Implementar e configurar o Azure Firewall numa rede híbrida com o portal do Azure

Quando liga a sua rede no local a uma rede virtual Azure para criar uma rede híbrida, a capacidade de controlar o acesso aos recursos da rede Azure é uma parte importante de um plano de segurança global.

Pode utilizar o Azure Firewall para controlar o acesso à rede numa rede híbrida ao utilizar regras que definem o tráfego de rede permitido e negado.

Para este artigo, cria três redes virtuais:

  • VNet-Hub - a firewall está nesta rede virtual.
  • VNet-Spoke - a rede virtual falada representa a carga de trabalho localizada no Azure.
  • VNet-Onprem - A rede virtual no local representa uma rede no local. Numa implementação real, pode ser conectada por uma ligação VPN ou ExpressRoute. Para simplificar, este procedimento utiliza uma ligação de gateway VPN, e uma rede virtual localizada no Azure é usada para representar uma rede no local.

Firewall in a hybrid network

Neste artigo, vai aprender a:

  • Crie a rede virtual do hub de firewall
  • Criar a rede virtual falada
  • Criar a rede virtual no local
  • Configurar e implementar a firewall
  • Criar e ligar os gateways de VPN
  • Peer the hub e falou redes virtuais
  • Criar as rotas
  • Criar as máquinas virtuais
  • Testar a firewall

Se pretender utilizar Azure PowerShell em vez de concluir este procedimento, consulte Implementar e configurar Azure Firewall numa rede híbrida utilizando Azure PowerShell.

Nota

Este artigo usa regras clássicas de Firewall para gerir a firewall. O método preferido é utilizar a Política de Firewall. Para completar este procedimento utilizando a Política de Firewall, consulte Tutorial: Implementar e configurar Azure Firewall e política numa rede híbrida utilizando o portal do Azure.

Pré-requisitos

Uma rede híbrida utiliza o modelo de arquitetura hub-and-spoke para encaminhar o tráfego entre a Azure VNets e as redes no local. A arquitetura hub-and-spoke tem os seguintes requisitos:

  • Descoda o gateway ou o Route Server desta rede virtual quando espreitar VNet-Hub para O VNet-Spoke. Numa arquitetura de rede de hub-and-spoke, um trânsito de gateway permite que as redes virtuais falada partilhem a porta de entrada VPN no centro, em vez de implantar gateways VPN em todas as redes virtuais faladas.

    Além disso, as rotas para as redes virtuais ligadas à porta de entrada ou para as redes no local propagar-se-ão automaticamente para as tabelas de encaminhamento para as redes virtuais espreitadas utilizando o trânsito de gateway. Para obter mais informações, consulte o trânsito de gateway VPN configure para espreitar a rede virtual.

  • Descoda as portas de entrada ou o Servidor de Rota da rede virtual remota quando VNet-Spoke para o VNet-Hub. Se utilizar os gateways ou Route Server da rede virtual remota e estiver definido e utilizar o gateway ou o Servidor de Rota desta rede virtual em observação remota também está definido, a rede virtual falada utiliza gateways da rede virtual remota para trânsito.

  • Para encaminhar o tráfego de sub-rede falada através da firewall do hub, pode utilizar uma rota definida pelo utilizador (UDR) que aponta para a firewall com a opção de propagação da rota de gateway de rede Virtual desativada. A opção de propagação da rota de gateway de rede virtual impede a distribuição da rota para as sub-redes faladas. Isto evita que as rotas aprendidas entrem em conflito com a sua UDR. Se pretender manter a propagação da rota de gateway de rede virtual ativada, certifique-se de definir rotas específicas para a firewall para substituir as que são publicadas no local em vez de BGP.

  • Configure um UDR na sub-rede do gateway do hub que aponta para o endereço IP de firewall como o próximo salto para as redes de raios. Não é necessária nenhuma UDR na sub-rede Azure Firewall, uma vez que aprende rotas a partir de BGP.

Consulte a secção Rotas da Criação neste artigo para ver como estas rotas são criadas.

