关于加密要求和 Azure VPN 网关
关于加密要求和 Azure VPN 网关
本文是微软官方技术文档,主要介绍了Azure VPN网关的加密要求和配置方法,包括IKEv1和IKEv2协议的使用、IPsec/IKE策略参数的设置、以及如何满足特定的加密要求。文章内容详尽,包含了具体的操作步骤和常见问题解答,对于需要在Azure环境中配置VPN连接的用户具有很高的参考价值。
本文内容
本文介绍如何配置Azure VPN网关,满足Azure中跨界S2S VPN隧道和VNet到VNet连接的加密要求。
关于用于Azure VPN连接的IKEv1和IKEv2
传统上,我们只允许将IKEv1连接用于基本SKU,允许将IKEv2连接用于除基本SKU之外的所有VPN网关SKU。基本SKU只允许使用1个连接,并且有其他限制(例如性能限制)。使用只支持IKEv1协议的旧设备的客户其体验会受限。为了增强使用IKEv1协议的客户的体验,我们现在允许将IKEv1连接用于除基本SKU之外的所有VPN网关SKU。有关详细信息,请参阅VPN网关SKU。请注意,在主模式重新生成密钥期间,使用IKEv1的VPN网关可能会遇到隧道重新连接。
在将IKEv1和IKEv2连接应用到同一VPN网关时,会自动启用这两个连接之间的传输。
关于Azure VPN网关的IPsec和IKE策略参数
IPsec和IKE协议标准支持采用各种组合的各种加密算法。如果不要求使用特定加密算法和参数组合,则Azure VPN网关会使用一组默认建议。选择默认策略集,最大限度地实现默认配置中各种第三方VPN设备的互操作性。因此,策略和建议数将无法涵盖所有可能的可用加密算法和密钥强度组合。
默认策略
文章中列出了Azure VPN网关的默认策略集:关于用于站点到站点VPN网关连接的VPN设备和IPsec/IKE参数。
加密要求
对于需特定加密算法或参数的通信,通常由于符合性或安全性要求,你现在可配置其Azure VPN网关,使用具有特定加密算法和密钥强度的自定义IPsec/IKE策略,而不是使用Azure默认策略集。
例如,Azure VPN网关的IKEv2主模式策略仅使用Diffie-Hellman组2(1024位),而你可能需要指定更强的组用于IKE,例如组14(2048位)、组24(2048位MODP组)或ECP(椭圆曲线组)256或384位(分别为组19和组20)。类似的要求也适用于IPsec快速模式策略。
借助Azure VPN网关自定义IPsec/IKE策略
Azure VPN网关现支持根据连接自定义IPsec/IKE策略。对于站点到站点或VNet到VNet连接,可为具有所需密钥强度的IPsec和IKE选择特定加密算法组合,如下例所示:
可创建IPsec/IKE策略并将其应用于新的或现有的连接。
工作流
- 为连接拓扑创建虚拟网络、VPN网关或本地网络网关,如其他操作文档所述。
- 创建IPsec/IKE策略。
- 可在创建S2S或VNet到VNet连接时应用该策略。
- 如果已创建连接,则可以在现有连接上应用或更新策略。
IPsec/IKE策略常见问题解答
是否所有Azure VPN网关SKU都支持自定义IPsec/IKE策略?
除基本SKU外,所有Azure VPN网关SKU都支持自定义IPsec/IKE策略。
在一个连接上可以指定多少个策略?
你只能为一个连接指定一个策略组合。
我是否可以在连接上指定部分策略(例如,仅指定IKE算法,但不指定IPsec)?
否,必须指定IKE(主模式)和IPsec(快速模式)的所有算法和参数。不允许指定部分策略。
自定义策略支持哪些算法和密钥强度?
