Implementar e configurar o Azure Firewall com o portal do Azure

  • Artigo

Controlar o acesso de rede de saída é uma parte importante de um plano de segurança de rede geral. Por exemplo, talvez você queira limitar o acesso a sites. Ou, talvez você queira limitar os endereços IP de saída e as portas que podem ser acessadas.

Uma forma de controlar o acesso de rede de saída a partir de uma sub-rede do Azure é com a Azure Firewall. Com a Azure Firewall, pode configurar:

  • Regras da aplicação que definem nomes de domínio completamente qualificado (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede que definem o endereço de origem, o protocolo, a porta de destino e o endereço de destino.

O tráfego de rede está sujeito às regras de firewall configuradas quando encaminha o tráfego de rede para a firewall como o gateway padrão de sub-rede.

Para este artigo, você cria uma única rede virtual simplificada com duas sub-redes para facilitar a implantação.

Para implantações de produção, recomenda-se um modelo de hub e spoke, onde o firewall está em sua própria rede virtual. Os servidores de carga de trabalho estão em redes virtuais emparelhadas na mesma região com uma ou mais sub-redes.

  • AzureFirewallSubnet - a firewall está nesta sub-rede.
  • Workload-SN - o servidor de carga de trabalho está nesta sub-rede. O tráfego de rede desta sub-rede passa pela firewall.

Infraestrutura de rede

Neste artigo, vai aprender a:

  • Configurar um ambiente de rede de teste
  • Implementar uma firewall
  • Criar uma rota predefinida
  • Configurar uma regra de aplicativo para permitir o acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso aos servidores DNS externos
  • Configurar uma regra NAT para permitir que uma área de trabalho remota para o servidor de teste
  • Testar a firewall

Nota

Este artigo usa regras clássicas de firewall para gerenciar o firewall. O método preferido é usar a Política de Firewall. Para concluir este procedimento usando a Política de Firewall, consulte Tutorial: Implantar e configurar o Firewall e a política do Azure usando o portal do Azure

Se preferir, você pode concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Configurar a rede

Em primeiro lugar, crie um grupo de recursos para conter os recursos necessários para implementar a firewall. Em seguida, crie uma rede virtual, sub-redes e um servidor de teste.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos usados neste procedimento.

  1. Inicie sessão no portal do Azure.
  2. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página. Depois, selecione Criar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Em Nome do grupo de recursos, escreva Test-FW-RG.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Criar uma rede virtual

Esta rede virtual tem duas sub-redes.

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  1. No menu do portal do Azure ou na página inicial , procure por Redes virtuais.
  2. Selecione Redes virtuais no painel de resultados.
  3. Selecione Criar.
  4. Para Subscrição, selecione a sua subscrição.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Em Nome da rede virtual, digite Test-FW-VN.
  7. Em Região, selecione a mesma região que você usou anteriormente.
  8. Selecione Seguinte.
  9. Na guia Segurança, selecione Habilitar Firewall do Azure.
  10. Para Nome do Firewall do Azure, digite Test-FW01.
  11. Para o endereço IP público do Firewall do Azure, selecione Criar um endereço IP público.
  12. Em Nome, digite fw-pip e selecione OK.
  13. Selecione Seguinte.
  14. Para Espaço de endereço, aceite o padrão 10.0.0.0/16.
  15. Em Sub-rede, selecione padrão e altere o Nome para Workload-SN.
  16. Para Endereço inicial, altere-o para 10.0.2.0/24.
  17. Selecione Guardar.
  18. Selecione Rever + criar.
  19. Selecione Criar.

Criar uma máquina virtual

Agora crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Introduza estes valores para a máquina virtual:

    Definição Value
    Grupo de recursos Teste-FW-RG
    Virtual machine name Srv-Trabalho
    País/Região O mesmo que o anterior
    Image Windows Server 2019 Datacenter
    Nome de utilizador do administrador Digite um nome de usuário
    Palavra-passe Digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Avançar: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Avançar: Gerenciamento.

  10. Aceite os padrões e selecione Avançar: Monitoramento.

  11. Para Diagnóstico de inicialização, selecione Desativar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Revisar + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

  13. Após a conclusão da implantação, selecione Ir para recurso e anote o endereço IP privado Srv-Work que você precisará usar mais tarde.

Nota

O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.

As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Examine o firewall

  1. Vá para o grupo de recursos e selecione o firewall.
  2. Observe os endereços IP públicos e privados do firewall. Você usa esses endereços mais tarde.

Criar uma rota predefinida

Quando você cria uma rota para conectividade de entrada e saída através do firewall, uma rota padrão para 0.0.0.0/0 com o IP privado do dispositivo virtual como um próximo salto é suficiente. Isso direciona todas as conexões de entrada e saída através do firewall. Por exemplo, se o firewall estiver cumprindo um handshake TCP e respondendo a uma solicitação de entrada, a resposta será direcionada para o endereço IP que enviou o tráfego. Esta ação é propositada.

