Tutorial: implantar e configurar a política e o Firewall do Azure em uma rede híbrida usando o portal do Azure

  • Artigo

Ao conectar sua rede local a uma rede virtual do Azure para criar uma rede híbrida, a capacidade de controlar o acesso aos recursos da rede do Azure é uma parte importante de um plano geral de segurança.

É possível usar o Firewall do Azure e a Política de Firewall para controlar o acesso a uma rede híbrida usando regras que definem tráfegos de rede permitidos e negados.

Para este tutorial, você deve criar três redes virtuais:

  • VNet-Hub: o firewall está nessa rede virtual.
  • VNet-Spoke: a rede virtual spoke representa a carga de trabalho localizada no Azure.
  • VNet-Onprem: a rede virtual local representa uma rede local. Em uma implantação real, pode ser conectada por uma conexão VPN ou ExpressRoute. Para simplificar, este tutorial usa uma conexão de gateway de VPN, e uma rede virtual localizada no Azure é usada para representar uma rede local.

Firewall em uma rede híbrida

Neste tutorial, você aprenderá como:

  • Criar a rede virtual do hub de firewall
  • Criar a rede virtual spoke
  • Criar a rede virtual local
  • Configurar e implantar o firewall e a política
  • Criar e conectar os gateways de VPN
  • Emparelhar as redes virtuais hub e spoke
  • Criar as rotas
  • Criar as máquinas virtuais
  • Testar o firewall

Caso deseje usar o Azure PowerShell para concluir este procedimento, confira Implantar e configurar o Firewall do Azure em uma rede híbrida usando o Azure PowerShell.

Pré-requisitos

Uma rede híbrida usa o modelo de arquitetura hub e spoke para rotear o tráfego entre as VNets do Azure e as redes locais. A arquitetura hub e spoke tem os seguintes requisitos:

  • Defina Usar este gateway ou Servidor de Rota da rede virtual ao emparelhar o VNet-Hub ao VNet-Spoke. Em uma arquitetura de rede hub e spoke, um trânsito de gateway permite que redes virtuais spoke compartilhem o gateway de VPN no hub, em vez de implantar gateways de VPN em cada rede virtual spoke.

    Além disso, as rotas para as redes virtuais conectadas pelo gateway ou das redes locais serão propagadas automaticamente às tabelas de roteiros para as redes virtuais emparelhadas usando o trânsito de gateway. Para saber mais, confira Configurar o trânsito de gateway de VPN para o emparelhamento de rede virtual.

  • Defina Usar os gateways ou o Servidor de Rota da rede virtual remota ao emparelhar o VNet-Spoke ao VNet-Hub. Se Usar os gateways ou o Servidor de Rota da rede virtual remota estiver definido e Usar este gateway ou Servidor de Rota da rede virtual no emparelhamento remoto também estiver definido, a rede virtual do spoke usará gateways da rede virtual remota para trânsito.

  • Para rotear o tráfego da sub-rede spoke por meio do firewall do hub, você pode usar uma UDR (Rota Definida pelo Usuário) que aponte para o firewall com a opção Propagação de rotas de gateway de rede virtual desabilitada. A opção Propagação de rotas de gateway de rede virtual desabilitada impede a distribuição de rota para as sub-redes spoke. Isso impede que as rotas aprendidas entrem em conflito com sua UDR. Se quiser manter a propagação de rota de gateway de rede virtual habilitada, defina rotas específicas para o firewall para substituir aquelas publicadas do local sobre o BGP.

  • Configure uma UDR na sub-rede do gateway do hub que aponta para o endereço IP do firewall como o próximo salto para as redes spoke. Nenhuma UDR é necessária na sub-rede do Firewall do Azure, já que ela aprende as rotas com o BGP.

Consulte a seção Criar Rotas deste tutorial para ver como essas rotas são criadas.

