Tutorial: Filtrar o tráfego da Internet de entrada com Azure Firewall política DNAT com o portal do Azure

  • Artigo

Pode configurar Azure Firewall política tradução de endereços de rede de destino (DNAT) para traduzir e filtrar o tráfego de entrada da Internet para as suas sub-redes. Quando configura o DNAT, a ação de recolha de regras é definida como DNAT. Cada regra na coleção de regras NAT pode ser utilizada para traduzir o endereço IP público e a porta da firewall para um endereço IP privado e uma porta. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego traduzido. Por motivos de segurança, a abordagem recomendada é adicionar uma origem de Internet específica para permitir o acesso dnat à rede e evitar a utilização de carateres universais. Para saber mais sobre a lógica de processamento de regras do Azure Firewall, veja Lógica de processamento de regras do Azure Firewall.

Neste tutorial, ficará a saber como:

  • Configurar um ambiente de rede de teste
  • Implementar uma firewall e uma política
  • Criar uma rota predefinida
  • Configurar uma regra DNAT
  • Testar a firewall

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Inicie sessão no portal do Azure.
  2. Na home page portal do Azure, selecione Grupos de recursos e, em seguida, selecione Adicionar.
  3. Em Subscrição, selecione a sua subscrição.
  4. Em Nome do grupo de recursos, escreva RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os outros recursos que criar têm de estar na mesma região.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Neste tutorial, vai criar duas VNets em modo peering:

  • VNet-Hub - a firewall está nesta VNet.
  • VN-Spoke - o servidor de carga de trabalho está nesta VNet.

Em primeiro lugar, crie as VNets e, em seguida, configure o peering entre elas.

Criar a VNet Hub

  1. Na home page portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Redes virtuais.

  3. Selecione Adicionar.

  4. Em Grupo de recursos, selecione RG-DNAT-Test.

  5. Em Nome, escreva VN-Hub.

  6. Em Região, selecione a mesma região que utilizou anteriormente.

  7. Selecione Seguinte: Endereços IP.

  8. Para o Espaço de endereços IPv4, aceite a predefinição 10.0.0.0/16.

  9. Em Nome da sub-rede, selecione predefinição.

  10. Edite o nome da Sub-rede e escreva AzureFirewallSubnet.

    A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.

    Nota

    O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, veja Azure Firewall FAQ.

  11. Para Intervalo de endereços da sub-rede, escreva 10.0.1.0/26.

  12. Selecione Guardar.

  13. Selecione Rever + criar.

  14. Selecione Criar.

Criar uma VNet spoke

  1. Na home page portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Adicionar.
  4. Em Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, escreva VN-Spoke.
  6. Em Região, selecione a mesma região que utilizou anteriormente.
  7. Selecione Seguinte: Endereços IP.
  8. Para Espaço de endereços IPv4, edite a predefinição e escreva 192.168.0.0/16.
  9. Selecione Adicionar sub-rede.
  10. Para o nome da Sub-rede , escreva SN-Workload.
  11. Em Intervalo de endereços da sub-rede, escreva 192.168.1.0/24.
  12. Selecione Adicionar.
  13. Selecione Rever + criar.
  14. Selecione Criar.

Configurar o peering entre as VNets

Agora, configure o peering entre as duas VNets.

  1. Selecione a rede virtual VN-Hub .
  2. Em Definições, selecione Peerings.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, para o nome da ligação peering, escreva Peer-HubSpoke.
  5. Em Rede virtual remota, para o nome da ligação peering, escreva Peer-SpokeHub.
  6. Selecione VN-Spoke para a rede virtual.
  7. Aceite todas as outras predefinições e, em seguida, selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Popular, selecione Windows Server 2016 Datacenter.

Noções básicas

  1. Em Subscrição, selecione a sua subscrição.
  2. Em Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, escreva Srv-Workload.
  4. Em Região, selecione a mesma localização que utilizou anteriormente.
  5. Escreva um nome de utilizador e uma palavra-passe.
  6. Selecione Seguinte: Discos.

Discos

  1. Selecione Seguinte: Rede.

Redes

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, selecione SN-Workload.
  3. Para IP Público, selecione Nenhum.
  4. Em Portas de entrada públicas, selecione Nenhuma.
  5. Deixe as outras predefinições e selecione Seguinte: Gestão.

