Tutorial: Filtrar o tráfego de rede com um Grupo de Segurança de Rede usando o portal do AzureTutorial: Filter network traffic with a network security group using the Azure portal

É possível filtrar o tráfego para entrada e saída de uma sub-rede de rede virtual com um grupo de segurança de rede.You can filter network traffic inbound to and outbound from a virtual network subnet with a network security group. Grupos de segurança de rede contêm regras de segurança que filtram o tráfego por endereço IP, porta e protocolo.Network security groups contain security rules that filter network traffic by IP address, port, and protocol. As regras de segurança são aplicadas aos recursos implantados em uma sub-rede.Security rules are applied to resources deployed in a subnet. Neste tutorial, você aprenderá como:In this tutorial, you learn how to:

  • Criar um grupo de segurança de rede e regras de segurançaCreate a network security group and security rules
  • Criar uma rede virtual e associar um grupo de segurança de rede a uma sub-redeCreate a virtual network and associate a network security group to a subnet
  • Implantar VMs (máquinas virtuais) em uma sub-redeDeploy virtual machines (VM) into a subnet
  • Testar filtros de tráfegoTest traffic filters

Se preferir, você pode concluir este tutorial usando a CLI do Azure ou o PowerShell.If you prefer, you can complete this tutorial using the Azure CLI or PowerShell.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.If you don't have an Azure subscription, create a free account before you begin.

Entrar no AzureSign in to Azure

Entre no Portal do Azure em https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.

Criar uma rede virtualCreate a virtual network

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.On the Azure portal menu or from the Home page, select Create a resource.

  2. Selecione Rede e, sem seguida, selecione Rede Virtual.Select Networking, and then select Virtual network.

  3. Insira, ou selecione, as informações a seguir, aceite os padrões para as configurações restantes e, em seguida, selecione Criar:Enter, or select, the following information, accept the defaults for the remaining settings, and then select Create:

    ConfiguraçãoSetting ValorValue
    NomeName myVirtualNetworkmyVirtualNetwork
    Espaço de endereçoAddress space 10.0.0.0/1610.0.0.0/16
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Selecione Criar novo e insira myResourceGroup.Select Create new and enter myResourceGroup.
    LocationLocation Selecione Leste dos EUA.Select East US.
    Sub-rede – NomeSubnet- Name mySubnetmySubnet
    Sub-rede – Intervalo de endereçosSubnet - Address range 10.0.0.0/2410.0.0.0/24

Criar grupos de segurança de aplicativosCreate application security groups

Um grupo de segurança de aplicativos permite agrupar servidores com funções semelhantes, como servidores Web.An application security group enables you to group together servers with similar functions, such as web servers.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.On the Azure portal menu or from the Home page, select Create a resource.

  2. Na caixa Pesquisar no Marketplace, insira Grupo de segurança do aplicativo.In the Search the Marketplace box, enter Application security group. Quando Grupo de segurança do aplicativo for exibido nos resultados da pesquisa, selecione-o, selecione Grupo de segurança do aplicativo novamente em Tudo e, em seguida, selecione Criar.When Application security group appears in the search results, select it, select Application security group again under Everything, and then select Create.

  3. Insira ou selecione as seguintes informações e selecione Criar:Enter, or select, the following information, and then select Create:

    ConfiguraçãoSetting ValorValue
    NomeName myAsgWebServersmyAsgWebServers
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Selecione Usar existente e depois myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation Leste dos EUAEast US
  4. Conclua a etapa 3 novamente, especificando os seguintes valores:Complete step 3 again, specifying the following values:

    ConfiguraçãoSetting ValorValue
    NomeName myAsgMgmtServersmyAsgMgmtServers
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Selecione Usar existente e depois myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation Leste dos EUAEast US

Criar um grupo de segurança de redeCreate a network security group

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.On the Azure portal menu or from the Home page, select Create a resource.