Nota

O Azure Firewall tem de ter conectividade Internet direta. Se o seu AzureFirewallSubnet aprender uma rota padrão para a sua rede no local via BGP, deve sobrepor-se a isto com um UDR de 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta na Internet.

Azure Firewall podem ser configurados para apoiar o túnel forçado. Para mais informações, consulte Azure Firewall túneis forçados.

Nota

O tráfego entre VNets diretamente espreitados é encaminhado diretamente mesmo que um UDR aponte para Azure Firewall como o portal padrão. Para enviar o tráfego de sub-rede para a firewall neste cenário, um UDR deve conter explicitamente o prefixo da rede de sub-redes alvo em ambas as sub-redes.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Crie a rede virtual do hub de firewall

Em primeiro lugar, criar o grupo de recursos para conter os recursos:

  1. Inicie sessão no portal do Azure em https://portal.azure.com.
  2. Na página inicial portal do Azure, selecione Grupos> de RecursosAdd.
  3. Em Subscrição, selecione a sua subscrição.
  4. Para o nome do grupo de recursos, escreva FW-Hybrid-Test.
  5. Para a Região, selecione (EUA) Leste DOS EUA. Todos os recursos que criar mais tarde devem estar no mesmo local.
  6. Selecione Rever + Criar.
  7. Selecione Criar.

Agora, crie o VNet:

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Azure Firewall FAQ.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Em Rede, selecione Rede Virtual.
  3. Selecione Criar.
  4. Para o grupo de recursos, selecione FW-Hybrid-Test.
  5. Para nome, tipo VNet-hub.
  6. Selecione Seguinte: Endereços IP.
  7. Para o espaço IPv4 Address, elimine o endereço predefinido e escreva 10.5.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.
  9. Para o nome da sub-rede , tipo AzureFirewallSubnet. A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.
  10. Para a gama de endereços sub-rede, tipo 10.5.0.0/26.
  11. Selecione Adicionar.
  12. Selecione Rever + criar.
  13. Selecione Criar.

Criar a rede virtual falada

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Em Networking, selecione Rede Virtual.
  3. Para o grupo de recursos, selecione FW-Hybrid-Test.
  4. Para nome, tipo VNet-Spoke.
  5. Para a Região, selecione (EUA) Leste DOS EUA.
  6. Selecione Seguinte: Endereços IP.
  7. Para o espaço de endereço IPv4, elimine o endereço predefinido e o tipo 10.6.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.
  9. Para o tipo de sub-redeSN-Workload.
  10. Para a gama de endereços sub-rede, tipo 10.6.0.0/24.
  11. Selecione Adicionar.
  12. Selecione Rever + criar.
  13. Selecione Criar.

Criar a rede virtual no local

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Em Networking, selecione Rede Virtual.
  3. Para o grupo de recursos, selecione FW-Hybrid-Test.
  4. Para nome, escreva VNet-OnPrem.
  5. Para a Região, selecione (EUA) Leste DOS EUA.
  6. Selecione seguinte : Endereços IP
  7. Para o espaço de endereço IPv4, elimine o endereço predefinido e escreva 192.168.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.
  9. Para o nome sub-rede tipo SN-Corp.
  10. Para a gama de endereços Sub-rede, tipo 192.168.1.0/24.
  11. Selecione Adicionar.
  12. Selecione Rever + criar.
  13. Selecione Criar.

Agora crie uma segunda sub-rede para o portal.

  1. Na página VNet-Onprem , selecione Subnets.
  2. Selecione +Subnet.
  3. Para nome, escreva GatewaySubnet.
  4. Para o intervalo de endereços sub-rede tipo 192.168.2.0/24.
  5. Selecione OK.

Configurar e implementar a firewall

Agora, insi(implantado a firewall na rede virtual do hub de firewall.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.

  2. Na coluna esquerda, selecione Networking e procure e, em seguida, selecione Firewall.

  3. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Valor
    Subscrição <a sua subscrição>
    Grupo de recursos FW-Hybrid-Test
    Name AzFW01
    Region Leste dos EUA
    Gestão de firewall Use as regras de Firewall (clássica) para gerir esta firewall
    Escolher uma rede virtual Utilizar a existência:
    VNet-hub
    Endereço IP público Adicionar novo:
    fw-pip.
  4. Selecione Rever + criar.