Observação

O Firewall do Azure deve ter conectividade direta com a Internet. Se seu AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deve substituir isso por um UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

O Firewall do Azure pode ser configurado para dar suporte a túnel forçado. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

Observação

O tráfego entre VNETs diretamente emparelhadas é roteado diretamente, mesmo se uma UDR aponta para o Firewall do Azure como o gateway padrão. Para enviar o tráfego de sub-rede para sub-rede para o firewall nesse cenário, uma UDR precisa conter o prefixo de rede da sub-rede de destino explicitamente em ambas as sub-redes.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar a rede virtual do hub de firewall

Primeiro, crie um grupo de recursos para conter os recursos deste tutorial:

  1. Entre no portal do Azure.
  2. Na página inicial do portal do Azure, selecione Grupos de recursos>Criar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em Nome do grupo de recursos, digite FW-Hybrid-Test.
  5. Em Região, selecione EUA (Leste dos EUA) . Todos os recursos criados posteriormente precisam estar na mesma localização.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Agora crie a VNET:

Observação

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, confira Perguntas frequentes sobre o Firewall do Azure.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Em Rede, selecione Rede virtual.
  3. Selecione Criar.
  4. Em Grupo de recursos, selecione FW-Hybrid-Test.
  5. Em Nome, digite VNet-hub.
  6. Selecione Avançar: Endereços IP.
  7. Em Espaço de endereço IPv4, exclua o endereço padrão e digite 10.5.0.0/16.
  8. Em Nome da sub-rede, selecione Adicionar sub-rede.
  9. Em Nome da sub-rede, digite AzureFirewallSubnet. O firewall estará nessa sub-rede e o nome da sub-rede precisa ser AzureFirewallSubnet.
  10. Em Intervalo de endereços da sub-rede, digite 10.5.0.0/26.
  11. Selecione Adicionar.
  12. Selecione Examinar + criar.
  13. Selecione Criar.

Criar a rede virtual spoke

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Em Rede, selecione Rede virtual.
  3. Selecione Criar.
  4. Em Grupo de recursos, selecione FW-Hybrid-Test.
  5. Em Nome, digite VNet-Spoke.
  6. Em Região, selecione EUA (Leste dos EUA) .
  7. Selecione Avançar: Endereços IP.
  8. Em Espaço de endereço IPv4, exclua o endereço padrão e digite 10.6.0.0/16.
  9. Em Nome da sub-rede, selecione Adicionar sub-rede.
  10. Em Nome da sub-rede, digite SN-Workload.
  11. Em Intervalo de endereços da sub-rede, digite 10.6.0.0/24.
  12. Selecione Adicionar.
  13. Selecione Examinar + criar.
  14. Selecione Criar.

Criar a rede virtual local

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Em Rede, selecione Rede virtual.
  3. Em Grupo de recursos, selecione FW-Hybrid-Test.
  4. Em Nome, digite VNet-OnPrem.
  5. Em Região, selecione EUA (Leste dos EUA) .
  6. Selecione Avançar: Endereços IP
  7. Em Espaço de endereço IPv4, exclua o endereço padrão e digite 192.168.0.0/16.
  8. Em Nome da sub-rede, selecione Adicionar sub-rede.
  9. Em Nome da sub-rede, digite SN-Corp.
  10. Em Intervalo de endereços da sub-rede, digite 192.168.1.0/24.
  11. Selecione Adicionar.
  12. Selecione Examinar + criar.
  13. Selecione Criar.

Agora crie uma segunda sub-rede para o gateway.

  1. Na página VNet-Onprem, selecione Sub-redes.
  2. Selecione +Sub-rede.
  3. Em Nome, digite GatewaySubnet.
  4. Em Intervalo de endereços da sub-rede, digite 192.168.2.0/24.
  5. Selecione Save.

Configurar e implantar o firewall

Agora implante o firewall na rede virtual do hub de firewall.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.

  2. Na coluna à esquerda, selecione Rede e procure e escolha Firewall e, em seguida, selecione Criar.

  3. Na página Criar um Firewall, use a tabela abaixo para configurar o firewall:

    Configuração Valor
    Subscription <sua assinatura>
    Resource group FW-Hybrid-Test
    Nome AzFW01
    Região Leste dos EUA
    Camada de firewall Standard
    Gerenciamento do firewall Usar uma política de firewall para gerenciar este firewall
    Política de firewall Adicionar nova:
    hybrid-test-pol
    Leste dos EUA
    Escolher uma rede virtual Usar existente:
    VNet-hub
    Endereço IP público Adicionar nova:
    fw-pip

  4. Selecione Examinar + criar.

  5. Examine o resumo e selecione Criar para criar o firewall.

    Isso leva alguns minutos para ser implantado.

