Tutorial: Proteger seu hub virtual usando o Gerenciador de Firewall do Azure

  • Artigo

Com o Gerenciador de Firewall do Azure, é possível criar hubs virtuais seguros para proteger o tráfego de rede na nuvem destinado a endereços IP privados, PaaS do Azure e à Internet. O roteamento de tráfego para o firewall é automatizado, ou seja, não é necessário criar UDRs (rotas definidas pelo usuário).

O Gerenciador de Firewall também dá suporte à arquitetura de rede virtual de um hub. Para obter uma comparação dos tipos de arquitetura de rede virtual de hub e hub virtual seguro, confira quais são as opções de arquitetura do Gerenciador de Firewall do Azure?

Neste tutorial, você aprenderá como:

  • Criar a rede virtual spoke
  • Criar um hub virtual seguro
  • Conectar as redes virtuais hub e spoke
  • Rotear o tráfego para o seu hub
  • Implantar os servidores
  • Criar uma política de firewall e proteger seu hub
  • Testar o firewall

Importante

O procedimento neste tutorial usa o Gerenciador de Firewall do Azure para criar um novo hub seguro de WAN Virtual do Azure. Você pode usar o Gerenciador de Firewall para atualizar um hub existente, mas não pode configurar as Zonas de Disponibilidade do Azure para Firewall do Azure. Também é possível converter um hub existente em um hub seguro usando o portal do Azure, conforme descrito em Configurar Firewall do Azure em um hub de WAN Virtual. Mas, como Gerenciador de Firewall do Azure, não é possível configurar Zonas de Disponibilidade. Para atualizar um hub existente e especificar as Zonas de Disponibilidade do Firewall do Azure (recomendado), você deve seguir o procedimento de atualização no Tutorial: proteger o hub virtual usando o Azure PowerShell.

Diagram showing the secure cloud network.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar uma arquitetura de hub e spoke

Primeiro, crie uma redes virtuais spoke nas quais você pode colocar seus servidores.

Criar duas redes virtuais spoke e sub-redes

Cada uma das duas redes virtuais tem um servidor de carga de trabalho e é protegida pelo firewall.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.
  2. Procure Rede virtual, selecione-a e selecione Criar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em Grupo de recursos, selecione Criar, digite fw-manager-rg para o nome e escolha OK.
  5. Para Nome da rede virtual, digite Spoke-01.
  6. Em Região, selecione Leste dos EUA.
  7. Selecione Avançar.
  8. Na página Segurança, selecione Avançar.
  9. Em Adicionar espaço de endereço IPv4, aceite o padrão 10.0.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para Nome, digite Workload-01-SN.
  12. Para Endereço inicial, digite 10.0.1.0/24.
  13. Selecione Salvar.
  14. Selecione Examinar + criar.
  15. Selecione Criar.

Repita este procedimento para criar outra rede virtual semelhante no grupo de recursos fw-manager-rg:

Nome: Spoke-02
Espaço de endereço: 10.1.0.0/16
Nome da sub-rede: Workload-02-SN
Endereço inicial: 10.1.1.0/24

Criar o hub virtual seguro

Crie seu hub virtual seguro usando o Gerenciador de Firewall.

  1. Na página inicial do portal do Azure, selecione Todos os serviços.

  2. Na caixa de pesquisa, digite Gerenciador de Firewall e selecione Gerenciador de Firewall.

  3. Na página Gerenciador de Firewall em Implantações, selecione Hubs virtuais.

  4. Na página Gerenciador de Firewall | Hubs virtuais, escolha Criar hub virtual seguro.

    Screenshot of creating a new secured virtual hub.

  5. Selecione sua Assinatura.

  6. Em Grupo de recursos, selecione fw-manager-rg.

  7. Em Região, selecione Leste dos EUA.

  8. Para o Nome do hub virtual seguro, digite Hub-01.

  9. Em Espaço de endereço do hub, digite 10.2.0.0/16.

  10. Selecione Nova vWAN.

  11. Para o novo nome da WAN virtual, digite Vwan-01.

  12. Em Tipo, selecione Standard.

  13. Deixe a caixa de seleção Incluir o gateway de VPN para habilitar Parceiros de Segurança Confiáveis marcada.

    Screenshot of creating a new virtual hub with properties.

  14. Selecione Avançar: Firewall do Azure.

  15. Aceite a configuração padrão Firewall do AzureHabilitado.

  16. Em Camada do Firewall do Azure, selecione Standard.

  17. Selecione a combinação desejada de Zonas de Disponibilidade.

Importante

Uma WAN Virtual é uma coleção de hubs e serviços disponibilizados dentro do Hub. Você pode implantar a quantidade necessária de WANs. Em um hub de WAN Virtual, há vários serviços como VPN, ExpressRoute e assim por diante. Cada um desses serviços será implantado automaticamente nas Zonas de Disponibilidade, exceto o Firewall do Azure, se a região der suporte a Zonas de Disponibilidade. Para alinhar-se à resiliência de WAN Virtual do Azure, selecione todas as Zonas de Disponibilidade disponíveis.

Screenshot of configuring Azure Firewall parameters.

  1. Digite 1 na caixa de texto Especificar número de endereços IP públicos.

  2. Em Política de Firewall verifique se a Política de Negação Padrão está selecionada. Você refina as configurações mais adiante neste artigo.

  3. Selecione Avançar: Provedor de Parceiro de Segurança.

    Screenshot of configuring Trusted Partners parameters.

  4. Aceite a configuração padrão Parceiro de Segurança ConfiávelDesabilitado e selecione Próximo: Revisar + criar.

  5. Selecione Criar.

    Screenshot of creating the Firewall instance.

Observação

Pode levar até 30 minutos para criar um hub virtual seguro.

Você poderá obter o endereço IP público do firewall após a conclusão da implantação.

  1. Abra Gerenciador de Firewall.
  2. Selecione Hubs virtuais.
  3. Selecione hub-01.
  4. Selecione AzureFirewall_Hub-01.
  5. Anote o endereço IP público para usar depois.

Conectar as redes virtuais hub e spoke

Agora você pode emparelhar as redes virtuais hub e spoke.

  1. Escolha o grupo de recursos fw-manager-rg e selecione a WAN Virtual Vwan-01.

  2. Em Conectividade, selecione Conexões de rede virtual.

    Screenshot of adding Virtual Network connections.

  3. Selecione Adicionar conexão.

  4. Em Nome da conexão, digite hub-spoke-01.

  5. Para Hubs, selecione Hub-01.

  6. Em Grupo de recursos, selecione fw-manager-rg.

  7. Para Rede virtual, selecione Spoke-01.

  8. Selecione Criar.

  9. Repita para conectar a rede virtual Spoke-02: nome da conexão – hub-spoke-02

Implantar os servidores

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter na lista Popular.

  3. Insira esses valores para a máquina virtual:

    Configuração Valor
    Resource group fw-manager-rg
    Nome da máquina virtual Srv-workload-01
    Região (EUA) Leste dos EUA
    Nome de usuário administrador digite um nome de usuário
    Senha digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Próximo: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Selecione Spoke-01 para a rede virtual e selecione Workload-01-SN para a sub-rede.

  8. Em IP Público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Próximo: Gerenciamento.

  10. Selecione Avançar: Monitoramento.

  11. Selecione Desabilitar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Examinar + criar.

  12. Examine as configurações na página de resumo e, em seguida, selecione Criar.

Use as informações na tabela a seguir para definir outra máquina virtual chamada Srv-Workload-02. O restante da configuração é o mesmo da máquina virtual Srv-workload-01.

Configuração Valor
Rede virtual Spoke-02
Sub-rede Workload-02-SN

Depois que os servidores forem implantados, selecione um recurso de servidor e, em Rede, anote o endereço IP privado de cada servidor.

Criar uma política de firewall e proteger seu hub

Uma política de firewall define coleções de regras para direcionar o tráfego em um ou mais hubs virtuais seguros. Você criará uma política de firewall e protegerá seu hub.

  1. No Gerenciador de Firewall, selecione Políticas do Firewall do Azure.

    Screenshot of creating an Azure Policy with first step.

  2. Selecione Criar uma Política de Firewall do Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. Em Grupo de recursos, selecione fw-manager-rg.

  4. Em Detalhes da política, para Nome, digite Policy-01 e para Região selecione Leste dos EUA.

  5. Em Camada da política, selecione Standard.

  6. Selecione Avançar: Configurações de DNS.

    Screenshot of configuring DNS settings.

  7. Escolha Avançar: Inspeção do TLS.

    Screenshot of configuring TLS settings.

  8. Selecione Avançar: Regras.

  9. Na guia Regras, selecione Adicionar a coleção de regras.

    Screenshot of configuring Rule Collection.

  10. Na página Adicionar a coleção de regras, digite App-RC-01 em Nome.

  11. Para Tipo de coleção de regras, selecione Aplicativo.

  12. Em Prioridade, digite 100.

  13. Verifique se a Ação de coleção de regras é Permitir.

  14. Para a regra Nome, digite Allow-msft.

  15. Para o Tipo de origem, selecione Endereço IP.

  16. Em Origem, digite *.

  17. Para Protocolo, digite http,https.

  18. Verifique se o Tipo de destino é FQDN.

  19. Para Destino, digite *.microsoft.com.

  20. Selecione Adicionar.

  21. Adicione uma regra DNAT para que você possa conectar uma Área de Trabalho Remota à máquina virtual Srv-Workload-01.

    1. Selecione Adicionar uma coleção de regras.
    2. Em Nome, digite dnat-rdp.
    3. Em Tipo de coleção de regras, selecione DNAT.
    4. Em Prioridade, digite 100.
    5. Para a regra Nome, digite Allow-rdp.
    6. Para o Tipo de origem, selecione Endereço IP.
    7. Em Origem, digite *.
    8. Em Protocolo, selecione TCP.
    9. Em Portas de Destino, digite 3389.
    10. Em Destino, digite o endereço IP público do firewall que você anotou anteriormente.
    11. Em Tipo convertido, selecione Endereço IP.
    12. Para Endereço convertido, digite o endereço IP privado de Srv-Workload-01 que você anotou anteriormente.
    13. Para Porta traduzida, digite 3389.
    14. Selecione Adicionar.

