Tutorial: Filtrar o tráfego da rede com um grupo de segurança de rede utilizando o portal do Azure

Pode utilizar um grupo de segurança de rede para filtrar a entrada e saída do tráfego de rede a partir de uma sub-rede de rede virtual.

Os grupos de segurança de rede contêm regras de segurança que filtram o tráfego de rede por endereço IP, porta e protocolo. As regras de segurança são aplicadas a recursos implementados numa sub-rede.

Neste tutorial, ficará a saber como:

  • Crie um grupo de segurança de rede e regras de segurança.
  • Criar uma rede virtual e associar um grupo de segurança de rede a uma sub-rede
  • Implementar máquinas virtuais (VMs) numa sub-rede
  • Testar os filtros de tráfego

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Uma subscrição do Azure.

Iniciar sessão no Azure

Inicie sessão no portal do Azure em https://portal.azure.com.

Criar uma rede virtual

  1. Selecione Criar um recurso no canto superior esquerdo do portal.

  2. Na caixa de pesquisa, introduza Rede Virtual. Selecione Rede Virtual nos resultados da pesquisa.

  3. Na página Rede Virtual, selecione Criar.

  4. Na Criação de rede virtual, introduza ou selecione estas informações no separador Básicos :

    Definição Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo.
    Insira o myResourceGroup.
    Selecione OK.
    Detalhes da instância
    Name Introduza myVNet.
    Região Selecione (EUA) Leste DOS EUA.
  5. Selecione o separador 'Rever +' ou selecione o botão 'Análise' azul + criar na parte inferior da página.

  6. Selecione Criar.

Criar grupos de segurança de aplicações

Os grupos de segurança de aplicações permitem-lhe agrupar servidores com funções semelhantes, como servidores Web.

  1. Selecione Criar um recurso no canto superior esquerdo do portal.

  2. Na caixa de pesquisa, insira o grupo de segurança aplicação. Selecione grupo de segurança de aplicação nos resultados da pesquisa.

  3. Na página do grupo de segurança aplicação , selecione Criar.

  4. Na Criação de um grupo de segurança de aplicações, introduza ou selecione estas informações no separador Básicos :

    Definição Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Name Insira myAsgWebServers.
    Região Selecione (EUA) Leste DOS EUA.
  5. Selecione o separador 'Rever +' ou selecione o botão 'Análise' azul + criar na parte inferior da página.

  6. Selecione Criar.

  7. Repita novamente o passo 4, especificando os seguintes valores:

    Definição Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Name Insira myAsgMgmtServers.
    Região Selecione (EUA) Leste DOS EUA.
  8. Selecione o separador 'Rever +' ou selecione o botão 'Análise' azul + criar na parte inferior da página.

  9. Selecione Criar.

Criar um grupo de segurança de rede

Um grupo de segurança de rede assegura o tráfego de rede na sua rede virtual.

  1. Selecione Criar um recurso no canto superior esquerdo do portal.

  2. Na caixa de pesquisa, insira o grupo de segurança da Rede. Selecione grupo de segurança de rede nos resultados da pesquisa.

  3. Na página do grupo de segurança 'Rede ', selecione Criar.

  4. No Criar grupo de segurança de rede, insira ou selecione esta informação no separador Básicos :

    Definição Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Name Insira o myNSG.
    Localização Selecione (EUA) Leste DOS EUA.
  5. Selecione o separador 'Rever +' ou selecione o botão 'Análise' azul + criar na parte inferior da página.

  6. Selecione Criar.

Associar o grupo de segurança de rede à sub-rede

Nesta secção, associaremos o grupo de segurança da rede à sub-rede da rede virtual que criámos anteriormente.

  1. Na caixa Procurar recursos, serviços e documentos, na parte superior do portal, comece a escrever myNsg. Quando a opção myNsg aparecer nos resultados de pesquisa, selecione-a.

  2. Na página geral do myNSG, selecione Subnets em Definições.

  3. Na página Definições, selecione Associate:

    Associate NSG to subnet.

  4. Na sub-rede Associate, selecione a rede Virtual e, em seguida, selecione myVNet.

  5. Selecione Sub-rede, selecione predefinição e, em seguida, selecione OK.

Criar regras de segurança

  1. Em Definições do myNSG, selecione as regras de segurança de Entrada.

  2. Nas regras de segurança de entrada, selecione + Adicionar:

    Add inbound security rule.