  6. Após a conclusão da implantação, acesse o grupo de recursos FW-Hybrid-Test e selecione o firewall AzFW01.

  7. Anote o endereço IP privado. Você o usará mais tarde quando criar a rota padrão.

Configurar regras de rede

Primeiro, adicione uma regra de rede para permitir o tráfego da Web.

  1. No grupo de recursos FW-Hybrid-Test, selecione a Política de Firewall hybrid-test-pol.
  2. Selecione Regras de rede.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, digite RCNet01.
  5. Em Prioridade, digite 100.
  6. Em Ação de coleção de regras, selecione Permitir.
  7. Em Regras, em Nome, digite AllowWeb.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, digite 192.168.1.0/24.
  10. Em Protocolo, selecione TCP.
  11. Em Portas de Destino, digite 80.
  12. Em Tipo de destino, selecione Endereço IP.
  13. Para Destino, digite 10.6.0.0/16.

Agora adicione uma regra para permitir o tráfego RDP.

Na segunda linha de regra, digite as seguintes informações:

  1. Nome, digite AllowRDP.
  2. Em Tipo de origem, selecione Endereço IP.
  3. Em Origem, digite 192.168.1.0/24.
  4. Em Protocolo, selecione TCP.
  5. Em Portas de Destino, digite 3389.
  6. Em Tipo de destino, selecione Endereço IP.
  7. Para Destino, digite 10.6.0.0/16
  8. Selecione Adicionar.

Criar e conectar os gateways de VPN

As redes virtuais locais e de hub são conectadas por meio de gateways VPN.

Criar um gateway de VPN para a rede virtual do hub

Agora crie o gateway de VPN para a rede virtual do hub. As configurações de rede a rede exigem um RouteBased VpnType. A criação de um gateway de VPN pode levar 45 minutos ou mais, dependendo da SKU do gateway de VPN selecionado.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual.
  3. Selecione Gateway de rede virtual e selecione Criar.
  4. Em Nome, digite GW-hub.
  5. Em Região, selecione a mesma região usada anteriormente.
  6. Em Tipo de gateway, selecione VPN.
  7. Em Tipo de VPN, selecione Baseada em rota.
  8. Em SKU, selecione Básico.
  9. Em Rede virtual, selecione VNet-hub.
  10. Em Endereço IP público, selecione Criar e digite VNet-hub-GW-pip para o nome.
  11. Aceite os padrões restantes e, em seguida, selecione Examinar + criar.
  12. Examine a configuração e, em seguida, selecione Criar.

Criar um gateway de VPN para a rede virtual local

Agora crie um gateway de VPN para a rede virtual local. As configurações de rede a rede exigem um RouteBased VpnType. A criação de um gateway de VPN pode levar 45 minutos ou mais, dependendo da SKU do gateway de VPN selecionado.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual e pressione Enter.
  3. Selecione Gateway de rede virtual e selecione Criar.
  4. Em Nome, digite GW-Onprem.
  5. Em Região, selecione a mesma região usada anteriormente.
  6. Em Tipo de gateway, selecione VPN.
  7. Em Tipo de VPN, selecione Baseada em rota.
  8. Em SKU, selecione Básico.
  9. Em Rede virtual, selecione VNet-Onprem.
  10. Em Endereço IP público, selecione Criar e digite VNet-Onprem-GW-pip para o nome.
  11. Aceite os padrões restantes e, em seguida, selecione Examinar + criar.
  12. Examine a configuração e, em seguida, selecione Criar.

Criar conexões de VPN

Agora você pode criar as conexões VPN entre o hub e os gateways locais.

Nesta etapa, você criará a conexão da rede virtual do hub à rede virtual local. Você verá uma chave compartilhada referenciada nos exemplos. Você pode usar seus próprios valores para a chave compartilhada. O importante é que a chave compartilhada deve corresponder em ambas as conexões. Criar uma conexão pode levar alguns minutos para ser concluída.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-hub.
  2. Selecione Conexões na coluna à esquerda.
  3. Selecione Adicionar.
  4. Para o nome da conexão, digite Hub-to-Onprem.
  5. Selecione VNET a VNET em Tipo de conexão.
  6. No Segundo gateway de rede virtual, selecione GW-Onprem.
  7. Em Chave compartilhada (PSK) , digite AzureA1b2C3.
  8. Selecione OK.