  2. Selecione Rede e Grupo de segurança de rede.Select Networking, and then select Network security group.

  3. Insira ou selecione as seguintes informações e selecione Criar:Enter, or select, the following information, and then select Create:

    ConfiguraçãoSetting ValorValue
    NomeName myNsgmyNsg
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Clique em Usar existente e selecione myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation Leste dos EUAEast US

Associar o grupo de segurança de rede à sub-redeAssociate network security group to subnet

  1. Na caixa Pesquisar recursos, serviços e documentos na parte superior do portal, comece digitando myNsg.In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. Quando myNsg aparecer nos resultados da pesquisa, selecione-o.When myNsg appears in the search results, select it.

  2. Em CONFIGURAÇÕES, selecione Sub-redes e, em seguida, selecione + Associar, conforme mostrado na imagem a seguir:Under SETTINGS, select Subnets and then select + Associate, as shown in the following picture:

    Associar o NSG à sub-rede

  3. Em Associar sub-rede, selecione Rede virtual e depois myVirtualNetwork.Under Associate subnet, select Virtual network and then select myVirtualNetwork. Selecione Sub-rede, depois mySubnet e, por fim, OK.Select Subnet, select mySubnet, and then select OK.

Criar regras de segurançaCreate security rules

  1. Em CONFIGURAÇÕES, selecione Regras de segurança inbound e, em seguida, selecione + Adicionar, como mostrado na imagem a seguir:Under SETTINGS, select Inbound security rules and then select + Add, as shown in the following picture:

    Adicionar uma regra de segurança de entrada

  2. Criar uma regra de segurança que habilita as portas 80 e 443 ao grupo de segurança de aplicativo myAsgWebServers.Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. Em Adicionar regra de segurança de entrada, insira ou selecione os valores a seguir, aceite os padrões restantes e, em seguida, selecione Adicionar:Under Add inbound security rule, enter, or select the following values, accept the remaining defaults, and then select Add:

    ConfiguraçãoSetting ValorValue
    DestinoDestination Selecione Grupo de segurança de aplicativo e, em seguida, selecione myAsgWebServers para Grupo de segurança de aplicativo.Select Application security group, and then select myAsgWebServers for Application security group.
    Intervalos de portas de destinoDestination port ranges Insira 80,443Enter 80,443
    ProtocoloProtocol Selecione TCPSelect TCP
    NomeName Allow-Web-AllAllow-Web-All
  3. Conclua a etapa 2 novamente, usando os seguintes valores:Complete step 2 again, using the following values:

    ConfiguraçãoSetting ValorValue
    DestinoDestination Selecione Grupo de segurança de aplicativo e, em seguida, selecione myAsgMgmtServers para Grupo de segurança de aplicativo.Select Application security group, and then select myAsgMgmtServers for Application security group.
    Intervalos de portas de destinoDestination port ranges Insira 3389Enter 3389
    ProtocoloProtocol Selecione TCPSelect TCP
    PrioridadePriority Insira 110Enter 110
    NomeName Allow-RDP-AllAllow-RDP-All

    Neste tutorial, o RDP (porta 3389) é exposto à internet para a VM atribuída ao grupo de segurança de aplicativo myAsgMgmtServers.In this tutorial, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group. Para ambientes de produção, em vez de expor a porta 3389 à Internet, é recomendável conectar os recursos do Azure que você quer gerenciar utilizando uma conexão de rede VPN ou privada.For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN or private network connection.

Depois de concluir as etapas 1 a 3, examine as regras que você criou.Once you've completed steps 1-3, review the rules you created. Sua lista deve ser semelhante à da seguinte figura:Your list should look like the list in the following picture:

Regras de segurança

Criar máquinas virtuaisCreate virtual machines

Crie duas VMs na rede virtual.Create two VMs in the virtual network.

Criar a primeira VMCreate the first VM

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.On the Azure portal menu or from the Home page, select Create a resource.

  2. Selecione Computação e, em seguida, selecione Windows Server 2016 Datacenter.Select Compute, and then select Windows Server 2016 Datacenter.

  3. Insira ou selecione as seguintes informações e aceite os padrões para as configurações restantes:Enter, or select, the following information, and accept the defaults for the remaining settings:

    ConfiguraçãoSetting ValorValue
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Selecione Usar existente e, em seguida, myResourceGroup.Select Use existing and select myResourceGroup.
    NomeName myVmWebmyVmWeb
    LocationLocation Selecione Leste dos EUA.Select East US.
    Nome de usuárioUser name Insira um nome de usuário de sua escolha.Enter a user name of your choosing.
    SenhaPassword Insira uma senha de sua escolha.Enter a password of your choosing. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.The password must be at least 12 characters long and meet the defined complexity requirements.
  4. Selecione um tamanho para a VM e selecione Selecionar.Select a size for the VM and then select Select.

