Planejar a implantação do Firewall do Azure
Para implantar o Firewall do Azure, planeje sua topologia de rede, identifique as regras de firewall necessárias e entenda as etapas de implantação.
Topologia de rede recomendada
Lembre-se de que o Firewall do Azure é mais bem implantado usando uma topologia de rede hub e spoke com as seguintes características:
- Uma rede virtual que atua como o ponto de conectividade central. Essa rede é a rede virtual hub.
- Uma ou mais redes virtuais emparelhadas ao hub. Esses pares são as redes virtuais spoke, usados para provisionar servidores de carga de trabalho.
Você pode implantar a instância de firewall em uma sub-rede da rede virtual do hub e, em seguida, configurar todo o tráfego de entrada e saída para percorrer o firewall. Você usará essa configuração ao implantar o Firewall do Azure a fim de proteger o pool de host da Área de Trabalho Virtual do Azure.
Regras do Firewall do Azure
Lembre-se de que, por padrão, o firewall nega acesso a tudo. Sua função é configurar o firewall com as condições sob as quais o tráfego tem permissão para passar pelo firewall. Cada condição é chamada de regra. Cada regra aplica uma ou mais verificações sobre os dados. Somente o tráfego que é aprovado em todas as verificações em todas as regras do firewall tem permissão para passar.
A tabela a seguir descreve os três tipos de regras que você pode criar para um Firewall do Azure. Para permitir o tráfego de rede apropriado para a Área de Trabalho Virtual do Azure, você usará as regras de aplicativo e de rede.
| Tipo de regra | Descrição |
|---|---|
| Conversão de endereços de rede (NAT) | Converta e filtre o tráfego de Internet de entrada com base no endereço IP público do firewall e em um número de porta especificado. Por exemplo, para habilitar uma conexão de área de trabalho remota a uma VM (máquina virtual), você pode usar uma regra NAT a fim de converter o endereço IP público do firewall e a porta 3389 para o endereço IP privado da VM. |
| Aplicativo | Filtre o tráfego com base em um FQDN (nome de domínio totalmente qualificado) ou na marca FQDN. A marca FQDN representa um grupo de FQDNs associados a serviços Microsoft bem conhecidos, como a Área de Trabalho Virtual do Azure. Por exemplo, você usará uma regra de aplicativo a fim de permitir o tráfego de saída para as VMs da Área de Trabalho Virtual do Azure usando a marca FQDN WindowsVirtualDesktop. |
| Rede | Filtre o tráfego com base em um ou mais dos seguintes três parâmetros: endereço IP, porta e protocolo. Por exemplo, use uma regra de rede para permitir o tráfego de um endereço IP privado do Servidor de Domínio do Active Directory local para o Azure para TCP e UDP porta 53. Se estiver usando o Servidor de Domínio do Microsoft Entra, você não precisará criar uma regra de rede. As consultas DNS são encaminhadas ao DNS do Azure em 168.63.129.16. |
O Firewall do Azure aplica as regras em ordem de prioridade. As regras baseadas na inteligência contra ameaças sempre recebem a prioridade mais alta e são processadas primeiro. Depois disso, as regras são aplicadas por tipo: regras de NAT, regras de rede e regras de aplicativo. Dentro de cada tipo, as regras são processadas de acordo com os valores de prioridade que você atribui ao criar a regra, do valor mais baixo para o mais alto.
Opções de implantação
Lembre-se de que o Firewall do Azure oferece muitos recursos projetados para facilitar a criação e o gerenciamento de regras. A tabela a seguir resume esses recursos. Para permitir o tráfego de rede da Área de Trabalho Virtual do Azure, você usará marcas FQDN, mas também poderá usar essas outras opções em seu ambiente.
| Recurso | Descrição |
|---|---|
| FQDN | Um nome de domínio de um host ou um ou mais endereços IP. Adicionar um FQDN a uma regra de aplicativo permite o acesso a esse domínio. Ao usar um FQDN em uma regra de aplicativo, você poderá usar curingas, como *.google.com. |
| Marca FQDN | Um grupo de FQDNs bem conhecidos da Microsoft. Adicionar uma marca FQDN a uma regra de aplicativo permite o acesso de saída aos FQDNs da marca. Por exemplo, há marcas FQDN para Windows Update, Área de Trabalho Virtual do Azure, Diagnóstico do Windows e Backup do Azure. A Microsoft gerencia marcas FQDN e você não pode modificá-las ou criá-las. |
| Marca de serviço | Um grupo de prefixos de endereço IP relacionados a um serviço do Azure específico. Adicionar uma marca de serviço a uma regra de rede permite o acesso ao serviço representado pela marca. Há marcas de serviço para dezenas de serviços do Azure, incluindo o Backup do Azure, o Azure Cosmos DB e os Aplicativos Lógicos do Azure. A Microsoft gerencia marcas de serviço e você não pode modificá-las ou criá-las. |
| Grupos de IPs | Um grupo de endereços IP, como 10.2.0.0/16 ou 10.1.0.0-10.1.0.31. Você pode usar um grupo de IPs como o endereço de origem em uma regra de aplicativo ou NAT ou como o endereço de origem ou de destino em uma regra de rede. |
| DNS Personalizado | Um servidor DNS personalizado que resolve nomes de domínio para endereços IP. Se você usar um servidor DNS personalizado em vez do DNS do Azure, também deverá configurar o Firewall do Azure como um proxy DNS. |
| Proxy DNS | Você pode configurar o Firewall do Azure para atuar como um proxy DNS, o que significa que todas as solicitações de DNS do cliente passam pelo firewall antes de ir para o servidor DNS. |
Etapas de implantação do Firewall do Azure
No exercício anterior, você criou um pool de host e uma rede virtual com uma sub-rede. Você implantou uma VM host da sessão nessa sub-rede e a registrou com o pool de host. Nos próximos exercícios, você realizará as etapas a seguir para implantar o Firewall do Azure a fim de proteger o pool de host.
Configurou a rede:
- Crie uma rede virtual hub que inclua uma sub-rede para a implantação do firewall.
- Emparelhe as redes hub e spoke. No próximo exercício, você emparelhará a rede virtual do hub com a rede virtual usada pelo pool de host da Área de Trabalho Virtual do Azure.
Implante o Firewall do Azure:
- Implante o Firewall do Azure em uma sub-rede na rede virtual do hub.
- Para o tráfego de saída, crie uma rota padrão que envia o tráfego de todas as sub-redes ao endereço IP privado do firewall.
Crie regras do Firewall do Azure:
- Configure o firewall com regras para filtrar o tráfego de entrada e de saída.