Implantar e configurar o Firewall do Azure usando o portal do Azure

  • Artigo

O controle do acesso à saída de rede é uma parte importante de um plano geral de segurança de rede. Por exemplo, talvez você queira limitar o acesso a sites da Web. Ou talvez você queira limitar os endereços IP de saída e as portas que podem ser acessadas.

Uma maneira de controlar o acesso à saída de rede em uma sub-rede do Azure é com o Firewall do Azure. Com o Firewall do Azure, você pode configurar:

  • Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede.
  • Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.

Para este artigo, você criará uma rede virtual única simplificada com duas sub-redes para facilitar a implantação.

Para implantações de produção, é recomendável um modelo hub e spoke, em que o firewall está em sua própria rede virtual. Os servidores de carga de trabalho estão em redes virtuais emparelhadas na mesma região com uma ou mais sub-redes.

  • AzureFirewallSubnet: o firewall está nesta sub-rede.
  • Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.

Infraestrutura da rede

Neste artigo, você aprenderá como:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall
  • Criar uma rota padrão
  • Configure uma regra de aplicativo para permitir acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso a servidores DNS externos
  • Configurar uma regra NAT para permitir uma Área de Trabalho Remota para o servidor de teste
  • Testar o firewall

Observação

Este artigo usa regras de firewall clássicas para gerenciar o firewall. O método preferencial é usar a política de firewall. Para concluir este procedimento usando a política de firewall, confira Tutorial: Implantar e configurar a política e o Firewall do Azure usando o portal do Azure

Se preferir, você poderá concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Configurar a rede

Primeiro, crie um grupo de recursos para conter os recursos necessários à implantação do firewall. Em seguida, crie uma rede virtual, sub-redes e um servidor de teste.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos usados neste procedimento.

  1. Entre no portal do Azure.
  2. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Em seguida, selecione Criar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em nome dogrupo de recursos, digite Test-FW-RG.
  5. Em Região, selecione uma região. Todos os demais recursos criados devem estar na mesma região.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Criar uma rede virtual

Essa rede virtual tem duas sub-redes.

Observação

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, confira Perguntas frequentes sobre o Firewall do Azure.

  1. No menu do portal do Azure ou na página Inicial, selecione Redes virtuais.
  2. Selecione Redes virtuais nos resultados da pesquisa.
  3. Selecione Criar.
  4. Em Assinatura, selecione sua assinatura.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Para o nome da rede virtual, digite Test-FW-VN.
  7. Em Região, selecione a mesma região usada anteriormente.
  8. Selecione Avançar.
  9. Na guia Segurança, selecione Habilitar Firewall do Azure.
  10. Para o Nome do Firewall do Azure, digite Test-FW01.
  11. Para o Endereço IP público do Firewall do Azure, selecione Criar um endereço IP público.
  12. Para Nome, digite fw-pip e selecione OK.
  13. Selecione Avançar.
  14. Para Espaço de endereço, aceite o padrão 10.0.0.0/16.
  15. Em Sub-rede, selecione o padrão e altere o Nome para Workload-SN.
  16. Altere o endereço inicial para 10.0.2.0/24.
  17. Selecione Salvar.
  18. Selecione Examinar + criar.
  19. Selecione Criar.

Criar uma máquina virtual

Agora crie a máquina virtual da carga de trabalho e coloque-a na sub-rede Workload-SN.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Insira esses valores para a máquina virtual:

    Configuração Valor
    Resource group Test-FW-RG
    Nome da máquina virtual Srv-Work
    Região Igual ao anterior
    Imagem Windows Server 2019 Datacenter
    Nome de usuário administrador Digite um nome de usuário
    Senha Digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Próximo: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP Público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Próximo: Gerenciamento.

  10. Aceite os padrões e selecione Avançar: monitoramento.

  11. Em diagnóstico de inicialização, selecione Desabilitar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Examinar + criar.

  12. Examine as configurações na página de resumo e, em seguida, selecione Criar.

  13. Depois que a implantação for concluída, selecione Ir para o recurso e anote o endereço IP privado Srv-Work que você precisará usar posteriormente.

Observação

O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso da Gateway da NAT do Azure é atribuído à sub-rede da VM.

As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.

Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.

Examinar o firewall

  1. Vá para o grupo de recursos e selecione o firewall.
  2. Anote os endereços IP públicos e privados do firewall. Você usará esses endereços mais tarde.

Criar uma rota padrão

Quando você cria uma rota para conectividade de saída e entrada por meio do firewall, uma rota padrão para 0.0.0.0/0 com o IP privado do dispositivo virtual como próximo salto é suficiente. Isso direciona todas as conexões de saída e de entrada por meio do firewall. Por exemplo, se o firewall estiver atendendo a um handshake TCP e respondendo a uma solicitação de entrada, a resposta será direcionada para o endereço IP que enviou o tráfego. Isso ocorre por design.

