Tutorial: Implantar e configurar a política e o Firewall do Azure usando o portal do Azure

  • Artigo

O controle do acesso à saída de rede é uma parte importante de um plano geral de segurança de rede. Por exemplo, você talvez queira limitar o acesso a sites. Ou você talvez queira limitar os endereços IP e portas de saída que podem ser acessados.

Uma forma de controlar o acesso à saída de rede em uma sub-rede do Azure é com o Firewall do Azure e a política de firewall. Com a política de firewall e o Firewall do Azure, você pode configurar:

  • Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede.
  • Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.

Para este tutorial, você criará uma só VNet simplificada com duas sub-redes para facilitar a implantação.

  • AzureFirewallSubnet: o firewall está nesta sub-rede.
  • Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.

Infraestrutura de rede do tutorial

Para implantações de produção, é recomendado um modelo de hub e spoke, em que o firewall é, por si só, a VNet. Os servidores de carga de trabalho estão em VNets emparelhadas na mesma região que uma ou mais sub-redes.

Neste tutorial, você aprenderá como:

  • Configurar um ambiente de rede de teste
  • Implantar uma política de firewall e um firewall
  • Criar uma rota padrão
  • Configure uma regra de aplicativo para permitir acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso a servidores DNS externos
  • Configurar uma regra NAT para permitir uma Área de Trabalho Remota para o servidor de teste
  • Testar o firewall

Se preferir, você poderá concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Configurar a rede

Primeiro, crie um grupo de recursos para conter os recursos necessários à implantação do firewall. Em seguida, crie uma VNet, as sub-redes e um servidor de teste.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o tutorial.

  1. Entre no portal do Azure.

  2. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página e, em seguida, selecione Adicionar. Digite ou selecione os valores a seguir:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Resource group Enter Test-FW-RG.
    Região Selecione uma região. Todos os demais recursos criados devem estar na mesma região.

  3. Selecione Examinar + criar.

  4. Selecione Criar.

Criar uma VNET

Essa VNet terá duas sub-redes.

Observação

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, confira Perguntas frequentes sobre o Firewall do Azure.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Selecione Rede.

  3. Procure Rede virtual e selecione-a.

  4. Selecione Criar e, em seguida, insira ou selecione os seguintes valores:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione Test-FW-RG.
    Nome Enter Test-FW-VN.
    Região Selecione o mesmo local que você usou anteriormente.

  5. Selecione Avançar: Endereços IP.

  6. Em Espaço de endereço IPv4, aceite o padrão 10.0.0.0/16.

  7. Em Sub-rede, selecione Padrão.

  8. Em Nome da sub-rede, altere-o para AzureFirewallSubnet. O firewall estará nessa sub-rede e o nome da sub-rede precisa ser AzureFirewallSubnet.

  9. Em Intervalo de endereços, digite 10.0.1.0/26.

  10. Clique em Salvar.

    Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  11. Selecione Adicionar sub-rede.

  12. Em Nome da sub-rede, digite Workload-SN.

  13. Para Intervalo de endereços da sub-rede, digite 10.0.2.0/24.

  14. Selecione Adicionar.

  15. Selecione Examinar + criar.

  16. Selecione Criar.

Criar uma máquina virtual

Agora crie a máquina virtual da carga de trabalho e coloque-a na sub-rede Workload-SN.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Insira ou selecione esses valores para a máquina virtual:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione Test-FW-RG.
    Nome da máquina virtual Enter Srv-Work.
    Região Selecione o mesmo local que você usou anteriormente.
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Próximo: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP Público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Próximo: Gerenciamento.

  10. Selecione Desabilitar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Examinar + criar.

  11. Examine as configurações na página de resumo e, em seguida, selecione Criar.

  12. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Implantar o firewall e a política

Implante o firewall na VNET.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar um Firewall, use a tabela abaixo para configurar o firewall:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione Test-FW-RG.
    Nome Enter Test-FW01.
    Região Selecione o mesmo local que você usou anteriormente.
    Gerenciamento do firewall Selecione Usar uma política de firewall para gerenciar este firewall.
    Política de firewall Selecione Adicionar novo e insirafw-test-pol.
    Selecione a mesma região usada anteriormente.
    Escolher uma rede virtual Selecione Usar existente e depois Test-FW-VN.
    Endereço IP público Selecione Adicionar novo e insira fw-pip para o Nome.

  5. Aceite os outros valores padrão e selecione Examinar + criar.

  6. Examine o resumo e selecione Criar para criar o firewall.

    Isso levará alguns minutos para ser implantado.