  3. Crie uma regra de segurança que permita que as portas 80 e 443 para o grupo de segurança de aplicações myAsgWebServers. In Adicionar a regra de segurança de entrada, insira ou selecione as seguintes informações:

    Definição Valor
    Origem Deixe o padrão de Qualquer.
    Intervalo de portas de origem Deixe o padrão de (*)
    Destino Selecione grupo de segurança de aplicação.
    Grupo de segurança de aplicação de destino Selecione myAsgWebServers.
    Serviço Deixe o padrão do Costume.
    Intervalos de portas de destino Insira 80.443.
    Protocolo Selecione TCP.
    Ação Deixe o padrão de Permitir.
    Prioridade Deixe o padrão de 100.
    Name Insira Allow-Web-All.

    Inbound security rule.

  4. Conclua o passo 2 novamente, com os seguintes valores:

    Definição Valor
    Origem Deixe o padrão de Qualquer.
    Intervalo de portas de origem Deixe o padrão de (*)
    Destino Selecione grupo de segurança de aplicação.
    Grupo de segurança de aplicação de destino Selecione myAsgMgmtServers.
    Serviço Deixe o padrão do Costume.
    Intervalos de portas de destino Entra no 3389.
    Protocolo Selecione Qualquer.
    Ação Deixe o padrão de Permitir.
    Prioridade Deixe o padrão de 110.
    Name Insira Allow-RDP-All.

    Atenção

    Neste artigo, o RDP (porta 3389) está exposto à internet para o VM que é atribuído ao grupo de segurança de aplicações myAsgMgmtServers .

    Para ambientes de produção, em vez de expor a porta 3389 à internet, recomenda-se que se conecte aos recursos da Azure que pretende gerir utilizando uma VPN, ligação de rede privada ou Azure Bastion.

    Para mais informações sobre Azure Bastion, veja o que é Azure Bastion?.

Depois de concluir os passos 1 a 3, reveja as regras que criou. A sua lista deve parecer-se com a lista no seguinte exemplo:

Security rules.

Criar máquinas virtuais

Crie duas VMs na rede virtual.

Criar a primeira VM

  1. Selecione Criar um recurso no canto superior esquerdo do portal.

  2. Selecione Compute e, em seguida, selecione a máquina Virtual.

  3. Na Criação de uma máquina virtual, introduza ou selecione esta informação no separador Básicos :

    Definição Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome da máquina virtual Insira myVMWeb.
    Região Selecione (EUA) Leste DOS EUA.
    Opções de disponibilidade Não deixe de ser necessário um despedimento.
    Imagem Selecione Windows Servidor 2019 Datacenter - Gen1.
    Instância do Azure Spot Deixe o padrão de não verificado.
    Tamanho Selecione Standard_D2s_V3.
    Conta de administrador
    Nome de utilizador Introduza um nome de utilizador.
    Palavra-passe Introduza uma senha.
    Confirmar palavra-passe Reentre na senha.
    Regras portuárias de entrada
    Portas de entrada públicas Selecione Nenhuma.
  4. Selecione o separador Rede.

  5. No separador 'Rede ', introduza ou selecione as seguintes informações:

    Definição Valor
    Interface de rede
    Rede virtual Selecione myVNet.
    Sub-rede Selecione predefinição (10.0.0.0/24).
    IP público Deixe o padrão de um novo IP público.
    Grupo de segurança de rede NIC Selecione Nenhuma.
  6. Selecione o separador 'Rever +' ou selecione o botão 'Análise' azul + criar na parte inferior da página.

  7. Selecione Criar.

Criar a segunda VM

Complete os passos 1-7 novamente, mas no passo 3, nomeie o VM myVMMgmt. A implementação da VM demora alguns minutos.

Não continue até que o VM seja implantado.

Associar interfaces de rede a um ASG

Quando o portal criou as VMs, criou uma interface de rede para cada VM e associou a interface de rede à VM.

Adicione a interface de rede para cada VM a um dos grupos de segurança de aplicações que criou anteriormente:

  1. Na caixa de recursos, serviços e docs de pesquisa no topo do portal, comece a digitar o myVMWeb. Quando a máquina virtual myVMWeb aparecer nos resultados da pesquisa, selecione-a.

  2. Em Definições, selecione Redes.

  3. Selecione o separador grupos de segurança 'Aplicação ' e, em seguida, selecione Configurar os grupos de segurança da aplicação.