下表列出了可配置的受支持加密算法和密钥强度。必须为每个字段选择一个选项。
IPsec/IKEv2 | 选项 |
|---|---|
IKEv2加密 | GCMAES256、GCMAES128、AES256、AES192、AES128 |
IKEv2完整性 | SHA384、SHA256、SHA1、MD5 |
DH组 | DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、无 |
IPsec加密 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无 |
IPsec完整性 | GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
PFS组 | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无 |
快速模式SA生存期 | (可选;如果未指定,则使用默认值)秒(整数;最小值为300,默认值为27,000)KB(整数;最小值为1,024,默认值为10,2400,000) |
流量选择器 | UsePolicyBasedTrafficSelectors($True或$False,但可选;如果未指定,则使用默认值$False) |
DPD超时 | 秒(整数;最小值为9,最大值为3,600,默认值为45) |
本地VPN设备配置必须匹配或者包含你在Azure IPsec或IKE策略上指定的以下算法和参数:
- IKE加密算法(主模式,阶段1)
- IKE完整性算法(主模式,阶段1)
- DH组(主模式,阶段1)
- IPsec加密算法(快速模式,阶段2)
- IPsec完整性算法(快速模式,阶段2)
- PFS组(快速模式,阶段2)
- 流量选择器(如果使用UsePolicyBasedTrafficSelectors)
- SA生存期(不需要匹配的本地规范)
如果使用GCMAES作为IPsec加密算法,则必须为IPsec完整性选择相同的GCMAES算法和密钥长度。例如,对这两者使用GCMAES128。
在算法和密钥表中:
- IKE对应于主模式或阶段1。
- IPsec对应于快速模式或阶段2。
- DH组指定在主模式或阶段1中使用的Diffie-Hellman组。
- PFS组指定在快速模式或阶段2中使用的Diffie-Hellman组。
在Azure VPN网关上,IKE主模式SA生存期固定为28,800秒。
UsePolicyBasedTrafficSelectors是连接上的可选参数。如果在连接上将UsePolicyBasedTrafficSelectors设置为$True,则会将VPN网关配置为连接到基于策略的本地VPN防火墙。
如果启用UsePolicyBasedTrafficSelectors,请确保VPN设备已使用本地网络(本地网关)前缀与Azure虚拟网络前缀的所有组合定义了匹配的(而不是任意到任意的)流量选择器。VPN网关接受远程VPN网关建议的任何流量选择器,无论VPN网关上采用了哪种配置。
例如,如果本地网络前缀为10.1.0.0/16和10.2.0.0/16,虚拟网络前缀为192.168.0.0/16和172.16.0.0/16,则需指定以下流量选择器:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
有关基于策略的流量选择器的详细信息,请参阅将VPN网关连接到多个基于策略的本地VPN设备。
将超时设置为较短的时长会导致IKE更主动地重新生成密钥。这可能会导致连接在某些实例中看起来是断开的。在本地位置离VPN网关所在的Azure区域较远时,或者物理链接条件可能会导致数据包丢失时,你可能不希望出现这种情况。我们通常建议将超时设置为30至45秒。
有关详细信息,请参阅将一个VPN网关连接到多个基于策略的本地VPN设备。
自定义策略支持哪些Diffie-Hellman组?
下表列出了自定义策略支持的相应Diffie-Hellman组:
Diffie-Hellman组 | DHGroup | PFSGroup | 密钥长度 |
|---|---|---|---|
1 | DHGroup1 | PFS1 | 768位MODP |
2 | DHGroup2 | PFS2 | 1024位MODP |
14 | DHGroup14DHGroup2048 | PFS2048 | 2048位MODP |
19 | ECP256 | ECP256 | 256位ECP |
20 | ECP384 | ECP384 | 384位ECP |
24 | DHGroup24 | PFS24 | 2048位MODP |
有关详细信息,请参阅RFC3526和RFC5114。
自定义策略是否会代替VPN网关的默认IPsec/IKE策略集?
是的。在连接上指定自定义策略后,Azure VPN网关仅在连接上使用该策略,同时充当IKE发起方和IKE响应方。
如果删除自定义IPsec/IKE策略,连接是否会变得不受保护?