  5. Em Rede, selecione os seguintes valores e aceite os padrões restantes:Under Networking, select the following values, and accept the remaining defaults:

    ConfiguraçãoSetting ValorValue
    Rede virtualVirtual network Selecione myVirtualNetwork.Select myVirtualNetwork.
    Grupo de segurança de rede da NICNIC network security group Selecione Nenhum.Select None.
  6. Selecione Examinar + Criar no canto inferior esquerdo e selecione Criar para iniciar a implantação da VM.Select Review + Create at the bottom, left corner, select Create to start VM deployment.

Criar a segunda VMCreate the second VM

Conclua as etapas de 1 a 6 novamente, mas, na etapa 3, nomeie a VM como myVmMgmt.Complete steps 1-6 again, but in step 3, name the VM myVmMgmt. A VM demora alguns minutos para implantar.The VM takes a few minutes to deploy. Não prossiga para a próxima etapa até que a VM seja implantada.Do not continue to the next step until the VM is deployed.

Associar adaptadores de rede a um ASGAssociate network interfaces to an ASG

Quando o portal criou as VMs, ele criou e anexou uma interface de rede para cada VM.When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM. Adicione a interface de rede para cada VM para um dos grupos de segurança de aplicativo criados anteriormente:Add the network interface for each VM to one of the application security groups you created previously:

  1. Na caixa Pesquisar recursos, serviços e documentos na parte superior do portal, comece digitando myVmWeb.In the Search resources, services, and docs box at the top of the portal, begin typing myVmWeb. Quando a VM myVmWeb aparecer nos resultados da pesquisa, selecione-a.When the myVmWeb VM appears in the search results, select it.

  2. Em CONFIGURAÇÕES, selecione Rede.Under SETTINGS, select Networking. Selecione Configurar os grupos de segurança do aplicativo, selecione myAsgWebServers para Grupos de segurança do aplicativo e, em seguida, selecione Salvar, conforme mostrado na imagem a seguir:Select Configure the application security groups, select myAsgWebServers for Application security groups, and then select Save, as shown in the following picture:

    Associar ao ASG

  3. Conclua as etapas 1 e 2 novamente, procurando a VM myVmMgmt e selecionando o ASG myAsgMgmtServers.Complete steps 1 and 2 again, searching for the myVmMgmt VM and selecting the myAsgMgmtServers ASG.

Testar filtros de tráfegoTest traffic filters

  1. Conecte-se à VM myVmMgmt.Connect to the myVmMgmt VM. Insira myVmMgmt na caixa de pesquisa na parte superior do portal.Enter myVmMgmt in the search box at the top of the portal. Quando myVmMgmt aparecer na caixa de resultados, selecione-o.When myVmMgmt appears in the search results, select it. Selecione o botão Conectar.Select the Connect button.

  2. Selecione Baixar Arquivo RDP.Select Download RDP file.

  3. Abra o arquivo RDP baixado e selecione Conectar.Open the downloaded rdp file and select Connect. Insira o nome de usuário e senha que você especificou ao criar a VM.Enter the user name and password you specified when creating the VM. Talvez seja necessário selecionar Mais escolhas e, em seguida, Usar uma conta diferente para especificar as credenciais inseridas durante a criação da VM.You may need to select More choices, then Use a different account, to specify the credentials you entered when you created the VM.

  4. Selecione OK.Select OK.

  5. Você pode receber um aviso do certificado durante o processo de logon.You may receive a certificate warning during the sign-in process. Se você receber o aviso, selecione Sim ou Continuar, para prosseguir com a conexão.If you receive the warning, select Yes or Continue, to proceed with the connection.

    É uma conexão com êxito porque a porta 3389 tem permissão de entrada da Internet para o grupo de segurança de aplicativo myAsgMgmtServers ao qual o adaptador de rede conectado à VM myVmMgmt está.The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group that the network interface attached to the myVmMgmt VM is in.

