Implantar e configurar a política e o Firewall do Azure Básico usando o portal do Azure

  • Artigo

O Firewall do Azure Básico (versão prévia) fornece a proteção essencial que os clientes SMB precisam a um preço acessível. Essa solução é recomendada para ambientes de cliente SMB com menos de 250 Mbps de requisitos de taxa de transferência. É recomendável implantar o SKU Standard para ambientes com mais de 250 Mbps de requisitos de taxa de transferência e o SKU Premium para proteção avançada contra ameaças.

A filtragem de rede e tráfego de aplicativo é uma parte importante de um plano de segurança de rede geral. Por exemplo, você talvez queira limitar o acesso a sites. Ou você talvez queira limitar os endereços IP e portas de saída que podem ser acessados.

O Firewall do Azure e a política de firewall são uma forma de controlar o acesso de rede de entrada e saída de uma sub-rede do Azure. Com a política de firewall e o Firewall do Azure, você pode configurar:

  • Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede.
  • Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.
  • Regras DNAT para converter e filtrar o tráfego da Internet de entrada nas sub-redes.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.

Para este guia, você criará uma VNet individual simplificada com três sub-redes para facilitar a implantação. O Firewall Básico tem um requisito obrigatório a ser configurado com uma NIC de gerenciamento.

  • AzureFirewallSubnet: o firewall está nesta sub-rede.
  • AzureFirewallManagementSubnet – para tráfego de gerenciamento de serviços.
  • Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.

Observação

Como o Firewall do Azure Básico tem tráfego limitado em comparação com o Firewall do Azure SKU Standard ou Premium, ele exige que o AzureFirewallManagementSubnet separe o tráfego do cliente do tráfego de gerenciamento da Microsoft para garantir que não haja interrupções nele. Esse tráfego de gerenciamento é necessário para atualizações e comunicação de métricas de integridade que ocorre automaticamente e exclusivamente com a Microsoft. Nenhuma outra conexão é permitida neste IP.

Para implantações de produção, é recomendado um modelo de hub e spoke, em que o firewall é, por si só, a VNet. Os servidores de carga de trabalho estão em VNets emparelhadas na mesma região que uma ou mais sub-redes.

Neste guia de instruções, você aprenderá a:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall básico e uma política de firewall básico
  • Criar uma rota padrão
  • Configure uma regra de aplicativo para permitir acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso a servidores DNS externos
  • Configurar uma regra NAT para permitir uma Área de Trabalho Remota para o servidor de teste
  • Testar o firewall

Se preferir, você poderá concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o guia.

  1. Entre no portal do Azure.
  2. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Em seguida, selecione Criar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em Nome do grupo de recursos, insira Test-FW-RG.
  5. Em Região, selecione uma região. Todos os demais recursos criados devem estar na mesma região.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Implantar o firewall e a política

Implantar o firewall e criar uma infraestrutura de rede associada.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar um Firewall, use a tabela abaixo para configurar o firewall:

    Configuração Valor
    Subscription <sua assinatura>
    Resource group Test-FW-RG
    Nome Test-FW01
    Região Selecionar o mesmo local usado anteriormente
    Camada de firewall Basic
    Gerenciamento do firewall Usar uma política de firewall para gerenciar este firewall
    Política de firewall Adicionar nova:
    fw-test-pol
    A região selecionada
    A camada da política deve ser padrão para Básico
    Escolher uma rede virtual Criar novo
    Nome: Test-FW-VN
    Espaço de endereço: 10.0.0.0/16
    Espaço de endereço da sub-rede: 10.0.0.0/26
    Endereço IP público Adicionar nova:
    Nome: fw-pip
    Gerenciamento – Espaço de endereço da sub-rede 10.0.1.0/26
    Endereço IP público de gerenciamento Adicionar nova
    fw-mgmt-pip

  5. Aceite os outros valores padrão e selecione Examinar + criar.

  6. Examine o resumo e selecione Criar para criar o firewall.

    Isso levará alguns minutos para ser implantado.

  7. Após a implantação ser concluída, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01.

  8. Anote os endereços IP públicos e privados (fw-pip) do firewall. Você usará esses endereços mais tarde.

Criar uma sub-rede para o servidor de carga de trabalho

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Acesse o grupo de recursos Test-FW-RG e selecione a rede virtual Test-FW-VN.
  2. Selecione sub-redes.
  3. Selecione sub-rede.
  4. Em Nome da sub-rede, digite Workload-SN.
  5. Para Intervalo de endereços da sub-rede, digite 10.0.2.0/24.
  6. Selecione Salvar.

Criar uma máquina virtual

Agora crie a máquina virtual da carga de trabalho e coloque-a na sub-rede Workload-SN.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Insira esses valores para a máquina virtual:

    Configuração Valor
    Resource group Test-FW-RG
    Nome da máquina virtual Srv-Work
    Região Igual ao anterior
    Imagem Windows Server 2019 Datacenter
    Nome de usuário administrador Digite um nome de usuário
    Senha Digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Próximo: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP Público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Próximo: Gerenciamento.