  5. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Isto leva alguns minutos para ser acionado.

  6. Após a implementação concluída, vá ao grupo de recursos FW-Hybrid-Test e selecione a firewall AzFW01 .

  7. Anote o endereço IP privado. Vai utilizá-lo mais tarde quando criar a rota predefinida.

Configurar regras de rede

Em primeiro lugar, adicione uma regra de rede para permitir o tráfego web.

  1. Na página AzFW01 , Selecione Regras.
  2. Selecione o separador de recolha de regras de rede .
  3. Selecione Adicionar a recolha de regras de rede.
  4. Para nome, escreva RCNet01.
  5. Para prioridade, tipo 100.
  6. Para ação de recolha de regras, selecione Permitir.
  7. De acordo com as regras, para nome, escreva AllowWeb.
  8. Para o tipo de fonte, selecione o endereço IP.
  9. Para fonte, tipo 192.168.1.0/24.
  10. Em Protocolo, selecione TCP.
  11. Para portos de destino, tipo 80.
  12. Para o tipo destino, selecione o endereço IP.
  13. Para destino, tipo 10.6.0.0/16.

Adicione agora uma regra para permitir o tráfego rdp.

Na segunda linha de regras, digite as seguintes informações:

  1. Nome, tipo AllowRDP.
  2. Para o tipo de fonte, selecione o endereço IP.
  3. Para fonte, tipo 192.168.1.0/24.
  4. Em Protocolo, selecione TCP.
  5. Para portos de destino, tipo 3389.
  6. Para o tipo destino, selecione o endereço IP.
  7. Para destino, tipo 10.6.0.0/16
  8. Selecione Adicionar.

Criar e ligar os gateways de VPN

O hub e as redes virtuais no local estão conectados através de gateways VPN.

Criar uma porta de entrada VPN para a rede virtual do hub

Agora crie a porta de entrada VPN para a rede virtual do hub. As configurações rede-rede requerem um VpnType routeBased. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, escreva gateway de rede virtual.
  3. Selecione o gateway de rede virtual e selecione Criar.
  4. Para nome, tipo GW-hub.
  5. Para a Região, selecione a mesma região que usou anteriormente.
  6. Para o tipo Gateway, selecione VPN.
  7. Para o tipo VPN, selecione Route-based.
  8. Para SKU, selecione Basic.
  9. Para a rede virtual, selecione VNet-hub.
  10. Para o endereço IP público, selecione Criar novo e digite VNet-hub-GW-pip para o nome.
  11. Aceite os predefinidos restantes e, em seguida, selecione Review + create.
  12. Reveja a configuração e, em seguida, selecione Criar.

Criar uma porta de entrada VPN para a rede virtual no local

Agora crie a porta de entrada VPN para a rede virtual no local. As configurações rede-rede requerem um VpnType routeBased. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual e prima Enter.
  3. Selecione o gateway de rede virtual e selecione Criar.
  4. Para nome, tipo GW-Onprem.
  5. Para a Região, selecione a mesma região que usou anteriormente.
  6. Para o tipo Gateway, selecione VPN.
  7. Para o tipo VPN, selecione Route-based.
  8. Para SKU, selecione Basic.
  9. Para a rede Virtual, selecione VNet-Onprem.
  10. Para o endereço IP público, selecione Criar novo e digite VNet-Onprem-GW-pip para o nome.
  11. Aceite os predefinidos restantes e, em seguida, selecione Review + create.
  12. Reveja a configuração e, em seguida, selecione Criar.

Criar as ligações VPN

Agora pode criar as ligações VPN entre o hub e as portas de entrada no local.