Crie a conexão da rede virtual local à de hub. Esta etapa é semelhante à anterior, exceto que você cria a conexão da VNet-Onprem à VNet-hub. Verifique se que as chaves compartilhadas correspondem. Depois de alguns minutos, a conexão deverá ser estabelecida.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-Onprem.
  2. Selecione Conexões na coluna à esquerda.
  3. Selecione Adicionar.
  4. Para o nome da conexão, digite Onprem-to-Hub.
  5. Selecione VNET a VNET em Tipo de conexão.
  6. Para o Segundo gateway de rede virtual, selecione GW-hub.
  7. Em Chave compartilhada (PSK) , digite AzureA1b2C3.
  8. Selecione OK.

Verificar conexão

Após cerca de cinco minutos ou mais, o status de ambas as conexões deve estar Conectado.

Conexões de gateway

Emparelhar as redes virtuais hub e spoke

Agora emparelhe as redes virtuais hub e spoke.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione a rede virtual VNet-hub.

  2. Na coluna à esquerda, selecione Emparelhamentos.

  3. Selecione Adicionar.

  4. Em Esta rede virtual:

    Nome da configuração Valor
    Nome do link de emparelhamento HubtoSpoke
    Tráfego para a rede virtual remota Permitir (padrão)
    Tráfego encaminhado da rede virtual remota Permitir (padrão)
    Gateway de rede virtual Usar este gateway da rede virtual

  5. Em Rede virtual remota:

    Nome da configuração Valor
    Nome do link de emparelhamento SpoketoHub
    Modelo de implantação de rede virtual Gerenciador de recursos
    Assinatura <sua assinatura>
    Rede virtual VNet-Spoke
    Tráfego para a rede virtual remota Permitir (padrão)
    Tráfego encaminhado da rede virtual remota Permitir (padrão)
    Gateway de rede virtual Usar o gateway da rede virtual remota

  6. Selecione Adicionar.

    Emparelhamento VNET

Criar as rotas

Em seguida, crie duas rotas:

  • Uma rota da sub-rede do gateway do hub até a sub-rede do spoke pelo endereço IP de firewall
  • Uma rota padrão da sub-rede do spoke pelo endereço IP de firewall
  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
  3. Selecione Tabela de rotas.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Em Região, selecione a mesma localização usada anteriormente.
  7. Para o nome, digite UDR-Hub-Spoke.
  8. Selecione Examinar + criar.
  9. Selecione Criar.
  10. Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
  11. Selecione Rotas na coluna à esquerda.
  12. Selecione Adicionar.
  13. Para o nome da rota, digite ToSpoke.
  14. Para o Destino do prefixo de endereço, selecione Endereços IP.
  15. Para os Intervalos de CIDR /endereço IP de destino, digite 10.6.0.0/16.
  16. Para o tipo do próximo salto, selecione Solução de virtualização.
  17. Para o endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.
  18. Selecione Adicionar.

Agora associe a rota à sub-rede.

  1. Na página UDR-Hub-Spoke – Rotas, selecione Sub-redes.
  2. Selecione Associar.
  3. Em Rede virtual, selecione VNet-hub.
  4. Em Sub-rede, selecione GatewaySubnet.
  5. Selecione OK.

Agora crie a rota padrão com base na sub-rede spoke.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
  3. Selecione Tabela de rotas.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Em Região, selecione a mesma localização usada anteriormente.
  7. Para o nome, digite UDR-DG.
  8. Em Propagar rota do gateway, selecione Não.
  9. Selecione Examinar + criar.
  10. Selecione Criar.
  11. Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
  12. Selecione Rotas na coluna à esquerda.
  13. Selecione Adicionar.
  14. Para o nome da rota, digite ToHub.
  15. Para o Destino do prefixo de endereço, selecione Endereços IP.
  16. Para os Intervalos de CIDR /endereço IP de destino, digite 0.0.0.0/0.
  17. Para o tipo do próximo salto, selecione Solução de virtualização.
  18. Para o endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.
  19. Selecione Adicionar.

Agora associe a rota à sub-rede.

  1. Na página UDR-DG – Rotas, selecione Sub-redes.
  2. Selecione Associar.
  3. Em Rede virtual, selecione VNet-spoke.
  4. Em Sub-rede, escolha SN-Workload.
  5. Selecione OK.