  7. Após a implantação ser concluída, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01.

  8. Anote os endereços IP públicos e privados do firewall. Você usará esses endereços mais tarde.

Criar uma rota padrão

Para a sub-rede Workload-SN, configure a rota de saída padrão para atravessar o firewall.

  1. No menu do portal do Azure, selecione Todos os recursos ou, em qualquer página, pesquise por Todos os serviços e selecione essa opção.

  2. Em Rede, selecione Tabelas de rotas.

  3. Selecione Criar e, em seguida, insira ou selecione os seguintes valores:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione Test-FW-RG.
    Região Selecione o mesmo local que você usou anteriormente.
    Nome Enter Firewall-route.

  4. Selecione Examinar + criar.

  5. Selecione Criar.

Após a implantação ser concluída, selecione Ir para o recurso.

  1. Na página de Rota do firewall, selecione Sub-redes e escolha Associar.
  2. Clique em Rede virtual>Test-FW-VN.
  3. Para Sub-rede, selecione Workload-SN. Não deixe de selecionar apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.
  4. Selecione OK.
  5. Selecione Rotas e, em seguida, selecione Adicionar.
  6. Em Nome da rota, insira fw-dg.
  7. Em Prefixo de endereço, insira 0.0.0.0/0.
  8. Em Tipo do próximo salto, selecione Solução de virtualização . O Firewall do Azure é, na verdade, um serviço gerenciado, mas a solução de virtualização funciona nessa situação.
  9. Em endereço do próximo salto, insira o endereço IP privado do firewall anotado anteriormente.
  10. Selecione OK.

Configurar uma regra de aplicativo

Essa é a regra de aplicativo que permite o acesso de saída para www.google.com.

  1. Abra o grupo de recursos Test-FW-RG e selecione a política de firewall fw-test-pol.
  2. Selecione Regras de aplicativo.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, insira App-Coll01.
  5. Em Prioridade, insira 200.
  6. Em Ação de coleção de regras, selecione Permitir.
  7. Em Regras, para Nome, insira Allow-Google.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, insira 10.0.2.0/24.
  10. Em Protocol:port, insirahttp, https.
  11. Em Tipo de Destino, selecione FQDN.
  12. Em Destino, insira www.google.com
  13. Selecione Adicionar.

O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos da plataforma e não podem ser usados para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.

Configurar uma regra de rede

Essa é a regra de rede que permite o acesso de saída para dois endereços IP na porta 53 (DNS).

  1. Escolha Regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, insira Net-Coll01.
  4. Em Prioridade, insira 200.
  5. Em Ação de coleção de regras, selecione Permitir.
  6. Em Grupo de coleta de regra, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, para Nome, insira Allow-DNS.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, insira 10.0.2.0/24.
  10. Em Protocolo, selecione UDP.
  11. Em Portas de Destino, insira 53.
  12. Em Tipo de destino, selecione Endereço IP.
  13. Em Destino, insira 209.244.0.3,209.244.0.4.
    Esses são servidores DNS públicos operados pelo CenturyLink.
  14. Selecione Adicionar.

Configurar uma regra de DNAT

Essa regra permite que você conecte uma Área de Trabalho Remota à máquina virtual Srv-Work por meio do firewall.

  1. Selecione as regras de DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Para Nome, insira rdp.
  4. Em Prioridade, insira 200.
  5. Em Grupo de coleta de regra, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, para Nome, insira rdp-nat.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Origem, insira *.
  9. Em Protocolo, selecione TCP.
  10. Para Portas de Destino, insira 3389.
  11. Para Tipo de Destino, selecione Endereço IP.
  12. Em Destino, insira o endereço IP público do firewall.
  13. Em Endereço convertido, insira o endereço IP privado do Srv-work.
  14. Para Porta traduzida, insira 3389.
  15. Selecione Adicionar.

Altere os endereços DNS primário e secundário para o adaptador de rede Srv-Wprk

Para fins de teste neste tutorial, você vai configurar os endereços DNS primários e secundários do servidor. Isso não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG.
  2. Selecione o adaptador de rede da máquina virtual Srv-Work.
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Insira 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na caixa de texto seguinte.
  6. Clique em Salvar.
  7. Reinicie a máquina virtual Srv-Work.

Testar o firewall

Agora teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma Área de Trabalho Remota ao endereço IP público do firewall e entre na máquina virtual Srv-Work.

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue até https://www.microsoft.com.

    Você deve ser bloqueado pelo firewall.

Agora que você verificou se as regras de firewall estão funcionando:

  • Você pode navegar para o FQDN permitido, mas não para os outros.
  • É possível resolver nomes DNS usando o servidor DNS externo configurado.

Limpar os recursos

Você pode manter seus recursos de firewall para o próximo tutorial ou, se não forem mais necessários, exclua o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium