Tutorial: Proteger o hub virtual com o Azure Firewall Manager

Com o Azure Firewall Manager, pode criar hubs virtuais seguros para proteger o tráfego de rede na cloud destinado a endereços IP privados, PaaS do Azure e Internet. O encaminhamento de tráfego para a firewall é automatizado, pelo que não é necessário criar rotas definidas pelo utilizador (UDRs).

proteger a rede na cloud

O Firewall Manager também suporta uma arquitetura de rede virtual do hub. Para obter uma comparação dos tipos de arquitetura de hub virtual seguro e de rede virtual do hub, veja Quais são as opções de arquitetura do Azure Firewall Manager?

Neste tutorial, ficará a saber como:

  • Criar a rede virtual spoke
  • Criar um hub virtual seguro
  • Ligar as redes virtuais hub-and-spoke
  • Encaminhar o tráfego para o hub
  • Implementar os servidores
  • Criar uma política de firewall e proteger o hub
  • Testar a firewall

Importante

O procedimento neste tutorial utiliza o Azure Firewall Manager para criar um novo hub protegido do Azure WAN Virtual. Pode utilizar o Firewall Manager para atualizar um hub existente, mas não pode configurar o Azure Zonas de Disponibilidade para Azure Firewall. Também é possível converter um hub existente num hub seguro com o portal do Azure, conforme descrito em Configurar Azure Firewall num hub WAN Virtual. Mas, tal como Azure Firewall Manager, não pode configurar Zonas de Disponibilidade. Para atualizar um hub existente e especificar Zonas de Disponibilidade para Azure Firewall (recomendado), tem de seguir o procedimento de atualização no Tutorial: Proteger o hub virtual com Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar uma arquitetura hub-and-spoke

Em primeiro lugar, crie redes virtuais spoke onde pode colocar os servidores.

Criar duas redes virtuais e sub-redes spoke

Cada uma das duas redes virtuais terá um servidor de carga de trabalho e será protegida pela firewall.

  1. Na home page portal do Azure, selecione Criar um recurso.
  2. Procure Rede virtual e selecione Criar.
  3. Em Subscrição, selecione a sua subscrição.
  4. Em Grupo de recursos, selecione Criar novo e escreva fw-manager-rg para o nome e selecione OK.
  5. Em Nome, escreva Spoke-01.
  6. Em Região, selecione E.U.A. Leste.
  7. Selecione Seguinte: Endereços IP.
  8. Em Espaço de endereços, aceite a predefinição 10.0.0.0/16.
  9. Selecione Adicionar sub-rede.
  10. Em Nome da sub-rede, escreva Workload-01-SN.
  11. Em Intervalo de endereços da sub-rede, escreva 10.0.1.0/24.
  12. Selecione Adicionar.
  13. Selecione Rever + criar.
  14. Selecione Criar.

Repita este procedimento para criar outra rede virtual semelhante no grupo de recursos fw-manager-rg :

Nome: Spoke-02
Espaço de endereços: 10.1.0.0/16
Nome da sub-rede: Workload-02-SN
Intervalo de endereços da sub-rede: 10.1.1.0/24

Criar o hub virtual seguro

Crie o hub virtual seguro com o Firewall Manager.

  1. Na home page portal do Azure, selecione Todos os serviços.

  2. Na caixa de pesquisa, escreva Gestor de Firewall e selecione Gestor de Firewall.

  3. Na página Gestor de Firewall, em Implementações, selecione Hubs virtuais.

  4. Na | do Firewall Manager Página Hubs virtuais , selecione Criar novo hub virtual seguro.

    Captura de ecrã a mostrar a criação de um novo hub virtual protegido.

  5. Selecione a sua Subscrição.

  6. Em Grupo de recursos, selecione fw-manager-rg.

  7. Em Região, selecione E.U.A. Leste.

  8. Para o nome do hub virtual protegido, escreva Hub-01.

  9. Em Espaço de endereços do Hub, escreva 10.2.0.0/16.

  10. Selecione Nova vWAN.

  11. Para o novo nome wan virtual, escreva Vwan-01.

  12. Em Tipo , selecione Padrão.

  13. Deixe a caixa de verificação Incluir gateway de VPN para ativar Parceiros de Segurança Fidedignos desmarcada.

    Captura de ecrã a mostrar a criação de um novo hub virtual com propriedades.

  14. Selecione Seguinte: Azure Firewall.

  15. Aceite a predefinição Azure FirewallDefinição Desativado.

  16. Para Azure Firewall escalão, selecione Standard.

  17. Selecione a combinação pretendida de Zonas de Disponibilidade.

Importante

Uma WAN Virtual é uma coleção de hubs e serviços disponibilizados no hub. Pode implementar o número de WANs Virtuais de que precisar. Num hub WAN Virtual, existem vários serviços, como VPN, ExpressRoute, etc. Cada um destes serviços é implementado automaticamente em Zonas de Disponibilidade exceto Azure Firewall, se a região suportar Zonas de Disponibilidade. Para alinhar com a resiliência WAN Virtual do Azure, deve selecionar todas as Zonas de Disponibilidade disponíveis.

Captura de ecrã a mostrar a configuração de parâmetros Azure Firewall.

  1. Selecione a Política de Firewall a aplicar na nova instância de Azure Firewall. Selecione Política de Negação Predefinida. Irá refinar as suas definições mais adiante neste artigo.

  2. Selecione Seguinte: Fornecedor de Parceiros de Segurança.

    Captura de ecrã a mostrar a configuração de parâmetros de Parceiros Fidedignos.

  3. Aceite a predefinição Parceiro de Segurança FidedignoDesativado e selecione Seguinte: Rever + criar.

  4. Selecione Criar.

    Captura de ecrã a mostrar a criação da instância da Firewall.

Nota

A criação de um hub virtual seguro pode demorar até 30 minutos.

Pode obter o endereço IP público da firewall após a conclusão da implementação.

  1. Abra o Firewall Manager.
  2. Selecione Hubs virtuais.
  3. Selecione hub-01.
  4. Em Azure Firewall, selecione Configuração do IP público.
  5. Anote o endereço IP público a utilizar mais tarde.

Ligar as redes virtuais hub-and-spoke

Agora, pode colocar as redes virtuais hub-and-spoke em modo de peering.

  1. Selecione o grupo de recursos fw-manager-rg e, em seguida, selecione a WAN virtual Vwan-01 .

  2. Em Conectividade, selecione Ligações de rede virtual.

    Captura de ecrã a mostrar a adição de ligações Rede Virtual.

  3. Selecione Adicionar ligação.

  4. Em Nome da ligação, escreva hub-spoke-01.

  5. Em Hubs, selecione Hub-01.

  6. Em Grupo de recursos, selecione fw-manager-rg.

  7. Em Rede virtual, selecione Spoke-01.

  8. Selecione Criar.

  9. Repita para ligar a rede virtual Spoke-02 : nome da ligação – hub-spoke-02

Implementar os servidores

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter na lista Popular .

  3. Introduza estes valores para a máquina virtual:

    Definição Valor
    Grupo de recursos fw-manager-rg
    Nome da máquina virtual Srv-workload-01
    Região (E.U.A.) E.U.A. Leste)
    Nome de utilizador do administrador escrever um nome de utilizador
    Palavra-passe escrever uma palavra-passe
  4. Em Regras de porta de entrada, em Portas de entrada públicas, selecione Nenhuma.

  5. Aceite as outras predefinições e selecione Seguinte: Discos.

  6. Aceite as predefinições do disco e selecione Seguinte: Rede.

  7. Selecione Spoke-01 para a rede virtual e selecione Workload-01-SN para a sub-rede.

  8. Para IP Público, selecione Nenhum.

  9. Aceite as outras predefinições e selecione Seguinte: Gestão.

  10. Selecione Seguinte:Monitorização.

  11. Selecione Desativar para desativar o diagnóstico de arranque. Aceite as outras predefinições e selecione Rever + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

Utilize as informações na tabela seguinte para configurar outra máquina virtual com o nome Srv-Workload-02. O resto da configuração é igual à máquina virtual Srv-workload-01 .

Definição Valor
Rede virtual Spoke-02
Sub-rede Carga de trabalho 02-SN

Após a implementação dos servidores, selecione um recurso de servidor e, em Rede , anote o endereço IP privado de cada servidor.

Criar uma política de firewall e proteger o hub

Uma política de firewall define coleções de regras para direcionar o tráfego para um ou mais Hubs virtuais protegidos. Irá criar a política de firewall e, em seguida, proteger o hub.

  1. No Firewall Manager, selecione Azure Firewall políticas.

    Captura de ecrã a mostrar a criação de um Azure Policy com o primeiro passo.

  2. Selecione Criar Azure Firewall Política.

    Captura de ecrã a mostrar a configuração Azure Policy definições no primeiro passo.

  3. Em Grupo de recursos, selecione fw-manager-rg.

  4. Em Detalhes da política, para o Tipo de nomePolítica-01 e para Região , selecione E.U.A. Leste.

  5. Em Escalão de política, selecione Standard.

  6. Selecione Seguinte: Definições de DNS.

    Captura de ecrã a mostrar a configuração das definições de DNS.

  7. Selecione Seguinte: Inspeção TLS.

    Captura de ecrã a mostrar a configuração das definições do TLS.

  8. Selecione Seguinte: Regras.

  9. No separador Regras , selecione Adicionar uma coleção de regras.

    Captura de ecrã a mostrar a configuração da Coleção de Regras.

  10. Na página Adicionar uma coleção de regras , escreva App-RC-01 para o Nome.

  11. Para Tipo de coleção de regras, selecione Aplicação.

  12. Em Prioridade, escreva 100.

  13. Certifique-se de que a ação coleção de Regras é Permitir.

  14. Para a regra ,escreva Allow-msft.

  15. Para o Tipo de origem, selecione Endereço IP.

  16. Em Origem, escreva *.

  17. Em Protocolo, escreva http,https.

  18. Certifique-se de que o Tipo de destino é FQDN.

  19. Em Destino, escreva *.microsoft.com.

  20. Selecione Adicionar.

  21. Adicione uma regra DNAT para ligar um ambiente de trabalho remoto à máquina virtual Srv-Workload-01 .

    1. Selecione Adicionar/Coleção de regras.
    2. Em Nome, escreva dnat-rdp.
    3. Em Tipo de coleção de regras, selecione DNAT.
    4. Em Prioridade, escreva 100.
    5. Para a regra , escrevaAllow-rdp.
    6. Para o Tipo de origem, selecione Endereço IP.
    7. Em Origem, escreva *.
    8. Em Protocolo, selecione TCP.
    9. Para Portas de Destino, escreva 3389.
    10. Em Tipo de Destino, selecione Endereço IP.
    11. Em Destino, escreva o endereço IP público da firewall que anotou anteriormente.
    12. Para Tipo traduzido, selecione Endereço IP.
    13. Para Endereço traduzido, escreva o endereço IP privado para Srv-Workload-01 que anotou anteriormente.
    14. Em Porta traduzida, escreva 3389.
    15. Selecione Adicionar.
  22. Adicione uma Regra de rede para ligar um ambiente de trabalho remoto de Srv-Workload-01 a Srv-Workload-02.

    1. Selecione Adicionar uma coleção de regras.
    2. Em Nome, escreva vnet-rdp.
    3. Em Tipo de coleção de regras, selecione Rede.
    4. Em Prioridade, escreva 100.
    5. Em Ação de coleção de regras, selecione Permitir.
    6. Para a regra , escrevaAllow-vnet.
    7. Para o Tipo de origem, selecione Endereço IP.
    8. Em Origem, escreva *.
    9. Em Protocolo, selecione TCP.
    10. Para Portas de Destino, escreva 3389.
    11. Em Tipo de Destino, selecione Endereço IP.
    12. Em Destino, escreva o endereço IP privado Srv-Workload-02 que anotou anteriormente.
    13. Selecione Adicionar.
  23. Selecione Seguinte: IDPS.

  24. Na página IDPS , selecione Seguinte: Informações sobre Ameaças

    Captura de ecrã a mostrar a configuração das definições de IDPS.

  25. Na página Informações sobre Ameaças , aceite as predefinições e selecione Rever e Criar:

    Captura de ecrã a mostrar a configuração das definições das Informações sobre Ameaças.

  26. Reveja para confirmar a sua seleção e, em seguida, selecione Criar.

Associar política

Associe a política de firewall ao hub.

  1. No Gestor de Firewall, selecione Azure Firewall Políticas.

  2. Selecione a caixa de verificação para Política-01.

  3. Selecione Gerir associações, Associar hubs.

    Captura de ecrã a mostrar a configuração da Associação de políticas.

  4. Selecione hub-01.

  5. Selecione Adicionar.

    Captura de ecrã a mostrar a adição de definições de Política e Hub.

Encaminhar o tráfego para o hub

Agora, tem de garantir que o tráfego de rede é encaminhado através da firewall.

  1. No Gestor de Firewall, selecione Hubs virtuais.

  2. Selecione Hub-01.

  3. Em Definições, selecione Configuração de segurança.

  4. Em Tráfego da Internet, selecione Azure Firewall.

  5. Em Tráfego privado, selecione Enviar através de Azure Firewall.

  6. Selecione Guardar.

  7. Selecione OK na caixa de diálogo Aviso .

    Captura de ecrã a mostrar Ligações Seguras.

    Nota

    Demora alguns minutos a atualizar as tabelas de rotas.

  8. Verifique se as duas ligações mostram Azure Firewall protege tanto a Internet como o tráfego privado.

    Captura de ecrã a mostrar o estado final das Ligações Seguras.

Testar a firewall

Para testar as regras de firewall, irá ligar um ambiente de trabalho remoto com o endereço IP público da firewall, que é NATed para Srv-Workload-01. A partir daí, irá utilizar um browser para testar a regra da aplicação e ligar um ambiente de trabalho remoto ao Srv-Workload-02 para testar a regra de rede.

Testar a regra da aplicação

Agora, teste as regras da firewall para confirmar que funciona conforme esperado.

  1. Ligue um ambiente de trabalho remoto ao endereço IP público da firewall e inicie sessão.

  2. Abra o Internet Explorer e navegue até https://www.microsoft.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Deverá ver a home page da Microsoft.

  4. Navegue para https://www.google.com.

    Deve estar bloqueado pela firewall.

Agora, verificou que a regra da aplicação de firewall está a funcionar:

  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.

Testar a regra de rede

Agora, teste a regra de rede.

  • A partir de Srv-Workload-01, abra um ambiente de trabalho remoto para o endereço IP privado Srv-Workload-02.

    Um ambiente de trabalho remoto deve ligar-se ao Srv-Workload-02.

Por isso, agora verificou que a regra de rede da firewall está a funcionar:

  • Pode ligar um ambiente de trabalho remoto a um servidor localizado noutra rede virtual.

Limpar os recursos

Quando terminar de testar os recursos da firewall, elimine o grupo de recursos fw-manager-rg para eliminar todos os recursos relacionados com a firewall.

Passos seguintes