Implantar e configurar o Firewall do Azure usando a CLI do Azure
Artigo
O controle do acesso à saída de rede é uma parte importante de um plano geral de segurança de rede. Por exemplo, você talvez queira limitar o acesso a sites. Ou você talvez queira limitar os endereços IP e portas de saída que podem ser acessados.
Uma maneira de controlar o acesso à saída de rede em uma sub-rede do Azure é com o Firewall do Azure. Com o Firewall do Azure, você pode configurar:
Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede. O FQDN também pode incluir instâncias SQL.
Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.
O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.
Para este artigo, você criará uma VNet individual simplificada com três sub-redes para facilitar a implantação. Para implantações de produção, é recomendado um modelo de hub e spoke. O firewall está na própria VNet. Os servidores de carga de trabalho estão em VNets emparelhadas na mesma região que uma ou mais sub-redes.
AzureFirewallSubnet: o firewall está nesta sub-rede.
Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.
Jump-SN -o servidor “jump” está nessa sub-rede. O servidor jump tem um endereço IP público a que você pode se conectar usando a Área de Trabalho Remota. A partir daí, você pode se conectar (usando outra Área de Trabalho Remota) ao servidor de carga de trabalho.
Neste artigo, você aprenderá como:
Configurar um ambiente de rede de teste
Implantar um firewall
Criar uma rota padrão
Configure uma regra de aplicativo para permitir acesso a www.google.com
Configurar uma regra de rede para permitir o acesso a servidores DNS externos
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Este artigo requer a versão 2.55.0 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.
Configurar a rede
Primeiro, crie um grupo de recursos para conter os recursos necessários à implantação do firewall. Em seguida, crie uma VNET, sub-redes e servidores de teste.
Criar um grupo de recursos
O grupo de recursos contém todos os recursos para a implantação.
az group create --name Test-FW-RG --location eastus
Agora crie as máquinas virtuais de jump e carga de trabalho e coloque-as nas sub-redes apropriadas.
Quando solicitado, digite uma senha da máquina virtual.
Crie a máquina virtual Srv-Jump.
az vm create \
--resource-group Test-FW-RG \
--name Srv-Jump \
--location eastus \
--image win2016datacenter \
--vnet-name Test-FW-VN \
--subnet Jump-SN \
--admin-username azureadmin
az vm open-port --port 3389 --resource-group Test-FW-RG --name Srv-Jump
Crie uma NIC para Srv-Work com endereços IP específicos do servidor DNS e nenhum endereço IP público com o qual testar.
O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:
Um endereço IP público é atribuído à VM.
A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos da plataforma e não podem ser usados para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.
Configurar uma regra de rede
Essa é a regra de rede que permite o acesso de saída para dois endereços IP na porta 53 (DNS).
Agora teste o firewall para confirmar se ele funciona conforme o esperado.
Anote o endereço IP privado da máquina virtual Srv-Work:
az vm list-ip-addresses \
-g Test-FW-RG \
-n Srv-Work
Conecte uma área de trabalho remota à máquina virtual Srv-Jump e entre. De lá, abra conexão de área de trabalho remota para o endereço IP privado Srv-Work e entre.
Em SRV-Work, abra uma janela do PowerShell e execute os seguintes comandos:
As solicitações www.google.com devem ter êxito e as solicitações www.microsoft.com devem falhar. Isso demonstra que as regras de firewall estão funcionando conforme o esperado.
Agora que você verificou se as regras de firewall estão funcionando:
É possível resolver nomes DNS usando o servidor DNS externo configurado.
Você pode navegar para o FQDN permitido, mas não para os outros.
Limpar os recursos
É possível manter seus recursos de firewall para o próximo tutorial ou, se não forem mais necessários, exclua o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall:
Demonstre o design, a implementação e a manutenção da infraestrutura de rede do Azure, o tráfego de balanceamento de carga, o roteamento de rede e muito mais.