    Configure application security groups.

  4. Em Configurar os grupos de segurança da aplicação, selecione myAsgWebServers. Selecione Guardar.

    Select application security groups.

  5. Complete os passos 1 e 2 novamente, procurando a máquina virtual myVMMgmt e selecionando o myAsgMgmtServers ASG.

Testar os filtros de tráfego

  1. Ligação ao myVMMgmt VM. Introduza o myVMMgmt na caixa de pesquisa no topo do portal. Quando o myVMMgmt aparecer nos resultados da pesquisa, selecione-o. Selecione o botão Ligar.

  2. Selecione Transferir ficheiro RDP.

  3. Abra o ficheiro rdp transferido e selecione Ligar. Introduza o nome de utilizador e a palavra-passe que especificou ao criar a VM.

  4. Selecione OK.

  5. Pode receber um aviso de certificado durante o processo de ligação. Se receber o aviso, selecione Sim ou Continue, para continuar com a ligação.

    A ligação tem sucesso, porque a porta 3389 é permitida a entrada da internet para o grupo de segurança de aplicações myAsgMgmtServers .

    A interface de rede para o myVMMgmt está associada ao grupo de segurança da aplicação myAsgMgmtServers e permite a ligação.

  6. Abra uma sessão PowerShell no myVMMgmt. Ligação ao myVMWeb utilizando o seguinte exemplo:

    mstsc /v:myVmWeb
    

    A ligação RDP do myVMMgmt ao myVMWeb tem sucesso porque as máquinas virtuais na mesma rede podem comunicar com cada uma em qualquer porta por defeito.

    Não é possível criar uma ligação RDP à máquina virtual myVMWeb a partir da internet. A regra de segurança para os myAsgWebServers impede ligações à porta 3389 de entrada da internet. O tráfego de entrada da Internet é negado a todos os recursos por defeito.

  7. Para instalar o Microsoft IIS na máquina virtual myVMWeb , insira o seguinte comando a partir de uma sessão PowerShell na máquina virtual myVMWeb :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. Depois de concluída a instalação do IIS, desligue-se da máquina virtual myVMWeb , o que o deixa na ligação remota de ambiente de trabalho da máquina virtual myVMMgmt .

  9. Desligue do myVMMgmt VM.

  10. Na caixa de recursos, serviços e docs de pesquisa no topo do portal do Azure, comece a digitar o myVMWeb a partir do seu computador. Quando o myVMWeb aparecer nos resultados da pesquisa, selecione-o. Anote o Endereço IP público para a sua VM. O endereço mostrado no seguinte exemplo é 23.96.39.113, mas o seu endereço é diferente:

    Public IP address.

  11. Para confirmar que pode aceder ao servidor web myVMWeb a partir da internet, abra um navegador de Internet no seu computador e navegue até http://<public-ip-address-from-previous-step>.

Você vê o ecrã de boas-vindas IIS, porque a porta 80 é permitida a entrada da internet para o grupo de segurança de aplicações myAsgWebServers .

A interface de rede anexada ao myVMWeb está associada ao grupo de segurança da aplicação myAsgWebServers e permite a ligação.

Limpar os recursos

Quando já não for necessário, elimine o grupo de recursos e todos os recursos contidos no mesmo:

  1. Introduza myResourceGroup na caixa Pesquisar, na parte superior do portal. Quando vir o myResourceGroup nos resultados da pesquisa, selecione-o.
  2. Selecione Eliminar grupo de recursos.
  3. Introduza myResourceGroup em ESCREVER O NOME DO GRUPO DE RECURSOS: e selecione Eliminar.

Passos seguintes

Neste tutorial:

  • Criou um grupo de segurança de rede e associou-o a uma sub-rede de rede virtual.
  • Criei grupos de segurança de aplicações para web e gestão.
  • Criei duas máquinas virtuais.
  • Testei a filtragem da rede de grupos de segurança da aplicação.

Para saber mais sobre os grupos de segurança de rede, veja Descrição geral dos grupos de segurança de rede e Manage a network security group (Gerir um grupo de segurança de rede).

O Azure encaminha o tráfego entre sub-redes por predefinição. Em alternativa, pode optar por encaminhar o tráfego entre sub-redes através de uma VM que funcione, por exemplo, como uma firewall.

Para saber como criar uma tabela de rotas, avance para o tutorial seguinte.