如何在客户端地址IP空间内的Azure VPN网关P2S对等端之间分割网络流量?

bq3bfh9z  于 2023-05-18  发布在  其他
关注(0)|答案(1)|浏览(94)

基础设施背景

我有一个IP空间为10.0.0.0/16的虚拟网络,VPN网关部署在其中的网关子网是10.0.1.0/24。VPN网关配置为通过OpenVPN使用证书身份验证,并将客户端IP地址池分配给10.2.0.0/24。我有两个客户端连接到VPN网关,它们各自的IP地址是10.2.0.2和10.2.0.3。目前,从10.2.0.2开始,我可以访问10.2.0.3,反之亦然。由于我希望使用VPN网关作为第三方客户端访问我的Azure虚拟网络的方便手段,因此从安全Angular 来看,客户端能够在VPN网关的客户端地址IP空间www.example.com内相互通信10.2.0.0/24是不可取的,因为如果一个客户端受到了威胁,他们可能会横向移动到相邻网络,而其他客户端连接在同一IP空间中。

问题:如何防止VPN网关的客户端IP地址空间www.example.com中所有已连接的客户端10.2.0.0/24相互通信?

我尝试使用网络安全组和Azure防火墙来解决这个问题,但它们似乎不适用于VPN网关的客户端地址IP空间内分配的子网。一种似乎有效的方法是创建多个VPN网关,但这可能会变得非常昂贵,也是不可取的。我仍然想利用VPN来访问我的虚拟网络,因为我不认为当我想授予更多对等方访问我的虚拟网络时,将IP地址与安全组列入白名单会扩展。

8yparm6h

8yparm6h1#

Azure P2S不提供任何阻止客户端到客户端通信的支持。
唯一的解决方法是设置网络虚拟设备(NVA)来控制VPN客户端之间的流量。
您可以使用第三方NGFW(Palo Alto,Fortinet等)或仅使用其上设置了路由和防火墙的Azure VM。
VPN网关支持"Custom Routes",这将使您能够向NVA注入路由。

相关问题