Implementar e configurar o Azure Firewall com o portal do Azure

Controlar o acesso de rede de saída é uma parte importante de um plano de segurança de rede geral. Por exemplo, pode querer limitar o acesso a sites web. Ou, pode querer limitar os endereços IP de saída e portas que podem ser acedidos.

Uma forma de controlar o acesso de rede de saída a partir de uma sub-rede do Azure é com a Azure Firewall. Com a Azure Firewall, pode configurar:

  • Regras da aplicação que definem nomes de domínio completamente qualificado (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede que definem o endereço de origem, o protocolo, a porta de destino e o endereço de destino.

O tráfego de rede está sujeito às regras de firewall configuradas quando encaminha o tráfego de rede para a firewall como o gateway padrão de sub-rede.

Para este artigo, cria-se um VNet único simplificado com duas sub-redes para fácil implementação.

Para implantações de produção, recomenda-se um modelo de hub e spoke , onde a firewall está no seu próprio VNet. Os servidores de carga de trabalho estão em VNets espreitados na mesma região com uma ou mais sub-redes.

  • AzureFirewallSubnet - a firewall está nesta sub-rede.
  • Workload-SN - o servidor de carga de trabalho está nesta sub-rede. O tráfego de rede desta sub-rede passa pela firewall.

Infraestrutura de rede

Neste artigo, vai aprender a:

  • Configurar um ambiente de rede de teste
  • Implementar uma firewall
  • Criar uma rota predefinida
  • Configure uma regra de aplicação para permitir o acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso aos servidores DNS externos
  • Configure uma regra NAT para permitir um ambiente de trabalho remoto para o servidor de teste
  • Testar a firewall

Nota

Este artigo usa regras clássicas de Firewall para gerir a firewall. O método preferido é utilizar a Política de Firewall. Para completar este procedimento utilizando a Política de Firewall, consulte Tutorial: Implementar e configurar Azure Firewall e política utilizando o portal do Azure

Se preferir, pode concluir este procedimento utilizando Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Configurar a rede

Em primeiro lugar, crie um grupo de recursos para conter os recursos necessários para implementar a firewall. Em seguida, crie um VNet, sub-redes e um servidor de teste.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos utilizados neste procedimento.

  1. Inicie sessão no portal do Azure em https://portal.azure.com.
  2. No menu portal do Azure, selecione grupos de Recursos ou procure e selecione grupos de Recursos de qualquer página. Em seguida, selecione Criar.
  3. Em Subscrição, selecione a sua subscrição.
  4. Em Nome do grupo de recursos, escreva Test-FW-RG.
  5. Em Localização do grupo de recursos, selecione uma localização. Todos os outros recursos que cria devem estar no mesmo local.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Criar uma VNet

Este VNet terá duas sub-redes.

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Azure Firewall FAQ.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione redevirtualde> rede.

  3. Em Subscrição, selecione a sua subscrição.

  4. Para o grupo de recursos, selecione Test-FW-RG.

  5. Em Nome, escreva Test-FW-VN.

  6. Para a Região, selecione o mesmo local que usou anteriormente.

  7. Selecione Seguinte: endereços IP.

  8. Para o espaço IPv4 Address, aceite o padrão 10.0.0.0/16.

  9. No nome da sub-rede, selecione o predefinição.

  10. Para o nome da sub-rede alterá-lo para AzureFirewallSubnet. A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.

  11. Para o intervalo address, altere-o para 10.0.1.0/26.

  12. Selecione Guardar.

    Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  13. Selecione Adicionar sub-rede.

  14. Para o nome da sub-rede, escreva Workload-SN.

  15. Para a gama de endereços sub-rede, tipo 10.0.2.0/24.

  16. Selecione Adicionar.

  17. Selecione Rever + criar.

  18. Selecione Criar.

Criar uma máquina virtual

Agora crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione o Centro de Dados 2019 do Windows Server.

  3. Introduza estes valores para a máquina virtual:

    Definição Valor
    Grupo de recursos Teste-FW-RG
    Nome da máquina virtual Srv-Work
    Região O mesmo que anterior
    Imagem Windows Server 2019 Datacenter
    Nome do utilizador do administrador Digite um nome de utilizador
    Palavra-passe Digite uma senha
  4. De acordo com as regras portuárias de entrada, portas de entrada pública, selecione Nenhum.