Como resultado, não há necessidade de criar outra rota definida pelo usuário para incluir o intervalo de IP AzureFirewallSubnet. Isso pode resultar em conexões perdidas. A rota padrão original é suficiente.

Na sub-rede Workload-SN, vai configurar a rota de saída predefinida para passar pela firewall.

  1. No portal do Azure, procure tabelas de rotas.
  2. Selecione Tabelas de rotas no painel de resultados.
  3. Selecione Criar.
  4. Para Subscrição, selecione a sua subscrição.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Em Região, selecione o mesmo local usado anteriormente.
  7. Em Nome, escreva Firewall-route.
  8. Selecione Rever + criar.
  9. Selecione Criar.

Após a conclusão da implantação, selecione Ir para o recurso.

  1. Na página Rota do firewall, selecione Sub-redes e, em seguida, selecione Associar.

  2. Para Rede virtual, selecione Test-FW-VN.

  3. Em Sub-rede, selecione Workload-SN. Certifique-se de selecionar apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Em Nome da rota, digite fw-dg.

  7. Em Tipo de destino, selecione Endereços IP.

  8. Para Endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.

  9. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  10. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicação

Esta é a regra de aplicação que permite o acesso de saída ao www.google.com.

  1. Abra o Test-FW-RG e selecione o firewall Test-FW01 .
  2. Na página Test-FW01, em Configurações, selecione Regras (clássicas).
  3. Selecione a guia Coleção de regras de aplicativo.
  4. Selecione Adicionar coleção de regras de aplicativo.
  5. Em Nome, escreva App-Coll01.
  6. Em Prioridade, escreva 200.
  7. Em Ação, selecione Permitir.
  8. Em Regras, FQDNs de destino, em Nome, digite Allow-Google.
  9. Em Tipo de origem, selecione Endereço IP.
  10. Para Source, digite 10.0.2.0/24.
  11. Em Protocolo:porta, escreva http, https.
  12. Para FQDNS de destino, digite www.google.com
  13. Selecione Adicionar.

O Azure Firewall inclui uma coleção de regras incorporadas para os FQDNs de infraestrutura que são permitidos por predefinição. Estes FQDNs são específicos da plataforma e não podem ser utilizados para outros fins. Para obter mais informações, veja FQDNs de Infraestrutura.

Configurar uma regra de rede

Esta é a regra de rede que permite acesso de saída aos dois endereços IP na porta 53 (DNS).

  1. Selecione a guia Coleção de regras de rede.

  2. Selecione Adicionar coleção de regras de rede.

  3. Em Nome, escreva Net-Coll01.

  4. Em Prioridade, escreva 200.

  5. Em Ação, selecione Permitir.

  6. Em Regras, endereços IP, para Nome, digite Allow-DNS.

  7. Em Protocolo, selecione UDP.

  8. Em Tipo de origem, selecione Endereço IP.

  9. Para Source, digite 10.0.2.0/24.

  10. Em Tipo de destino , selecione Endereço IP.

  11. Para Endereço de destino, digite 209.244.0.3,209.244.0.4

    Estes são servidores DNS públicos operados pela Level3.

  12. Em Portas de Destino, escreva 53.

  13. Selecione Adicionar.

Configurar uma regra DNAT

Esta regra permite conectar uma área de trabalho remota à máquina virtual Srv-Work através do firewall.

  1. Selecione a guia Coleção de regras NAT.
  2. Selecione Adicionar coleção de regras NAT.
  3. Em Nome, digite rdp.
  4. Em Prioridade, escreva 200.
  5. Em Regras, em Nome, digite rdp-nat.
  6. Em Protocolo, selecione TCP.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Source, digite *.
  9. Em Endereço de destino, digite o endereço IP público do firewall.
  10. Para Portas de destino, digite 3389.
  11. Em Endereço traduzido, digite o endereço IP privado Srv-work.
  12. Em Porta traduzida, escreva 3389.
  13. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste, configure os endereços DNS primários e secundários do servidor. Este não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione a interface de rede para a máquina virtual Srv-Work .
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 e pressione Enter na caixa de texto Adicionar servidor DNS e 209.244.0.4 na próxima caixa de texto.
  6. Selecione Guardar.
  7. Reinicie a máquina virtual Srv-Work.

Testar a firewall

Agora, teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall e entre na máquina virtual Srv-Work.

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue para https://www.microsoft.com.

    O firewall deve bloqueá-lo.

Então, agora você verificou que as regras de firewall estão funcionando:

  • Você pode se conectar à máquina virtual usando RDP.
  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.
  • Pode resolver nomes DNS com o servidor DNS externo configurado.

Clean up resources (Limpar recursos)

Você pode manter seus recursos de firewall para continuar os testes ou, se não for mais necessário, excluir o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximos passos