Como resultado, não é necessário criar outra rota definida pelo usuário para incluir o intervalo de IP do AzureFirewallSubnet. Isso pode resultar em conexões descartadas. A rota padrão original é suficiente.

Para a sub-rede Workload-SN, configure a rota de saída padrão para atravessar o firewall.

  1. No portal do Azure, pesquise por Tabelas de rotas.
  2. Selecione Tabela de rotas nos painel de resultados.
  3. Selecione Criar.
  4. Em Assinatura, selecione sua assinatura.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Em Região, selecione a mesma localização usada anteriormente.
  7. Em Nome, digite Firewall-route.
  8. Selecione Examinar + criar.
  9. Selecione Criar.

Após a implantação ser concluída, selecione Ir para o recurso.

  1. Na página de Rota do firewall, selecione Sub-redes e escolha Associar.

  2. Em Rede virtual, selecione Test-FW-VN.

  3. Para Sub-rede, selecione Workload-SN. Não deixe de selecionar apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Para Nome da rota, digite fw-dg.

  7. Para o Tipo de destino, selecione Endereços IP.

  8. Nos Intervalos de CIDR /endereço IP de destino, digite 0.0.0.0/0.

  9. Em Tipo do próximo salto, selecione Solução de virtualização .

    O Firewall do Azure é, na verdade, um serviço gerenciado, mas a solução de virtualização funciona nessa situação.

  10. Em endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicativo

Essa é a regra de aplicativo que permite o acesso de saída para www.google.com.

  1. Abra Test-FW-RG e selecione o firewall Test-FW01.
  2. Na página Test-FW01, em Configurações, selecione Regras (clássicas) .
  3. Selecione a guia Coleção de regras de aplicativo.
  4. Selecione Adicionar coleção de regras de aplicativo.
  5. Em Nome, digite App-Coll01.
  6. Digite 200 em Prioridade.
  7. Em Ação, selecione Permitir.
  8. Em Regras, FQDNs de Destino, para Nome, digite Allow-Google.
  9. Em Tipo de origem, selecione Endereço IP.
  10. Em Origem, digite 10.0.2.0/24.
  11. Em Protocol:port, digite http, https.
  12. Em FQDNS de Destino, digite www.google.com
  13. Selecione Adicionar.

O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos da plataforma e não podem ser usados para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.

Configurar uma regra de rede

Essa é a regra de rede que permite o acesso de saída para dois endereços IP na porta 53 (DNS).

  1. Selecione a guia Coleção de regras de rede.

  2. Selecione Adicionar coleção de regras de rede.

  3. Em Nome, digite Net-Coll01.

  4. Digite 200 em Prioridade.

  5. Em Ação, selecione Permitir.

  6. Em Regras, Endereços IP, para de Nome, digite Allow-DNS.

  7. Em Protocolo, selecione UDP.

  8. Em Tipo de origem, selecione Endereço IP.

  9. Em Origem, digite 10.0.2.0/24.

  10. Em Tipo de destino, selecione Endereço IP.

  11. Em Endereço de destino, digite 209.244.0.3,209.244.0.4

    Esses são servidores DNS públicos operados pelo Level3.

  12. Em Portas de Destino, digite 53.

  13. Selecione Adicionar.

Configurar uma regra de DNAT

Essa regra permite que você conecte uma Área de Trabalho Remota à máquina virtual Srv-Work por meio do firewall.

  1. Selecione a guia Coleção de regras NAT.
  2. Selecione Adicionar coleção de regras do NAT.
  3. Em Nome, digite rdp.
  4. Digite 200 em Prioridade.
  5. Em Regras, para Nome, digite rdp-nat.
  6. Em Protocolo, selecione TCP.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Origem, digite *.
  9. Em Endereço de destino, digite o endereço IP público do firewall.
  10. Em Portas de Destino, digite 3389.
  11. Em Endereço convertido, digite o endereço IP privado do Srv-work.
  12. Para Porta traduzida, digite 3389.
  13. Selecione Adicionar.

Altere os endereços DNS primário e secundário para o adaptador de rede Srv-Wprk

Para fins de teste, configure os endereços DNS primários e secundários do servidor. Isso não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG.
  2. Selecione o adaptador de rede da máquina virtual Srv-Work.
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 e pressione Enter na caixa de texto Adicionar servidor DNS e 209.244.0.4 na caixa de texto seguinte.
  6. Clique em Salvar.
  7. Reinicie a máquina virtual Srv-Work.

Testar o firewall

Agora teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall e entre na máquina virtual Srv-Work.

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue até https://www.microsoft.com.

    O firewall deve bloquear você.

Agora você verificou que as regras de firewall estão funcionando:

  • Você pode se conectar à máquina virtual usando o RDF.
  • Você pode navegar para o FQDN permitido, mas não para os outros.
  • É possível resolver nomes DNS usando o servidor DNS externo configurado.

Limpar os recursos

Você pode manter seus recursos de firewall para continuar o teste ou, se eles não forem mais necessários, exclua o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximas etapas