  5. Aceite as outras predefinições e selecione Seguinte: Discos.

  6. Aceite as predefinições do disco e selecione Seguinte: Networking.

  7. Certifique-se de que o Test-FW-VN está selecionado para a rede virtual e a sub-rede é Workload-SN.

  8. Para IP público, selecione Nenhum.

  9. Aceite os outros incumprimentos e selecione Seguinte: Gestão.

  10. Para diagnósticos de boot, selecione Desativar para desativar os diagnósticos de arranque. Aceite os outros predefinidos e selecione Review + create.

  11. Reveja as definições na página do resumo e, em seguida, selecione Criar.

  12. Depois de concluída a implementação, selecione Srv-Work e note o endereço IP privado que terá de utilizar mais tarde.

Nota

O Azure fornece um IP de acesso de saída predefinido para VMs que não são atribuídos um endereço IP público ou estão no pool back-end de um equilibrador de carga básico interno. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso por defeito é desativado quando um endereço IP público é atribuído ao VM, o VM é colocado no pool back-end de um equilibrador de carga padrão, com ou sem regras de saída, ou se um recurso de gateway Azure Rede Virtual NAT for atribuído à sub-rede do VM.

Os VMs que são criados por conjuntos de escala de máquina virtual em modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre as ligações de saída em Azure, consulte o acesso de saída padrão em Azure e Use a tradução de endereços de rede de origem (SNAT) para ligações de saída.

Implementar a firewall

Implemente a firewall na VNet.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e prima Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Valor
    Subscrição <a sua subscrição>
    Grupo de recursos Teste-FW-RG
    Name Test-FW01
    Região Selecionar a mesma localização que utilizou anteriormente
    Nível de firewall Standard
    Gestão de firewall Use as regras de Firewall (clássica) para gerir esta firewall
    Escolher uma rede virtual Utilização existente: Test-FW-VN
    Endereço IP público Adicionar novo
    Nome: fw-pip
  5. Aceite os outros valores predefinidos e, em seguida, selecione Review + create.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Este processo irá demorar alguns minutos a implementar.

  7. Após a implementação concluída, vá ao grupo de recursos Test-FW-RG e selecione a firewall Test-FW01 .

  8. Observe os endereços IP privados e públicos da firewall. Usará estes endereços mais tarde.

Criar uma rota predefinida

Ao criar uma rota para a conectividade de saída e de entrada através da firewall, basta uma rota padrão para 0.0.0.0/0 com o ip privado do aparelho virtual como próximo salto. Isto irá cuidar de quaisquer ligações de saída e entrada para passar pela firewall. Como exemplo, se a firewall estiver a cumprir um aperto de mão TCP e a responder a um pedido de entrada, então a resposta é direcionada para o endereço IP que enviou o tráfego. Esta ação é propositada.

Como resultado, não é necessário criar um UDR adicional para incluir a gama IP AzureFirewallSubnet. Isto pode resultar em ligações abandonadas. A rota original por defeito é suficiente.

Na sub-rede Workload-SN, vai configurar a rota de saída predefinida para passar pela firewall.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Rede, selecione tabela Rota.
  3. Em Subscrição, selecione a sua subscrição.
  4. Para o grupo de recursos, selecione Test-FW-RG.
  5. Para a Região, selecione o mesmo local que usou anteriormente.
  6. Em Nome, escreva Firewall-route.
  7. Selecione Rever + criar.
  8. Selecione Criar.

Após a implementação concluída, selecione Ir para o recurso.

  1. Na página de rota firewall , selecione Subnets e, em seguida, selecione Associate.

  2. Selecione Rede Virtual>Test-FW-VN.

  3. Para a sub-rede, selecione Workload-SN. Certifique-se de que seleciona apenas a sub-rede Workload-SN para esta rota, caso contrário a sua firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Para o nome da Rota, escreva fw-dg.

  7. Para o destino prefixo de endereço, selecione endereços IP.

  8. Para endereços IP de destino/gamas CIDR, tipo 0.0.0.0/0.

  9. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  10. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicação

Esta é a regra da aplicação que permite o acesso de saída a www.google.com.