  6. Conecte-se à VM myVmWeb a partir da VM myVmMgmt inserindo o seguinte comando em uma sessão do PowerShell:Connect to the myVmWeb VM from the myVmMgmt VM by entering the following command in a PowerShell session:

    mstsc /v:myVmWeb
    

    É possível se conectar à VM myVmWeb a partir da VM myVmMgmt porque as VMs na mesma rede virtual podem se comunicar entre si em qualquer porta, por padrão.You are able to connect to the myVmWeb VM from the myVmMgmt VM because VMs in the same virtual network can communicate with each other over any port, by default. Porém, não é possível criar uma conexão de área de trabalho remota para a VM myVmWeb da Internet porque a regra de segurança para myAsgWebServers não permite a entrada da porta 3389 da Internet e o tráfego de entrada da Internet é negado a todos os recursos, por padrão.You can't however, create a remote desktop connection to the myVmWeb VM from the internet, because the security rule for the myAsgWebServers doesn't allow port 3389 inbound from the internet and inbound traffic from the Internet is denied to all resources, by default.

  7. Para instalar os IIS da Microsoft na VM myVmWeb, insira o comando a seguir a partir de uma sessão do PowerShell na VM myVmWeb:To install Microsoft IIS on the myVmWeb VM, enter the following command from a PowerShell session on the myVmWeb VM:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. Após a conclusão da instalação dos Serviços de Informações da Internet, desconecte-se da VM myVmWeb, que direciona para a conexão da área de trabalho remota da VM myVmMgmt.After the IIS installation is complete, disconnect from the myVmWeb VM, which leaves you in the myVmMgmt VM remote desktop connection.

  9. Desconecte a VM myVmMgmt.Disconnect from the myVmMgmt VM.

  10. Na caixa Pesquisar recursos, serviços e documentos na parte superior do portal do Azure, comece digitando myVmWeb no seu computador.In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVmWeb from your computer. Quando myVmWeb apareces nos resultados da pesquisa, selecione-o.When myVmWeb appears in the search results, select it. Anote o endereço IP público da VM.Note the Public IP address for your VM. O endereço mostrado na imagem a seguir é 137.135.84.74, mas seu endereço é diferente:The address shown in the following picture is 137.135.84.74, but your address is different:

    Endereço IP público

  11. Para confirmar se é possível acessar o servidor Web myVmWeb na Internet, abra um navegador da Internet no seu computador e navegue até http://<public-ip-address-from-previous-step>.To confirm that you can access the myVmWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>. Você verá uma tela de boas-vindas dos IIS porque a porta 80 tem permissão de entrada da Internet para o grupo de segurança de aplicativo myAsgWebServers no qual está anexado o adaptador de rede à VM myVmWeb.You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group that the network interface attached to the myVmWeb VM is in.

Limpar os recursosClean up resources

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos que ele contém:When no longer needed, delete the resource group and all of the resources it contains:

  1. Insira myResourceGroup na caixa Pesquisar na parte superior do portal.Enter myResourceGroup in the Search box at the top of the portal. Quando aparecer myResourceGroup nos resultados da pesquisa, selecione-o.When you see myResourceGroup in the search results, select it.
  2. Selecione Excluir grupo de recursos.Select Delete resource group.
  3. Insira myResourceGroup para DIGITAR O NOME DO GRUPO DE RECURSOS: e selecione Excluir.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Próximas etapasNext steps

Neste tutorial, você criou um grupo de segurança de rede e o associou a uma sub-rede de rede virtual.In this tutorial, you created a network security group and associated it to a virtual network subnet. Para saber mais sobre grupos de segurança de rede, consulte Visão geral do grupo de segurança de rede e Gerenciar um grupo de segurança de rede.To learn more about network security groups, see Network security group overview and Manage a network security group.

O Azure roteia o tráfego entre sub-redes por padrão.Azure routes traffic between subnets by default. Em vez disso, é possível escolher rotear o tráfego entre sub-redes por meio de uma VM, servindo como um firewall, por exemplo.You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example. Para saber mais sobre como criar uma tabela de rotas, avance para o próximo tutorial.To learn how to create a route table, advance to the next tutorial.