Gestão

  1. Para Diagnóstico de arranque, selecione Desativar.
  2. Selecione Rever + Criar.

Rever + Criar

Reveja o resumo e, em seguida, selecione Criar. Este processo vai demorar alguns minutos a concluir.

Após a conclusão da implementação, tome nota do endereço IP privado para a máquina virtual. Será utilizado mais tarde quando configurar a firewall. Selecione o nome da máquina virtual e, em Definições, selecione Rede para localizar o endereço IP privado.

Implementar a firewall e a política

  1. Na home page do portal, selecione Criar um recurso.

  2. Procure Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Valor
    Subscrição <a sua subscrição>
    Grupo de recursos Selecione RG-DNAT-Test
    Name FW-DNAT-test
    Region Selecionar a mesma localização que utilizou anteriormente
    Gestão da firewall Utilizar uma Política de Firewall para gerir esta firewall
    Política de firewall Adicionar novo:
    fw-dnat-pol
    a sua região selecionada
    Escolher uma rede virtual Utilizar existente: VN-Hub
    Endereço IP público Adicione novo, Nome: fw-pip.

  5. Aceite as outras predefinições e, em seguida, selecione Rever + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Esta implementação demora alguns minutos.

  7. Após a conclusão da implementação, aceda ao grupo de recursos RG-DNAT-Test e selecione a firewall FW-DNAT-test .

  8. Repare nos endereços IP privados e públicos da firewall. Irá utilizá-los mais tarde quando criar a rota predefinida e a regra NAT.

Criar uma rota predefinida

Na sub-rede SN-Workload, vai configurar a rota de saída predefinida para passar pela firewall.

Importante

Não precisa de configurar uma rota explícita de volta para a firewall na sub-rede de destino. Azure Firewall é um serviço com monitorização de estado e processa automaticamente os pacotes e sessões. Se criar esta rota, irá criar um ambiente de encaminhamento assimétrico que interrompe a lógica de sessão com estado e resulta em pacotes e ligações removidos.

  1. Na home page portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Tabelas de rotas.

  3. Selecione Adicionar.

  4. Em Subscrição, selecione a sua subscrição.

  5. Em Grupo de recursos, selecione RG-DNAT-Test.

  6. Em Região, selecione a mesma região que utilizou anteriormente.

  7. Em Nome, escreva RT-FW-route.

  8. Selecione Rever + criar.

  9. Selecione Criar.

  10. Selecione Ir para recurso.

  11. Selecione Sub-redes e, em seguida, selecione Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, selecione SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, selecione Adicionar.

  16. Em Nome da rota, escreva fw-dg.

  17. Em Prefixo de endereço, escreva 0.0.0.0/0.

  18. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  19. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  20. Selecione OK.

Configurar uma regra NAT

Esta regra permite-lhe ligar um ambiente de trabalho remoto à máquina virtual Srv-Workload através da firewall.

  1. Abra o grupo de recursos RG-DNAT-Test e selecione a política de firewall fw-dnat-pol .
  2. Em Definições, selecione Regras DNAT.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, escreva rdp.
  5. Em Prioridade, escreva 200.
  6. Em Grupo de coleção de regras, selecione DefaultDnatRuleCollectionGroup.
  7. Em Regras, em Nome, escreva rdp-nat.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, escreva *.
  10. Em Protocolo, selecione TCP.
  11. Para Portas de Destino, escreva 3389.
  12. Em Tipo de Destino, selecione Endereço IP.
  13. Em Destino, escreva o endereço IP público da firewall.
  14. Para Endereço traduzido, escreva o endereço IP privado Srv-Workload .
  15. Em Porta traduzida, escreva 3389.
  16. Selecione Adicionar.

Testar a firewall

  1. Ligue uma área de trabalho remota ao endereço IP público da firewall. Deverá estar ligado à máquina virtual Srv-Workload.
  2. Feche o ambiente de trabalho remoto.

Limpar os recursos

Pode manter os recursos da firewall para o próximo tutorial. Se já não precisar dos mesmos, elimine o grupo de recursos RG-DNAT-Test para eliminar todos os recursos relacionados com a firewall.

Passos seguintes

Implementar e configurar Azure Firewall Premium