设置 Azure 点到站点 VPN

本文将引导您完成从运行 Netwrix StealthAUDIT 的 Windows 服务器设置点到站点 VPN 连接的步骤，以便您可以发现和监视所有 Azure SQL 数据库。

背景

当您在 Microsoft Azure 云中托管 SQL 数据库时，您可能需要从外部网络访问这些数据库。设置连接的方法有两种：

• 公共端点- 可以为每个允许外部应用程序访问的 Azure SQL 数据库定义公共端点。为了安全起见，需要将需要访问数据库的外网地址池的IP地址（客户端地址）列入白名单。

• 虚拟专用网络 (VPN) - 或者，您可以在外部网络或应用程序与托管 Azure SQL 数据库的 Azure 环境之间设置 VPN 连接。此选项不需要为 Azure SQL 数据库定义公共终结点。 VPN 连接可以是站点到站点或点到站点：

  • 站点到站点 VPN 连接使在整个外部网络中运行的应用程序能够无缝访问 Azure SQL 数据库。
• 点到站点 VPN 连接特定于 Azure 外部的单个客户端计算机。这是这篇博文中介绍的选项。

Azure 点到站点 VPN 设置

步骤1.创建根证书。

使用 Azure 证书身份验证时需要客户端证书进行身份验证，因此第一步是创建并导出自签名根证书。在运行 Windows 10 或 Windows Server 2016 的计算机上运行下面的 PowerShell 脚本。（或者，如果您安装了 Windows 10 SDK，则可以使用 makecert 实用程序创建自签名证书。）

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `

-Subject “CN=AzureRootCert” -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation “Cert:CurrentUserMy” -KeyUsageProperty Sign -KeyUsage CertSign

此脚本在证书 - 当前用户个人证书中创建一个名为 AzureRootCert 的根证书。可以使用证书管理器工具 (certmgr.exe) 查看它：

步骤 2. 创建客户端证书。

使用下面的 PowerShell 脚本创建客户端证书。该脚本将生成一个密钥，该密钥自创建之日起有效期为 6 年；根据您的要求调整数量。

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject “CN=AzureChildCert” -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation “Cert:CurrentUserMy” `

-NotAfter (Get-Date).AddYears(6)`

-Signer $cert -TextExtension @(“2.5.29.37={text}1.3.6.1.5.5.7.3.2”)

这会在“Certificates-Current userPersonalCertificate”中创建一个名为 AzureChildCert 的客户端证书。还可以使用证书管理器工具查看它：

步骤 3. 导出根证书的公钥部分。

接下来，我们需要导出在步骤 1 中创建的根证书的公钥部分。

3.1。 首先，启动证书导出向导，如下所示：

3.2. 在证书导出向导的欢迎屏幕上，单击下一步继续。

3.3. 在“导出私钥”屏幕上，选择默认选项“否，不导出私钥”，然后单击下一步。

3.4. 在“导出文件格式”屏幕上，选择Base-64 编码的 X.509 (.CER) 选项，然后单击下一步。

3.5. 在“要导出的文件”屏幕上，浏览到要保存证书的位置，指定证书名称，然后单击下一步。

3.6. 在下一个屏幕上，单击完成导出证书。 Azure VPN 配置的后续步骤将需要此文件中的信息。

步骤 4. 导出客户端证书（可选）。

仅当需要配置从用于创建证书的服务器以外的服务器到 Azure 的 VPN 连接时，才需要执行此步骤。

4.1.启动证书导出向导，如下所示：

4.2. 在证书导出向导的欢迎屏幕上，单击下一步继续。

4.3. 在导出私钥屏幕上，选择是，导出私钥，然后单击下一步。

4.4. 在“导出文件格式”屏幕上选择默认选项：

4.5. 指定客户端证书的密码。由于此证书可用于对 Azure VPN 进行身份验证，因此请务必使用强密码来保护它。

4.6. 在“要导出的文件”向导屏幕上，提供文件名并单击下一步。

4.7.验证您的设置并单击完成导出证书。

步骤 5. 配置虚拟网络网关。

接下来，您需要登录到 Azure 门户并查找虚拟网络网关。如果不存在，请先创建一个（请参阅 Azure 文档以创建虚拟网络和网关子网），然后再继续。

5.1。 单击虚拟网络网关超链接。我的名为Gateway-pkjuebl4yqscro。

5.2. 在配置屏幕上，单击点到站点配置链接。

5.3. 找到您在步骤 3 中导出的根证书，然后在您选择的文本编辑器中将其打开。证书的内容将类似于下面的屏幕截图。我故意显示证书数据的全部内容，因为我无意将其永久保留在 Azure 中；我创建它只是为了写这个博客。

