Filtrar o tráfego de entrada da Internet com o DNAT do Firewall do Azure usando o portal do Azure

  • Artigo

Pode configurar a Tradução de Endereços de Rede de Destino (DNAT) do Azure Firewall para traduzir e filtrar o tráfego de Internet de entrada para as sub-redes. Quando você configura o DNAT, a ação de coleta de regras NAT é definida como Dnat. Cada regra na coleção de regras NAT pode ser usada para traduzir o endereço IP público e a porta do firewall para um endereço IP e uma porta privados. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego traduzido. Por razões de segurança, a abordagem recomendada é adicionar uma fonte de Internet específica para permitir o acesso DNAT à rede e evitar o uso de curingas. Para saber mais sobre a lógica de processamento de regras do Azure Firewall, veja Lógica de processamento de regras do Azure Firewall.

Nota

Este artigo usa regras clássicas de firewall para gerenciar o firewall. O método preferido é usar a Política de Firewall. Para concluir este procedimento usando a Política de Firewall, consulte Tutorial: Filtrar o tráfego de entrada da Internet com a política de Firewall do Azure DNAT usando o portal do Azure

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Inicie sessão no portal do Azure.
  2. Na home page do portal do Azure, selecione Grupos de recursos e, em seguida, selecione Criar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Para Grupo de recursos, digite RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Para este artigo, você cria duas VNets emparelhadas:

  • VNet-Hub - a firewall está nesta VNet.
  • VN-Spoke - o servidor de carga de trabalho está nesta VNet.

Em primeiro lugar, crie as VNets e, em seguida, configure o peering entre elas.

Criar a VNet Hub

  1. Na home page do portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Redes virtuais.

  3. Selecione Criar.

  4. Para Grupo de recursos, selecione RG-DNAT-Test.

  5. Em Nome, escreva VN-Hub.

  6. Em Região, selecione a mesma região que você usou antes.

  7. Selecione Seguinte.

  8. Na guia Segurança, selecione Avançar.

  9. Para o espaço de endereçamento IPv4, aceite o padrão 10.0.0.0/16.

  10. Em Sub-redes, selecione padrão.

  11. Para Modelo de sub-rede, selecione Firewall do Azure.

    A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.

    Nota

    O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  12. Selecione Guardar.

  13. Selecione Rever + criar.

  14. Selecione Criar.

Criar uma VNet spoke

  1. Na home page do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Criar.
  4. Para Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, escreva VN-Spoke.
  6. Em Região, selecione a mesma região que você usou antes.
  7. Selecione Seguinte.
  8. Na guia Segurança, selecione Avançar.
  9. Para o espaço de endereçamento IPv4, edite o padrão e digite 192.168.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para o nome da sub-rede, digite SN-Workload.
  12. Para Endereço inicial, digite 192.168.1.0.
  13. Para Tamanho da sub-rede, selecione /24.
  14. Selecione Guardar.
  15. Selecione Rever + criar.
  16. Selecione Criar.

Configurar o peering entre as VNets

Agora, configure o peering entre as duas VNets.

  1. Selecione a rede virtual VN-Hub .
  2. Em Configurações, selecione Emparelhamentos.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, para o nome do link de emparelhamento, digite Peer-HubSpoke.
  5. Em Rede virtual remota, para Nome do link de emparelhamento, digite Peer-SpokeHub.
  6. Selecione VN-Spoke para a rede virtual.
  7. Aceite todos os outros padrões e selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Produtos populares do Marketplace, selecione Windows Server 2019 Datacenter.

Noções básicas

  1. Para Subscrição, selecione a sua subscrição.
  2. Para Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, digite Srv-Workload.
  4. Em Região, selecione o mesmo local usado anteriormente.
  5. Escreva um nome de utilizador e uma palavra-passe.
  6. Selecione Next: Disks.

Discos

  1. Selecione Next: Networking.

Rede

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, selecione SN-Workload.
  3. Em IP público, selecione Nenhum.
  4. Para Portas de entrada públicas, selecione Nenhuma.
  5. Deixe as outras configurações padrão e selecione Avançar: Gerenciamento.