  1. Abra o Test-FW-RG e selecione a firewall Test-FW01 .
  2. Na página Test-FW01 , em Definições, selecione Regras (clássicas).
  3. Selecione o separador de recolha de regras de aplicação .
  4. Selecione Adicionar a recolha da regra da aplicação.
  5. Em Nome, escreva App-Coll01.
  6. Em Prioridade, escreva 200.
  7. Em Ação, selecione Permitir.
  8. De acordo com as regras, Target FQDNs, para Nome, tipo Allow-Google.
  9. Para o tipo de fonte, selecione o endereço IP.
  10. Para fonte, tipo 10.0.2.0/24.
  11. Em Protocolo:porta, escreva http, https.
  12. Para O Alvo FQDNS, tipo www.google.com
  13. Selecione Adicionar.

O Azure Firewall inclui uma coleção de regras incorporadas para os FQDNs de infraestrutura que são permitidos por predefinição. Estes FQDNs são específicos da plataforma e não podem ser utilizados para outros fins. Para obter mais informações, veja FQDNs de Infraestrutura.

Configurar uma regra de rede

Esta é a regra de rede que permite acesso de saída aos dois endereços IP na porta 53 (DNS).

  1. Selecione o separador de recolha de regras de rede .

  2. Selecione Adicionar a recolha de regras de rede.

  3. Em Nome, escreva Net-Coll01.

  4. Em Prioridade, escreva 200.

  5. Em Ação, selecione Permitir.

  6. De acordo com as regras, endereços IP, para Nome, tipo Allow-DNS.

  7. Em Protocolo, selecione UDP.

  8. Para o tipo de fonte, selecione o endereço IP.

  9. Para fonte, tipo 10.0.2.0/24.

  10. Para o tipo destino , selecione o endereço IP.

  11. Endereço de destino, tipo 209.244.0.3.209.244.0.4

    Estes são servidores DNS públicos operados pelo Level3.

  12. Em Portas de Destino, escreva 53.

  13. Selecione Adicionar.

Configurar uma regra DNAT

Esta regra permite-lhe ligar um ambiente de trabalho remoto à Srv-Work máquina virtual através da firewall.

  1. Selecione o separador de recolha de regras NAT .
  2. Selecione Adicionar a coleção de regras NAT.
  3. Para nome, escreva rdp.
  4. Em Prioridade, escreva 200.
  5. De acordo com as regras, para nome, tipo RDP-nat.
  6. Em Protocolo, selecione TCP.
  7. Para o tipo de fonte, selecione o endereço IP.
  8. Para fonte, escreva *.
  9. Para o endereço destino, digite o endereço IP público de firewall.
  10. Para portos de destino, tipo 3389.
  11. Para endereço traduzido, digite o endereço IP privado Srv-work.
  12. Em Porta traduzida, escreva 3389.
  13. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para efeitos de teste, configurar os endereços DNS primários e secundários do servidor. Isto não é um requisito geral Azure Firewall.

  1. No menu portal do Azure, selecione grupos de Recursos ou procure e selecione grupos de Recursos de qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione a interface de rede para a máquina virtual Srv-Work .
  3. Em Definições, selecione servidores DNS.
  4. Nos servidores DNS, selecione Custom.
  5. Escreva 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na caixa de texto seguinte.
  6. Selecione Guardar.
  7. Reinicie a máquina virtual Srv-Work.

Testar a firewall

Agora, teste a firewall para confirmar que funciona como esperado.

  1. Conecte um ambiente de trabalho remoto ao endereço IP público da firewall e inscreva-se na Srv-Work máquina virtual.

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Feche os alertas de segurança do Internet Explorer.

    Devia ver a página inicial do Google.

  4. Navegue para https://www.microsoft.com.

    Deve estar bloqueado pela firewall.

Então agora verificaste que as regras da firewall estão a funcionar:

  • Pode ligar-se à máquina virtual utilizando RDP.
  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.
  • Pode resolver nomes DNS com o servidor DNS externo configurado.

Limpar os recursos

Pode manter os seus recursos de firewall para continuar a testar, ou se já não for necessário, eliminar o grupo de recursos Test-FW-RG para eliminar todos os recursos relacionados com firewall.

Passos seguintes

Tutorial: monitorizar registos do Azure Firewall