Criar máquinas virtuais

Agora crie a carga de trabalho do spoke e as máquinas virtuais locais e coloque-as nas sub-redes apropriadas.

Criar a máquina virtual de carga de trabalho

Crie uma máquina virtual na rede virtual spoke, que executa o IIS, sem nenhum endereço IP público.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Em Produtos populares do Marketplace, selecione o Datacenter do Windows Server 2019.
  3. Insira esses valores para a máquina virtual:
    • Grupo de recursos – selecione FW-Hybrid-Test
    • Nome da máquina virtualVM-Spoke-01
    • Região – a mesma região usada anteriormente
    • Nome de usuário: <digite um nome de usuário>
    • Senha: <digite uma senha>
  4. Em Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, selecione HTTP (80) e RDP (3389).
  5. Selecione Avançar:Discos.
  6. Aceite os padrões e selecione Avançar: Rede.
  7. Selecione VNet-Spoke para a rede virtual; a sub-rede é SN-Workload.
  8. Em IP Público, selecione Nenhum.
  9. Selecione Avançar: Gerenciamento.
  10. Em Diagnóstico de inicialização, selecione Desabilitar.
  11. Selecione Examinar+Criar, examine as configurações na página de resumo e, em seguida, selecione Criar.

Instalar o IIS

Depois que a máquina virtual for criada, instale o IIS.

  1. No portal do Azure, abra o Cloud Shell e verifique se ele está definido como PowerShell.

  2. Execute o comando a seguir para instalar o IIS na máquina virtual e altere a localização se necessário:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Criar a máquina virtual local

Trata-se de uma máquina virtual que pode ser usada para se conectar usando a Área de Trabalho Remota ao endereço IP público. A partir daí, você conecta o servidor local por meio do firewall.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Em Produtos populares do Marketplace, selecione o Datacenter do Windows Server 2019.
  3. Insira esses valores para a máquina virtual:
    • Grupo de recursos – selecione existente e, em seguida, selecione FW-Hybrid-Test.
    • Nome da máquina virtual - VM-Onprem.
    • Região – a mesma região usada anteriormente.
    • Nome de usuário: <digite um nome de usuário>.
    • Senha: <digite uma senha do usuário>.
  4. Em Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, RDP (3389)
  5. Selecione Avançar:Discos.
  6. Aceite os padrões e selecione Avançar: Rede.
  7. Selecione VNet-Onprem para a rede virtual; a sub-rede é SN-Corp.
  8. Selecione Avançar: Gerenciamento.
  9. Em Diagnóstico de inicialização, selecione Desabilitar.
  10. Selecione Examinar+Criar, examine as configurações na página de resumo e, em seguida, selecione Criar.

Observação

O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso do Gateway da NAT do Azure é atribuído à sub-rede da VM.

As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.

Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.

Testar o firewall

  1. Primeiro, anote o endereço IP privado da máquina virtual VM-spoke-01.

  2. No portal do Azure, conecte a máquina virtual VM-Onprem.

  3. Abra um navegador da Web na VM-Onprem e navegue até o IP privado http://<VM-spoke-01>.

    Você deverá ver a página da Web VM-spoke-01: Página da Web de VM-Spoke-01

  4. Na máquina virtual VM-Onprem, abra uma Área de Trabalho Remota para VM-spoke-01 no endereço IP privado.

    Sua conexão deverá ter sucesso e você deverá conseguir entrar.

Agora que você verificou se as regras de firewall estão funcionando:

  • Você pode procurar o servidor Web na rede virtual spoke.
  • Você pode conectar o servidor na rede virtual spoke usando o RDP.

Em seguida, altere a ação de coleção de regras da rede do firewall para Deny a fim de verificar se as regras do firewall funciona como o esperado.

  1. Selecione a Política de Firewall hybrid-test-pol.
  2. Selecione Coleções de Regras.
  3. Escolha a coleção de regras RCNet01.
  4. Para Ação de coleção de regras, selecione Negar.
  5. Clique em Salvar.

Feche as áreas de trabalho remotas existentes antes de testar a alteração das regras. Agora execute os testes novamente. Todos devem falhar nesse momento.

Limpar os recursos

Você pode manter seus recursos de firewall para o próximo tutorial ou se não forem mais necessários, exclua o grupo de recursos FW-Hybrid-Test para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium