Tutorial: Configuração do DNAT de IP privado do Firewall do Azure para redes com endereços sobrepostos e não roteáveis.

O DNAT de IP privado do Firewall do Azure (Conversão de Endereços de Rede de Destino) permite converter e filtrar o tráfego de entrada usando o endereço IP privado do firewall em vez de seu endereço IP público. Essa funcionalidade é útil para cenários que envolvem redes sobrepostas ou acesso à rede não roteável, em que o endereçamento DNAT de IP público tradicional não é adequado.

O DNAT de IP privado aborda dois cenários-chave:

• Redes sobrepostas: quando várias redes compartilham o mesmo espaço de endereço IP
• Redes não roteáveis: quando você precisa acessar recursos por meio de redes que não são roteáveis diretamente

Neste tutorial, você aprenderá como:

• Entender casos de uso de DNAT de IP privado
• Implantar o Firewall do Azure com funcionalidade de DNAT de IP privado
• Configurar regras DNAT para cenários de rede sobrepostos
• Configurar regras DNAT para acesso à rede não roteável
• Testar a funcionalidade de DNAT para IP privado
• Validar o fluxo de tráfego e o processamento de regras

Pré-requisitos

• Uma assinatura do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
• Firewall do Azure Standard ou Premium (não há suporte para DNAT de IP privado no SKU Básico)
• Familiaridade com os conceitos de rede do Azure
• Noções básicas sobre a lógica de processamento de regras do Firewall do Azure

Importante

O DNAT de IP privado está disponível apenas em SKUs Standard e Premium do Firewall do Azure. O SKU Básico não dá suporte a esse recurso.

Visão geral do cenário

Este tutorial demonstra dois cenários de DNAT de IP privado comuns:

Cenário 1: redes sobrepostas

Você tem várias redes virtuais que usam o mesmo espaço de endereço IP (por exemplo, 10.0.0.0/16) e precisam acessar recursos nessas redes sem conflitos de IP.

Cenário 2: acesso à rede não roteável

Você precisa fornecer acesso a recursos em redes que não são diretamente roteáveis da origem, como acessar recursos locais por meio do Firewall do Azure.

Implantar o ambiente

Use o modelo do ARM fornecido para criar o ambiente de teste com todos os componentes necessários.

Baixar o modelo de implantação

1. Baixe o modelo do ARM no repositório GitHub de Segurança de Rede do Azure.

2. Salve o arquivo PrivateIpDnatArmTemplateV2.json no seu computador local.

Implantar usando o portal do Azure

1. Entre no portal do Azure.

2. Selecione Criar um recurso>Implantação de modelo (implantar usando modelos personalizados).

3. Selecione Criar seu próprio modelo no editor.

4. Exclua o conteúdo existente e cole o conteúdo do modelo do ARM baixado.

5. Clique em Salvar.

6. Dê as seguintes informações:

   • Assinatura: selecione sua assinatura do Azure
   • Grupo de recursos: criar um novo grupo de recursos ou selecionar um existente
   • Região: selecione sua região preferencial do Azure
   • Local: esse parâmetro é preenchido automaticamente com base na região selecionada

7. Examine os parâmetros de modelo e modifique conforme necessário.

8. Selecione Revisar + criar e em seguida Criar para implantar o modelo.

A implantação cria os seguintes recursos:

• Redes virtuais para cenários sobrepostos e não roteáveis
• Firewall do Azure com configuração de DNAT de IP privado
• Máquinas virtuais para testar a conectividade
• Grupos de segurança de rede e tabelas de rotas
• Todos os componentes de rede necessários

Observação

O modelo do ARM inclui regras de DNAT pré-configuradas para testar ambos os cenários. Você pode examinar essas regras após a implantação ou modificá-las conforme necessário para seus requisitos específicos.

Verificar regras de DNAT de IP privado

Após a conclusão da implantação, verifique se as regras DNAT foram criadas corretamente para ambos os cenários.

Verificar regras para redes sobrepostas

1. No portal do Azure, navegue até o recurso de Firewall do Azure (azfw-hub-vnet-1).

2. Em Configurações, selecione Política de Firewall.

3. Selecione a política de firewall (fp-azfw-hub-vnet-1).

4. Em Configurações, selecione Grupos de coleção de regras.

5. Selecione DefaultDnatRuleCollectionGroup para exibir as regras pré-configuradas.

Você deverá ver as seguintes regras de DNAT:

• ToVM2-Http: converte 10.10.0.4:80 → 10.10.2.4:80 (acessar firewall hub-vnet-2 de spoke-vnet-1)
• ToVM2-Rdp: converte 10.10.0.4:53388 → 10.10.2.4:3389 (acesso rdp)
• ToVM3-Http: converte 10.10.0.4:8080 → 172.16.0.4:80 (acessar branch-vnet-1 de spoke-vnet-1)
• ToVM3-Rdp: converte 10.10.0.4:53389 → 172.16.0.4:3389 (acesso rdp)