  22. Adicione uma regra de rede para que você possa conectar uma Área de Trabalho Remota de Srv-Workload-01 para Srv-Workload-02.

    1. Selecione Adicionar uma coleção de regras.
    2. Em Nome, digite vnet-rdp.
    3. Para Tipo de coleção de regras, selecione Rede.
    4. Em Prioridade, digite 100.
    5. Em Ação de coleção de regras, selecione Permitir.
    6. Em Nome da regra, digite Allow-vnet.
    7. Para o Tipo de origem, selecione Endereço IP.
    8. Em Origem, digite *.
    9. Em Protocolo, selecione TCP.
    10. Em Portas de Destino, digite 3389.
    11. Para Tipo de Destino, selecione Endereço IP.
    12. Em Destino, digite o endereço IP privado Srv-Workload-02 que você anotou anteriormente.
    13. Selecione Adicionar.

  23. Selecione Avançar: IDPS.

  24. Na página IDPS, escolha Avançar: Inteligência contra Ameaças

    Screenshot of configuring IDPS settings.

  25. Na página Inteligência contra Ameaças, aceite os padrões e escolha Revisar e Criar:

    Screenshot of configuring Threat Intelligence settings.

  26. Revise-os para confirmar a seleção e escolha Criar.

Associar a política

Associe a política de firewall ao hub.

  1. No Gerenciador de Firewall, selecione Políticas de Firewall do Azure.

  2. Marque a caixa de seleção de Policy-01.

  3. Selecione Gerenciar associações e Associar hubs.

    Screenshot of configuring Policy association.

  4. Selecione hub-01.

  5. Selecione Adicionar.

    Screenshot of adding Policy and Hub settings.

Rotear o tráfego para o seu hub

Agora, você deve verificar se o tráfego de rede é roteado por meio do firewall.

  1. No Gerenciador de Firewall, escolha Hubs virtuais.

  2. Selecione Hub-01.

  3. Em Configurações, escolha Configuração de segurança.

  4. Em Tráfego da Internet, selecione Firewall do Azure.

  5. Em Tráfego privado, selecione Enviar por meio do Firewall do Azure.

    Observação

    Se você estiver usando intervalos de endereços IP públicos para redes privadas em uma rede virtual ou em uma ramificação local, precisará especificar explicitamente esses prefixos de endereço IP. Selecione a seção Prefixos de tráfego privado e adicione-os ao lado dos prefixos de endereço RFC1918.

  6. Em Entre hubs, selecione Habilitado para habilitar o recurso de intenção de roteamento da WAN Virtual. A intenção de roteamento é o mecanismo por meio do qual você pode configurar a WAN Virtual para rotear o tráfego de branch para branch (local para local) por meio do Firewall do Azure implantado no Hub da WAN Virtual. Para obter mais informações sobre pré-requisitos e considerações associadas ao recurso de intenção de roteamento, confira Documentação da intenção de roteamento.

  7. Selecione Salvar.

  8. Escolha OK na caixa de diálogo Aviso.

    Screenshot of Secure Connections.

  9. Selecione OK no diálogo Migrar para usar entre hubs.

    Observação

    São necessários alguns minutos para que as tabelas de rotas sejam atualizadas.

  10. Verifique se as duas conexões mostram que o Firewall do Azure protege o tráfego da Internet e privado.

    Screenshot of Secure Connections final status.

Testar o firewall

Para testar as regras de firewall, conecte uma área de trabalho remota usando o endereço IP público do firewall, que é NATed para Srv-Workload-01. A partir daí, use um navegador para testar a regra do aplicativo e conectar uma área de trabalho remota a Srv-Workload-02 para testar a regra de rede.

Testar a regra de aplicativo

Agora, teste as regras de firewall para confirmar se elas funcionam conforme o esperado.

  1. Conecte uma Área de Trabalho Remota ao endereço IP público do firewall e entre.

  2. Abra o Internet Explorer e navegue até https://www.microsoft.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial da Microsoft.

  4. Navegue até https://www.google.com.

    O firewall deve bloquear isso.

Agora que você verificou se a regra de aplicativo de firewall está funcionando:

  • Você pode navegar para o FQDN permitido, mas não para os outros.

Testar a regra de rede

Agora teste a regra de rede.

  • Em Srv-Workload-01, abra uma Área de Trabalho Remota para o endereço IP privado de Srv-Workload-02.

    Uma Área de Trabalho Remota deve se conectar a Srv-Workload-02.

Agora que você verificou se a regra de rede de firewall está funcionando:

  • Você pode conectar uma Área de Trabalho Remota a um servidor localizado em outra rede virtual.

Limpar os recursos

Quando terminar de testar seus recursos de firewall, exclua o grupo de recursos fw-manager-rg para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Saiba mais sobre parceiros de segurança confiáveis