5.4. 在文本编辑器中，删除换行符，因为 Azure 期望所有证书数据都位于一行中。注意不要删除该键的任何字符！然后将证书数据复制到剪贴板。

5.5. 现在返回 Azure 门户中的虚拟网络网关点到站点配置屏幕。在页面的根证书部分：

• 提供证书的名称。
• 将步骤 5.3 中的证书内容粘贴到公共证书数据中
• 确保隧道类型设置为IKEv2 和 SSTP (SSL)，并且身份验证类型设置为Azure 证书。

点击保存以保存设置。

步骤 6. 下载并执行 VPN 客户端包。

6.1。 此时，您应该使用以下屏幕截图中显示的链接下载 VPN 客户端：

6.2。 下载是一个包含三个目录的 zip 文件。其中两个具有适用于 32 位和 64 位平台的 VPN 客户端软件设置文件。第三个目录名为Generic，包含 VPN 设置信息文件。

假设您使用的是 64 位 Windows 操作系统，导航到 WindowsAmd64 目录并执行 VPN 客户端包。这将创建一个名为 vnet-xxxxxxx 的 Azure vnet。 就我而言，名称是vnet-fvmisql。

步骤 7. 设置 VPN 连接。

选择新的 VPN 连接配置文件并单击连接。如果它对您有用（我真诚地希望如此），那么您就完成了！

然而，这可能行不通。您可能会收到错误“错误 798 - 找不到可用于此可扩展身份验证协议的证书”。在这种情况下，您需要手动设置有效的 VPN 连接，如下所述。

步骤 8. 如有必要，手动设置 VPN 连接。

如果您计划在其他计算机上设置 VPN 连接，则需要将客户端证书导入到该计算机。

8.1。 打开网络和共享中心，然后点击设置新连接或网络。

8.2. 在“选择连接选项”屏幕上，选择连接到工作场所，然后点击下一步。

8.3.关于“您想使用已有的连接吗？” 屏幕上选择否，创建新连接选项，然后单击下一步。

8.4.在“您想如何连接？”屏幕上，点击使用我的互联网连接 (VPN) 选项

8.5。 导航到从 Azure 下载的 VPN 客户端包的通用文件夹。打开 VpnSettings 文件并复制 Azure VPN 网关的公共名称。

8.6。 在“输入要连接的互联网地址”屏幕上，将复制的文本粘贴到“互联网地址”框中。提供目标名称，并将所有其他选项保留为默认设置。点击创建。

8.7。 导航回网络和共享中心，然后点击更改适配器设置链接。右键单击您设置的 VPN 连接，然后选择属性。检查 VPN 地址或主机名。

8.8。 转到“安全”选项卡。在“数据加密”下，选择需要加密（如果服务器拒绝，则断开连接）选项。对于“身份验证”，选择 Microsoft 智能卡或其他证书（启用加密）选项。

8.9。 点击“身份验证”部分中的属性按钮。选择在此计算机上使用证书选项，然后点击确定。

8.10。 点击“网络”选项卡，然后选择互联网协议版本 4 (TCP/IPv4) 选项。然后点击属性按钮。

8.11。 点击高级按钮。在“IP 设置”选项卡上，取消选中在远程网络上使用默认网关复选框，然后点击确定。

8.12。 在任务栏中，单击网络图标。选择刚刚创建的 Azure VPN 连接配置文件，然后单击连接。

现在，你应该已连接到 Azure VPN 网关，并能够开始使用专用终结点与 Azure SQL 数据库进行交互。

如果在运行 Netwrix StealthAUDIT 的本地服务器上设置 VPN 网关，您将能够运行适用于 Azure SQL 作业的 Netwrix StealthAUDIT 并开始审核 Azure SQL 环境。

保护您的 SQL Server 数据库

SQL Server 通常包含非常敏感的信息，因此它是攻击者的主要目标。由于 SQL 数据库实例经常通过网络产生，因此数据库管理员 (DBA) 需要有效的工具来正确保护它们包含的敏感数据。

Netwrix StealthAUDIT 可以提供帮助。它可以报告用户权限和数据库配置，提供全面的漏洞评估，并发现存储在 Azure SQL 数据库中的敏感数据。它还可以密切监视 SQL 数据库中的用户活动，甚至根据正在执行的 SQL 语句的类型或用户名、应用程序和执行时间等条件的组合来审核特定操作。

常问问题

什么是点到站点 VPN 和站点到站点 VPN？

点到站点 VPN 连接特定于 Azure 外部的服务器或桌面，而站点到站点 VPN 连接适用于 Azure 的整个网络。

Azure 点到站点支持哪些 VPN 类型？

Azure 点到站点 VPN 支持三种类型的 VPN 连接：安全套接字隧道协议 (SSTP)、OpenVPN 和 IKEv2 VPN。