否,IPsec/IKE仍有助于保护连接。从连接中移除自定义策略以后,VPN网关会恢复使用默认的IPsec/IKE提议列表,并重启与本地VPN设备的IKE握手。
添加或更新IPsec/IKE策略是否会中断VPN连接?
是的。它会导致短时中断(几秒钟),因为VPN网关会断开现有连接并重启IKE握手,以便使用新的加密算法和参数重建IPsec隧道。请确保本地VPN设备也使用匹配的算法和密钥强度进行配置,从而最大程度减少中断。
是否可以在不同的连接上使用不同的策略?
是的。自定义策略是针对每个连接应用的。你可以在不同的连接上创建并应用不同的IPsec/IKE策略。
也可选择在连接子集上应用自定义策略。剩余连接使用Azure默认IPsec/IKE策略集。
是否可以在VNet到VNet连接上使用自定义策略?
是的。你可以在IPsec跨界连接和VNet到VNet连接上应用自定义策略。
是否需在两个VNet到VNet连接资源上指定同一策略?
是的。VNet到VNet隧道包含Azure中的两个连接资源,一个方向一个资源。确保两个连接资源具有相同的策略。否则,VNet到VNet连接无法建立。
默认的DPD超时值是多少?能否指定其他DPD超时值?
VPN网关的默认DPD超时为45秒。你可在每个IPsec或VNet到VNet连接上指定不同的DPD超时值(9到3,600秒)。
注意:将超时设置为较短的时长会导致IKE更主动地重新生成密钥。这可能会导致连接在某些实例中看起来是断开的。在本地位置离VPN网关所在的Azure区域较远时,或者物理链接条件可能会导致数据包丢失时,你可能不希望出现这种情况。我们通常建议将超时设置为30至45秒。
能否在ExpressRoute连接上使用自定义IPsec/IKE策略?
否。只能通过VPN网关在S2S VPN和VNet到VNet连接上使用IPsec/IKE策略。
如何使用IKEv1或IKEv2协议类型创建连接?
你可以在所有基于路由的VPN类型SKU上创建IKEv1连接,但基本SKU、标准SKU和其他早期SKU除外。
创建连接时,可以指定IKEv1或IKEv2连接协议类型。如果未指定连接协议类型,IKEv2将用作默认选项(如果适用)。有关详细信息,请参阅Azure PowerShell cmdlet文档。
有关IKEv1和IKEv2的SKU类型和支持的信息,请参阅将一个VPN网关连接到多个基于策略的本地VPN设备。
是否允许在IKEv1连接和IKEv2连接之间进行传输?
是的。
是否可以在基于路由的VPN类型的基本SKU上建立IKEv1站点到站点连接?
否。基本SKU不支持此配置。
能否在创建连接(从IKEv1到IKEv2的连接,或者反方向的连接)后更改连接协议类型?
否。创建连接后,无法更改IKEv1和IKEv2协议。必须先删除旧连接,然后重新创建具有所需协议类型的新连接。
为什么我的IKEv1连接频繁地重新连接?
如果静态路由或基于路由的IKEv1连接每隔一段时间就断开一次,可能是因为VPN网关不支持就地重新生成密钥。如果主模式正在重新生成密钥,IKEv1隧道会断开连接,需要最多5秒的时间来重新连接。主模式协商超时值决定着重新生成密钥的频率。为了防止出现这些重新连接,可以切换到使用IKEv2,它支持就地重新生成密钥。
如果连接不定时地重新连接,请按照故障排除指南执行操作。
在哪里可以找到配置的详细信息和步骤?
请参阅以下文章:
- 为S2S VPN和VNet到VNet配置自定义IPsec/IKE连接策略:Azure门户
- 为S2S VPN和VNet到VNet配置自定义IPsec/IKE连接策略:PowerShell
后续步骤
若要了解在连接上配置自定义IPsec/IKE策略的分步说明,请参阅配置IPsec/IKE策略。
另请参阅连接多个基于策略的VPN设备,了解有关UsePolicyBasedTrafficSelectors选项的详细信息。
本文原文来自微软官方技术文档