Neste passo, cria-se a ligação da rede virtual do hub à rede virtual no local. Nos exemplos, verá uma chave partilhada referenciada. Pode utilizar os seus próprios valores para a chave partilhada. Importante: a chave partilhada tem de corresponder a ambas as ligações. A criação de uma ligação pode demorar algum tempo.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway gw-hub .
  2. Selecione Ligações na coluna esquerda.
  3. Selecione Adicionar.
  4. O nome de ligação, tipo Hub-to-Onprem.
  5. Selecione VNet-para-VNet para o tipo de ligação.
  6. Para a segunda porta de rede virtual, selecione GW-Onprem.
  7. Para tecla partilhada (PSK), digite AzureA1b2C3.
  8. Selecione OK.

Crie as instalações para hub ligação de rede virtual. Este passo é semelhante ao anterior, exceto que cria a ligação de VNet-Onprem ao VNet-hub. Verifique se as chaves partilhadas correspondem. Após alguns minutos, estará ligado.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-Onprem .
  2. Selecione Ligações na coluna esquerda.
  3. Selecione Adicionar.
  4. Para o nome de ligação, escreva Onprem-to-Hub.
  5. Selecione VNet-para-VNet para o tipo de ligação.
  6. Para a segunda porta de rede virtual, selecione GW-hub.
  7. Para tecla partilhada (PSK), digite AzureA1b2C3.
  8. Selecione OK.

Verificar a ligação

Após cerca de cinco minutos, o estado de ambas as ligações deve ser ligado.

Gateway connections

Peer the hub e falou redes virtuais

Agora, espreita o centro e fala redes virtuais.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione a rede virtual VNet-hub .

  2. Na coluna esquerda, selecione Peerings.

  3. Selecione Adicionar.

  4. Nesta rede virtual:

    Nome da definição Valor
    Nome de link de espreitar HubtoSpoke
    Tráfego para rede virtual remota Permitir (predefinição)
    Tráfego reencaminhado de rede virtual remota Permitir (predefinição)
    Gateway de rede virtual Use o portal desta rede virtual
  5. Em rede virtual remota:

    Nome da definição Valor
    Nome de link de espreitar SpoketoHub
    Modelo de implementação de rede virtual Resource Manager
    Subscrição <a sua subscrição>
    Rede virtual VNet-Spoke
    Tráfego para rede virtual remota Permitir (predefinição)
    Tráfego reencaminhado de rede virtual remota Permitir (predefinição)
    Gateway de rede virtual Use o portal da rede virtual remota
  6. Selecione Adicionar.

    Vnet peering

Criar as rotas

Em seguida, crie duas rotas:

  • Uma rota da sub-rede de gateway do hub para a sub-rede spoke através do endereço IP da firewall
  • Uma rota predefinida da sub-rede spoke através do endereço IP da firewall
  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, escreva a tabela de rota e prima Enter.
  3. Selecione tabela Rota.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Para a Região, selecione o mesmo local que usou anteriormente.
  7. Para o nome, escreva UDR-Hub-Spoke.
  8. Selecione Rever + Criar.
  9. Selecione Criar.
  10. Após a criação da tabela de rotas, selecione-a para abrir a página da tabela de rotas.
  11. Selecione Rotas na coluna esquerda.
  12. Selecione Adicionar.
  13. Para o nome da rota, escreva ToSpoke.
  14. Para o prefixo do endereço, escreva 10.6.0.0/16.
  15. Para o próximo tipo de lúpulo, selecione aparelho virtual.
  16. Para o próximo endereço de lúpulo, digite o endereço IP privado da firewall que notou anteriormente.
  17. Selecione OK.

Agora associe a rota à sub-rede.

  1. Na página UDR-Hub-Spoke - Rotas , selecione Subnetas.
  2. Selecione Associado.
  3. Em rede Virtual, selecione VNet-hub.
  4. Em sub-rede, selecione GatewaySubnet.
  5. Selecione OK.