Verificar regras para redes não roteáveis

1. Navegue até o segundo recurso do Firewall do Azure (azfw-hub-vnet-2).

2. Em Configurações, selecione Política de Firewall.

3. Selecione a política de firewall (fp-azfw-hub-vnet-2).

4. Em Configurações, selecione Grupos de coleção de regras.

5. Selecione DefaultDnatRuleCollectionGroup para exibir as regras para o segundo cenário.

Você deverá ver as seguintes regras de DNAT:

• ToVM2-Http: converte 10.10.2.4:80 → 192.168.0.4:80 (acessar spoke-vnet-2 da sub-rede de firewall hub-vnet-1)
• ToVM2-Rdp: converte 10.10.2.4:3389 → 192.168.0.4:3389 (acesso rdp para spoke-vnet-2)

Essas regras demonstram o cenário de rede sobreposto em que ambas as redes spoke usam o mesmo espaço IP (192.168.0.0/24).

Configurar máquinas virtuais

Conclua a configuração da VM executando os scripts fornecidos do PowerShell.

Configurar a VM no cenário 1 (rede sobreposta)

1. Conecte-se à máquina virtual win-vm-2 usando o Azure Bastion ou RDP.

2. Abra o PowerShell como Administrador.

3. Baixe e execute o script de configuração:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

Configurar a VM no cenário 2 (rede não roteável)

1. Conecte-se à máquina virtual win-vm-3 usando o Azure Bastion ou RDP.

2. Abra o PowerShell como Administrador.

3. Baixe e execute o script de configuração:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

Testar a funcionalidade de DNAT para IP privado

Verifique se a configuração de DNAT de IP privado funciona corretamente para ambos os cenários.

Testar cenário de redes sobrepostas

1. Em um computador cliente na rede de origem, tente se conectar ao endereço IP privado do Firewall do Azure usando a porta configurada.

2. Verifique se a conexão foi traduzida com êxito para a VM de destino na rede sobreposta.

3. Verifique os logs do Firewall do Azure para confirmar acertos de regras e tradução bem-sucedida.

Testar o cenário de rede não roteável

1. Na rede de origem apropriada, conecte-se ao endereço IP privado do Firewall do Azure.

2. Verifique o acesso aos recursos na rede não acessível por meio do firewall.

3. Para garantir o processamento de regras e o fluxo de tráfego adequados, monitore os logs de firewall.

Monitorar e solucionar problemas

Para monitorar o desempenho de DNAT de IP privado, use métricas e logs de diagnóstico do Firewall do Azure.

Habilitar registro em log de diagnóstico

1. No portal do Azure, navegue até o recurso do Firewall do Azure.

2. Selecione Configurações> de diagnóstico+ Adicionar configuração de diagnóstico.

3. Configurar o registro em log para:

   • Log de regras de aplicativo do Firewall do Azure
   • Log de regras de rede do Firewall do Azure
   • Log de regras NAT do Firewall do Azure

4. Escolha seu destino preferencial (workspace do Log Analytics, conta de armazenamento ou Hubs de Eventos).

Principais métricas a serem monitoradas

Para garantir o desempenho ideal, monitore estas métricas:

• Dados processados: quantidade total de dados processados pelo firewall
• Contagem de ocorrências da regra de rede: número de regras de rede correspondentes
• Contagem de ocorrências da regra NAT: Número de regras DNAT correspondentes
• Taxa de transferência: desempenho da taxa de transferência do firewall

Práticas recomendadas

Siga estas práticas recomendadas ao implementar o DNAT de IP privado:

• Ordenação de regra: para garantir a ordem de processamento correta, coloque regras mais específicas com números de prioridade mais baixos
• Especificação do código-fonte: use intervalos de IP de origem específicos em vez de curingas para uma melhor segurança
• Segmentação de rede: para isolar redes sobrepostas, implemente a segmentação de rede adequada
• Monitoramento: para identificar problemas de desempenho, monitore regularmente logs e métricas de firewall
• Teste: Para garantir a confiabilidade na produção, teste minuciosamente todas as regras de DNAT antes de implementar

Limpar os recursos

Quando você não precisar mais do ambiente de teste, exclua o grupo de recursos para remover todos os recursos criados neste tutorial.

1. No portal do Azure, navegue até seu grupo de recursos.

2. Selecione Excluir grupo de recursos.

3. Digite o nome do grupo de recursos para confirmar a exclusão.

4. Selecione Excluir para remover todos os recursos.

Próximas etapas

Neste tutorial, você aprendeu a implantar e configurar o DNAT de IP privado do Azure Firewall para cenários de rede com endereçamento IP sobreposto e não roteável. Você implantou o ambiente de teste, configurou regras DNAT e validou a funcionalidade.

Para saber mais sobre as funcionalidades de DNAT do Firewall do Azure:

• Regra DNAT para filtrar o tráfego de entrada
• Lógica de processamento de regra do Firewall do Azure
• Monitorar os logs e as métricas do Firewall do Azure
• Cenários de DNAT de IP privado com o Firewall do Azure (blog tech community)