Gestão

  1. Selecione Next: Monitoring.

Monitorização

  1. Para Diagnóstico de inicialização, selecione Desabilitar.
  2. Selecione Rever + Criar.

Rever + Criar

Reveja o resumo e, em seguida, selecione Criar. Este processo demora alguns minutos para ser concluído.

Após a conclusão da implementação, tome nota do endereço IP privado para a máquina virtual. Ele é usado posteriormente quando você configura o firewall. Selecione o nome da máquina virtual. Selecione Visão geral e, em Rede , observe o endereço IP privado.

Nota

O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.

As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Implementar a firewall

  1. Na página inicial do portal, selecione Criar um recurso.

  2. Procure Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Value
    Subscrição <a sua subscrição>
    Grupo de recursos Selecione RG-DNAT-Test
    Nome Teste FW-DNAT
    País/Região Selecionar a mesma localização que utilizou anteriormente
    Firewall SKU Standard
    Gestão de firewall Usar regras de firewall (clássicas) para gerenciar esse firewall
    Escolher uma rede virtual Utilizar existente: VN-Hub
    Endereço IP público Adicionar novo, Nome: fw-pip.

  5. Aceite os outros padrões e selecione Revisar + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Isso leva alguns minutos para ser implantado.

  7. Após a conclusão da implantação, vá para o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test .

  8. Observe os endereços IP públicos e privados do firewall. Você os usará mais tarde quando criar a rota padrão e a regra NAT.

Criar uma rota predefinida

Na sub-rede SN-Workload, vai configurar a rota de saída predefinida para passar pela firewall.

Importante

Não é necessário configurar uma rota explícita de volta ao firewall na sub-rede de destino. O Firewall do Azure é um serviço com monitoração de estado e lida com os pacotes e sessões automaticamente. Se você criar essa rota, criará um ambiente de roteamento assimétrico que interrompe a lógica de sessão com monitoração de estado e resulta em pacotes e conexões descartados.

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Procure a tabela Rota e selecione-a.

  3. Selecione Criar.

  4. Para Subscrição, selecione a sua subscrição.

  5. Para Grupo de recursos, selecione RG-DNAT-Test.

  6. Em Região, selecione a mesma região que você usou anteriormente.

  7. Em Nome, escreva RT-FWroute.

  8. Selecione Rever + criar.

  9. Selecione Criar.

  10. Selecione Ir para recurso.

  11. Selecione Sub-redes e, em seguida, selecione Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, selecione SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, selecione Adicionar.

  16. Em Nome da rota, escreva FW-DG.

  17. Em Tipo de destino, selecione Endereços IP.

  18. Para Endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.

  19. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  20. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  21. Selecione Adicionar.

Configurar uma regra NAT

  1. Abra o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test .
  2. Na página FW-DNAT-test, em Configurações, selecione Regras (clássicas).
  3. Selecione Adicionar coleção de regras NAT.
  4. Em Nome, escreva RC-DNAT-01.
  5. Em Prioridade, escreva 200.
  6. Em Regras, em Nome, escreva RL-01.
  7. Em Protocolo, selecione TCP.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Source, digite *.
  10. Em Endereços de destino, digite o endereço IP público do firewall.
  11. Em Portas de Destino, escreva 3389.
  12. Em Endereço Traduzido, escreva o endereço IP privado da máquina virtual Srv-Workload.
  13. Em Porta traduzida, escreva 3389.
  14. Selecione Adicionar.

Este processo demora alguns minutos para ser concluído.

Testar a firewall

  1. Ligue uma área de trabalho remota ao endereço IP público da firewall. Deverá estar ligado à máquina virtual Srv-Workload.
  2. Feche o ambiente de trabalho remoto.

Clean up resources (Limpar recursos)

Você pode manter seus recursos de firewall para testes adicionais ou, se não for mais necessário, excluir o grupo de recursos RG-DNAT-Test para excluir todos os recursos relacionados ao firewall.

Próximos passos

Em seguida, pode monitorizar os registos do Azure Firewall.

Tutorial: monitorizar registos do Azure Firewall