upewnić się, że wszystkie wymagane konfiguracje zostały wprowadzone, w celu rozwiązania problemów z łącznością z konfiguracją prywatnego punktu końcowego. Aby uzyskać szczegółowe instrukcje, zobacz Diagnozowanie problemów z łącznością.

  1. Przejrzyj konfigurację prywatnego punktu końcowego, przeglądając zasób.

  2. Użyj usługi Azure Monitor, aby sprawdzić, czy dane przepływają.

  3. Skorzystaj z narzędzia do rozwiązywania problemów z połączeniem maszyn wirtualnych w usłudze Azure Network Watcher.

  4. Rozwiązywanie DNS wyników testu musi mieć ten sam prywatny adres IP przypisany do prywatnego punktu dostępowego.

  5. Źródłowa maszyna wirtualna powinna mieć trasę do IP Prywatnego Punktu Końcowego jako InterfaceEndpoints w skutecznych trasach karty sieciowej.

  6. Jeśli połączenie zweryfikowało wyniki, problem z łącznością może być związany z innymi aspektami, takimi jak wpisy tajne, tokeny i hasła w warstwie aplikacji.

  7. Zawęź przed podniesieniem biletu pomocy technicznej.

  8. Jeśli prywatny punkt końcowy jest połączony z usługą Private Link połączoną z modułem równoważenia obciążenia, sprawdź, czy pula zaplecza zgłasza dobrą kondycję. Naprawienie kondycji modułu równoważenia obciążenia rozwiąże problem z nawiązywaniem połączenia z prywatnym punktem końcowym.

  9. Skontaktuj się z zespołem pomocy technicznej platformy Azure, jeśli problem jest nierozwiązany, a problem z łącznością nadal istnieje.

Parametry zasad protokołu IPsec i IKE dla bram sieci VPN

Standard protokołu IPsec i IKE obsługuje szeroką gamę algorytmów kryptograficznych w różnych kombinacjach. W artykule IPsec/IKE parameters (Parametry protokołu IPsec/IKE ) wyjaśniono, które parametry są obsługiwane w usłudze Azure Stack Hub w celu spełnienia wymagań dotyczących zgodności lub zabezpieczeń.

Podczas korzystania z tych zasad należy pamiętać o następujących ważnych kwestiach:

  • Zasady protokołu IPsec/IKE działają tylko na bramach standardowych i wysokowydajnych (opartych na trasach).

  • Dla danego połączenia można określić tylko jedną kombinację zasad.

  • Należy określić wszystkie algorytmy i parametry dla protokołu IKE (tryb główny) i IPsec (tryb szybki). Częściowa specyfikacja zasad nie jest dozwolona.

  • Sprawdź specyfikacje dostawcy urządzenia sieci VPN, czy zasady są obsługiwane na lokalnych urządzeniach sieci VPN.

W poniższych krokach pokazano, jak utworzyć i skonfigurować zasady protokołu IPsec/IKE i zastosować je do nowego lub istniejącego połączenia. Aby uzyskać szczegółowe instrukcje krok po kroku, postępuj zgodnie z instrukcjami, aby skonfigurować zasady protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja (S2S) w usłudze Azure Stack Hub.

  1. Utwórz i ustaw zasady protokołu IPsec/IKE.

  2. Utwórz nowe połączenie sieci VPN typu lokacja-lokacja za pomocą zasad protokołu IPsec/IKE:

    1. Krok 1. Tworzenie sieci wirtualnej, bramy sieci VPN i bramy sieci lokalnej.

    2. Krok 2. Tworzenie połączenia sieci VPN typu lokacja-lokacja z zasadami protokołu IPsec/IKE.

  3. Zaktualizuj zasady protokołu IPsec/IKE dla połączenia.