  10. Selecione Avançar: Monitoramento.

  11. Selecione Desabilitar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Examinar + criar.

  12. Examine as configurações na página de resumo e, em seguida, selecione Criar.

  13. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Criar uma rota padrão

Para a sub-rede Workload-SN, configure a rota de saída padrão para atravessar o firewall.

  1. No menu do portal do Azure, selecione Todos os recursos ou, em qualquer página, pesquise por Todos os serviços e selecione essa opção.
  2. Em Rede, selecione Tabelas de rotas.
  3. Selecione Criar.
  4. Em Assinatura, selecione sua assinatura.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Em Região, selecione a mesma localização usada anteriormente.
  7. Em Nome, digite Firewall-route.
  8. Selecione Examinar + criar.
  9. Selecione Criar.

Após a implantação ser concluída, selecione Ir para o recurso.

  1. Na página de rota do Firewall, selecione Sub-redes e escolha Associar.

  2. Clique em Rede virtual>Test-FW-VN.

  3. Para Sub-rede, selecione Workload-SN. Não deixe de selecionar apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Para Nome da rota, digite fw-dg.

  7. No Destino do prefixo de endereço, selecione Endereços IP.

  8. Nos Intervalos de CIDR /endereço IP de destino, digite 0.0.0.0/0.

  9. Em Tipo do próximo salto, selecione Solução de virtualização .

    O Firewall do Azure é, na verdade, um serviço gerenciado, mas a solução de virtualização funciona nessa situação.

  10. Em endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicativo

Essa é a regra de aplicativo que permite o acesso de saída para www.google.com.

  1. Abra o Test-FW-RG e selecione a política de firewall fw-test-pol.
  2. Selecione Regras de aplicativo.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, digite App-Coll01.
  5. Digite 200 em Prioridade.
  6. Em Ação de coleção de regras, selecione Permitir.
  7. Em Regras, para Nome, digite Allow-Google.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, digite 10.0.2.0/24.
  10. Em Protocol:port, digite http, https.
  11. Em Tipo de Destino, selecione FQDN.
  12. Em Destino, digite www.google.com
  13. Selecione Adicionar.

O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos da plataforma e não podem ser usados para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.

Configurar uma regra de rede

Essa é a regra de rede que permite o acesso de saída para dois endereços IP na porta 53 (DNS).

  1. Escolha Regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, digite Net-Coll01.
  4. Digite 200 em Prioridade.
  5. Em Ação de coleção de regras, selecione Permitir.
  6. Em Grupo de coleta de regra, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, para Nome, digite Allow-DNS.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, digite 10.0.2.0/24.
  10. Em Protocolo, selecione UDP.
  11. Em Portas de Destino, digite 53.
  12. Em Tipo de destino, selecione Endereço IP.
  13. Em Destino, digite 209.244.0.3,209.244.0.4.
    Esses são servidores DNS públicos operados pelo Level3.
  14. Selecione Adicionar.

Configurar uma regra de DNAT

Essa regra permite que você conecte uma Área de Trabalho Remota à máquina virtual Srv-Work por meio do firewall.

  1. Selecione as regras de DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, digite rdp.
  4. Digite 200 em Prioridade.
  5. Em Grupo de coleta de regra, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, para Nome, digite rdp-nat.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Origem, digite *.
  9. Em Protocolo, selecione TCP.
  10. Em Portas de Destino, digite 3389.
  11. Para Tipo de Destino, selecione Endereço IP.
  12. Em Destino, digite o endereço IP público (fw-pip) do firewall.
  13. Em Endereço convertido, digite o endereço IP privado do Srv-work.
  14. Para Porta traduzida, digite 3389.
  15. Selecione Adicionar.

Altere os endereços DNS primário e secundário para o adaptador de rede Srv-Wprk

Para fins de teste neste guia, configure os endereços DNS primários e secundários do servidor. Isso não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG.
  2. Selecione o adaptador de rede da máquina virtual Srv-Work.
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na caixa de texto seguinte.
  6. Clique em Salvar.
  7. Reinicie a máquina virtual Srv-Work.

Testar o firewall

Agora teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público (fw-pip) do firewall e entre na máquina virtual Srv-Work.

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue até http://www.microsoft.com.

    Você deve ser bloqueado pelo firewall.

Agora que você verificou se as regras de firewall estão funcionando:

  • É possível conectar uma área de trabalho remota à máquina virtual Srv-Work.
  • Você pode navegar para o FQDN permitido, mas não para os outros.
  • É possível resolver nomes DNS usando o servidor DNS externo configurado.

Limpar os recursos

Você pode manter seus recursos de firewall para testar mais tarde ou, se eles não forem mais necessários, excluir o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium