Tutorial: Proteger seu hub virtual usando o Gerenciador de Firewall do Azure

Usando o Gerenciador de Firewall do Azure, você pode criar hubs virtuais seguros para proteger o tráfego da rede na nuvem destinado a endereços IP privados, PaaS do Azure e à Internet. O roteamento de tráfego para o firewall é automatizado, portanto, não há necessidade de criar rotas definidas pelo usuário (UDRs).

O Firewall Manager também suporta uma arquitetura de rede virtual de hub. Para obter uma comparação dos tipos de arquitetura de rede virtual segura de hub e hub, consulte Quais são as opções de arquitetura do Azure Firewall Manager?

Neste tutorial, irá aprender a:

  • Crie a rede virtual spoke
  • Criar um hub virtual seguro
  • Conecte as redes virtuais hub e spoke
  • Encaminhar o tráfego para o seu hub
  • Implantar os servidores
  • Crie uma política de firewall e proteja seu hub
  • Testar a firewall

Importante

O procedimento neste tutorial usa o Gerenciador de Firewall do Azure para criar um novo hub protegido da WAN Virtual do Azure. Você pode usar o Gerenciador de Firewall para atualizar um hub existente, mas não pode configurar as Zonas de Disponibilidade do Azure para o Firewall do Azure. Também é possível converter um hub existente em um hub seguro usando o portal do Azure, conforme descrito em Configurar o Firewall do Azure em um hub WAN Virtual. Mas, como o Gerenciador de Firewall do Azure, você não pode configurar Zonas de Disponibilidade. Para atualizar um hub existente e especificar Zonas de Disponibilidade para o Firewall do Azure (recomendado), você deve seguir o procedimento de atualização em Tutorial: Proteger seu hub virtual usando o Azure PowerShell.

Diagram showing the secure cloud network.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar uma arquitetura hub and spoke

Primeiro, crie redes virtuais spoke onde você pode colocar seus servidores.

Crie redes virtuais e sub-redes de dois raios

Cada uma das duas redes virtuais tem um servidor de carga de trabalho e é protegida pelo firewall.

  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Pesquise por Rede virtual, selecione-a e selecione Criar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Para Grupo de recursos, selecione Criar novo, digite fw-manager-rg para o nome e selecione OK.
  5. Em Nome da rede virtual, digite Spoke-01.
  6. Em Região, selecione Leste dos EUA.
  7. Selecione Seguinte.
  8. Na página Segurança, selecione Avançar.
  9. Em Adicionar espaço de endereço IPv4, aceite o padrão 10.0.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Em Name, digite Workload-01-SN.
  12. Para Endereço inicial, digite 10.0.1.0/24.
  13. Selecione Guardar.
  14. Selecione Rever + criar.
  15. Selecione Criar.

Repita este procedimento para criar outra rede virtual semelhante no grupo de recursos fw-manager-rg :

Designação: Spoke-02
Espaço de endereço: 10.1.0.0/16
Nome da sub-rede: Workload-02-SN
Endereço inicial: 10.1.1.0/24

Criar o hub virtual seguro

Crie seu hub virtual seguro usando o Gerenciador de Firewall.

  1. Na home page do portal do Azure, selecione Todos os serviços.

  2. Na caixa de pesquisa, digite Firewall Manager e selecione Firewall Manager.

  3. Na página Gerenciador de Firewall , em Implantações, selecione Hubs virtuais.

  4. No Firewall Manager | Página de hubs virtuais, selecione Criar novo hub virtual seguro.

    Screenshot of creating a new secured virtual hub.

  5. Selecione a sua Subscrição.

  6. Para Grupo de recursos, selecione fw-manager-rg.

  7. Em Região, selecione Leste dos EUA.

  8. Para o nome do hub virtual seguro, digite Hub-01.

  9. Para Espaço de endereçamento do Hub, digite 10.2.0.0/16.

  10. Selecione Nova vWAN.

  11. Para o novo nome da WAN virtual, digite Vwan-01.

  12. Para Tipo , selecione Padrão.

  13. Deixe a caixa de seleção Incluir gateway VPN para habilitar Parceiros de Segurança Confiáveis desmarcada.

    Screenshot of creating a new virtual hub with properties.

  14. Selecione Next: Firewall do Azure.

  15. Aceite a configuração padrão do Firewalldo Azure Habilitado .

  16. Para a camada do Firewall do Azure, selecione Padrão.

  17. Selecione a combinação desejada de Zonas de disponibilidade.

Importante

Uma WAN Virtual é uma coleção de hubs e serviços disponibilizados dentro do hub. Você pode implantar quantas WANs virtuais precisar. Em um hub WAN Virtual, há vários serviços como VPN, ExpressRoute e assim por diante. Cada um desses serviços é implantado automaticamente nas Zonas de Disponibilidade, exceto o Firewall do Azure, se a região oferecer suporte a Zonas de Disponibilidade. Para alinhar com a resiliência da WAN Virtual do Azure, você deve selecionar todas as Zonas de Disponibilidade disponíveis.

Screenshot of configuring Azure Firewall parameters.

  1. Digite 1 na caixa de texto Especificar número de destinatários IP públicos.

  2. Em Política de firewall, verifique se a Política de negação padrão está selecionada. Você refina suas configurações mais adiante neste artigo.

  3. Selecione Next: Security Partner Provider.

    Screenshot of configuring Trusted Partners parameters.

  4. Aceite a configuração padrão Parceirode Segurança Confiável Desabilitado e selecione Avançar: Revisar + criar.

  5. Selecione Criar.

    Screenshot of creating the Firewall instance.

Nota

Pode levar até 30 minutos para criar um hub virtual seguro.

Você pode encontrar o endereço IP público do firewall após a conclusão da implantação.

  1. Abra o Firewall Manager.
  2. Selecione Hubs virtuais.
  3. Selecione hub-01.
  4. Selecione AzureFirewall_Hub-01.
  5. Observe o endereço IP público a ser usado mais tarde.

Conecte as redes virtuais hub e spoke

Agora você pode peer o hub e spoke redes virtuais.

  1. Selecione o grupo de recursos fw-manager-rg e, em seguida, selecione a WAN virtual Vwan-01 .

  2. Em Conectividade, selecione Conexões de rede virtual.

    Screenshot of adding Virtual Network connections.

  3. Selecione Adicionar ligação.

  4. Em Nome da conexão, digite hub-spoke-01.

  5. Para Hubs, selecione Hub-01.

  6. Para Grupo de recursos, selecione fw-manager-rg.

  7. Em Rede virtual, selecione Spoke-01.

  8. Selecione Criar.

  9. Repita para conectar a rede virtual Spoke-02: nome da conexão - hub-spoke-02.

Implantar os servidores

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter na lista Popular .

  3. Introduza estes valores para a máquina virtual:

    Definição Value
    Grupo de recursos fw-gerente-rg
    Virtual machine name Srv-carga de trabalho-01
    País/Região (EUA) Leste dos EUA)
    Nome de utilizador do administrador Digite um nome de usuário
    Palavra-passe Digite uma senha
  4. Em Regras de porta de entrada, para Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Avançar: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Selecione Spoke-01 para a rede virtual e selecione Workload-01-SN para a sub-rede.

  8. Em IP público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Avançar: Gerenciamento.

  10. Selecione Next:Monitoring.

  11. Selecione Desativar para desativar o diagnóstico de inicialização. Aceite os outros padrões e selecione Revisar + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

Use as informações na tabela a seguir para configurar outra máquina virtual chamada Srv-Workload-02. O restante da configuração é o mesmo que a máquina virtual Srv-workload-01 .

Definição Value
Rede virtual Falou-se -02
Sub-rede Carga de trabalho-02-SN

Depois que os servidores forem implantados, selecione um recurso de servidor e, em Rede , anote o endereço IP privado de cada servidor.

Crie uma política de firewall e proteja seu hub

Uma política de firewall define coleções de regras para direcionar o tráfego em um ou mais hubs virtuais protegidos. Você cria sua política de firewall e, em seguida, protege seu hub.

  1. No Gerenciador de Firewall, selecione Políticas de Firewall do Azure.

    Screenshot of creating an Azure Policy with first step.

  2. Selecione Criar Política de Firewall do Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. Para Grupo de recursos, selecione fw-manager-rg.

  4. Em Detalhes da política, para o tipo Nome Policy-01 e para Região, selecione Leste dos EUA.

  5. Em Camada de política, selecione Padrão.

  6. Selecione Next: DNS Settings.

    Screenshot of configuring DNS settings.

  7. Selecione Next: TLS Inspection.

    Screenshot of configuring TLS settings.

  8. Selecione Avançar : Regras.

  9. Na guia Regras, selecione Adicionar uma coleção de regras.

    Screenshot of configuring Rule Collection.

  10. Na página Adicionar uma coleção de regras, digite App-RC-01 para o Nome.

  11. Em Tipo de coleção de regras, selecione Aplicativo.

  12. Em Prioridade, digite 100.

  13. Verifique se a ação de coleta de regras é Permitir.

  14. Para o nome da regra, digite Allow-msft.

  15. Para o tipo de origem, selecione Endereço IP.

  16. Em Source, digite *.

  17. Em Protocolo, digite http,https.

  18. Verifique se o tipo de destino é FQDN.

  19. Em Destino, digite *.microsoft.com.

  20. Selecione Adicionar.

  21. Adicione uma regra DNAT para que você possa conectar uma área de trabalho remota à máquina virtual Srv-Workload-01 .

    1. Selecione Adicionar uma coleção de regras.
    2. Em Nome, digite dnat-rdp.
    3. Em Tipo de coleção de regras, selecione DNAT.
    4. Em Prioridade, digite 100.
    5. Para o nome da regra, digite Allow-rdp.
    6. Para o tipo de origem, selecione Endereço IP.
    7. Em Source, digite *.
    8. Em Protocolo, selecione TCP.
    9. Para Portas de destino, digite 3389.
    10. Em Destino, digite o endereço IP público do firewall que você anotou anteriormente.
    11. Em Tipo traduzido, selecione Endereço IP.
    12. Em Endereço traduzido, digite o endereço IP privado para Srv-Workload-01 que você anotou anteriormente.
    13. Em Porta traduzida, escreva 3389.
    14. Selecione Adicionar.
  22. Adicione uma regra de rede para que você possa conectar uma área de trabalho remota de Srv-Workload-01 a Srv-Workload-02.

    1. Selecione Adicionar uma coleção de regras.
    2. Em Name, digite vnet-rdp.
    3. Em Tipo de coleção de regras, selecione Rede.
    4. Em Prioridade, digite 100.
    5. Para Ação de coleta de regras, selecione Permitir.
    6. Para a regra Nome , digite Allow-vnet.
    7. Para o tipo de origem, selecione Endereço IP.
    8. Em Source, digite *.
    9. Em Protocolo, selecione TCP.
    10. Para Portas de destino, digite 3389.
    11. Em Tipo de destino, selecione Endereço IP.
    12. Em Destino, digite o endereço IP privado Srv-Workload-02 que você anotou anteriormente.
    13. Selecione Adicionar.
  23. Selecione Next: IDPS.

  24. Na página IDPS, selecione Next: Threat Intelligence

    Screenshot of configuring IDPS settings.

  25. Na página Inteligência de ameaças , aceite os padrões e selecione Revisar e criar:

    Screenshot of configuring Threat Intelligence settings.

  26. Reveja para confirmar a sua seleção e, em seguida, selecione Criar.

Política de associados

Associe a política de firewall ao hub.

  1. No Gerenciador de Firewall, selecione Políticas de Firewall do Azure.

  2. Marque a caixa de seleção para Policy-01.

  3. Selecione Gerenciar associações, Associar hubs.

    Screenshot of configuring Policy association.

  4. Selecione hub-01.

  5. Selecione Adicionar.

    Screenshot of adding Policy and Hub settings.

Encaminhar o tráfego para o seu hub

Agora você deve garantir que o tráfego de rede seja roteado através do firewall.

  1. No Gerenciador de firewall, selecione Hubs virtuais.

  2. Selecione Hub-01.

  3. Em Configurações, selecione Configuração de segurança.

  4. Em Tráfego da Internet, selecione Firewall do Azure.

  5. Em Tráfego privado, selecione Enviar através da Firewall do Azure.

    Nota

    Se você estiver usando intervalos de endereços IP públicos para redes privadas em uma rede virtual ou uma filial local, precisará especificar explicitamente esses prefixos de endereço IP. Selecione a seção Prefixos de tráfego privado e adicione-os ao lado dos prefixos de endereço RFC1918.

  6. Em Interhub, selecione Habilitado para habilitar o recurso de intenção de roteamento da WAN Virtual. A intenção de roteamento é o mecanismo pelo qual você pode configurar a WAN Virtual para rotear o tráfego de filial para filial (local para local) por meio do Firewall do Azure implantado no Hub WAN Virtual. Para obter mais informações sobre pré-requisitos e considerações associadas ao recurso de intenção de roteamento, consulte a documentação de intenção de roteamento.

  7. Selecione Guardar.

  8. Selecione OK na caixa de diálogo Aviso .

    Screenshot of Secure Connections.

  9. Selecione OK na caixa de diálogo Migrar para usar interhub.

    Nota

    Leva alguns minutos para atualizar as tabelas de rotas.

  10. Verifique se as duas conexões mostram que o Firewall do Azure protege o tráfego da Internet e privado.

    Screenshot of Secure Connections final status.

Testar a firewall

Para testar as regras de firewall, conecte uma área de trabalho remota usando o endereço IP público do firewall, que é NATed para Srv-Workload-01. A partir daí, use um navegador para testar a regra de aplicativo e conecte uma área de trabalho remota ao Srv-Workload-02 para testar a regra de rede.

Testar a regra de aplicação

Agora, teste as regras de firewall para confirmar se ele funciona conforme o esperado.

  1. Ligue um ambiente de trabalho remoto ao endereço IP público da firewall e inicie sessão.

  2. Abra o Internet Explorer e navegue até https://www.microsoft.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a home page da Microsoft.

  4. Navegue para https://www.google.com.

    O firewall deve bloquear isso.

Então, agora você verificou que a regra do aplicativo de firewall está funcionando:

  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.

Testar a regra de rede

Agora teste a regra de rede.

  • A partir de Srv-Workload-01, abra uma área de trabalho remota para o endereço IP privado Srv-Workload-02.

    Uma área de trabalho remota deve se conectar ao Srv-Workload-02.

Então, agora você verificou que a regra de rede de firewall está funcionando:

  • Você pode conectar uma área de trabalho remota a um servidor localizado em outra rede virtual.

Clean up resources (Limpar recursos)

Quando terminar de testar os recursos do firewall, exclua o grupo de recursos fw-manager-rg para excluir todos os recursos relacionados ao firewall.

Próximos passos