Agora crie a rota padrão a partir da sub-rede falada.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, escreva a tabela de rota e prima Enter.
  3. Selecione tabela Rota.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Para a Região, selecione o mesmo local que usou anteriormente.
  7. Para o nome, escreva UDR-DG.
  8. Para a rota de gateway propagate, selecione .
  9. Selecione Rever + Criar.
  10. Selecione Criar.
  11. Após a criação da tabela de rotas, selecione-a para abrir a página da tabela de rotas.
  12. Selecione Rotas na coluna esquerda.
  13. Selecione Adicionar.
  14. Para o nome da rota, escreva ToHub.
  15. Para o prefixo do endereço, escreva 0.0.0.0/0.
  16. Para o próximo tipo de lúpulo, selecione aparelho virtual.
  17. Para o próximo endereço de lúpulo, digite o endereço IP privado da firewall que notou anteriormente.
  18. Selecione OK.

Agora associe a rota à sub-rede.

  1. Na página UDR-DG - Rotas , selecione Subnetas.
  2. Selecione Associado.
  3. Na rede Virtual, selecione VNet-spoke.
  4. Na sub-rede, selecione SN-Workload.
  5. Selecione OK.

Criar máquinas virtuais

Agora crie a carga de trabalho falada e as máquinas virtuais no local, e coloque-as nas sub-redes apropriadas.

Criar a máquina virtual de carga de trabalho

Crie uma máquina virtual na rede virtual falada, executando o IIS, sem endereço IP público.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Em Popular, selecione Windows Server 2016 Datacenter.
  3. Introduza estes valores para a máquina virtual:
    • Grupo de recursos - Selecione FW-Hybrid-Test.
    • Nome da máquina virtual: VM-Spoke-01.
    • Região - Mesma região que já foi usado anteriormente.
    • Nome do utilizador: <digite um nome> de utilizador.
    • Senha: <digite uma senha>
  4. Para portas de entrada pública, selecione Permitir portas selecionadas e, em seguida, selecione HTTP (80)) e RDP (3389)
  5. Selecione Seguinte:Discos.
  6. Aceite os predefinidos e selecione Seguinte: Networking.
  7. Selecione VNet-Spoke para a rede virtual e a sub-rede é SN-Workload.
  8. Para IP público, selecione Nenhum.
  9. Selecione Seguinte:Gestão.
  10. Para diagnósticos de arranque, selecione Desativar.
  11. Selecione 'Rever+Criar', reveja as definições na página do resumo e, em seguida, selecione Criar.

Instalar o IIS

  1. A partir do portal do Azure, abra a Cloud Shell e certifique-se de que está definido para PowerShell.

  2. Executar o seguinte comando para instalar o IIS na máquina virtual e alterar a localização se necessário:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Criar a máquina virtual no local

Esta é uma máquina virtual que utiliza para ligar utilizando o Ambiente de Trabalho Remoto ao endereço IP público. A partir daí, liga-se ao servidor no local através da firewall.

  1. A partir da página inicial portal do Azure, selecione Criar um recurso.
  2. Em Popular, selecione Windows Server 2016 Datacenter.
  3. Introduza estes valores para a máquina virtual:
    • Grupo de recursos - Selecione a existência e, em seguida, selecione FW-Hybrid-Test.
    • Nome da máquina - virtual VM-Onprem.
    • Região - Mesma região que já foi usado anteriormente.
    • Nome do utilizador: <digite um nome> de utilizador.
    • Palavra-passe: <digite uma senha> de utilizador.
  4. Para portas de entrada pública, selecione Permitir portas selecionadas e, em seguida, selecione RDP (3389)
  5. Selecione Seguinte:Discos.
  6. Aceite os predefinidos e selecione Seguinte:Networking.
  7. Selecione VNet-Onprem para rede virtual e a sub-rede é SN-Corp.
  8. Selecione Seguinte:Gestão.
  9. Para diagnósticos de arranque, selecione Desativar.
  10. Selecione 'Rever+Criar', reveja as definições na página do resumo e, em seguida, selecione Criar.

Nota

O Azure fornece um IP de acesso de saída predefinido para VMs que não são atribuídos um endereço IP público ou estão no pool back-end de um equilibrador de carga básico interno. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

Para mais informações, consulte o acesso de saída padrão em Azure.

O IP de acesso de saída predefinido é desativado quando um endereço IP público é atribuído ao VM ou o VM é colocado no pool de back-end de um equilibrador de carga padrão, com ou sem regras de saída. Se um recurso de gateway de Rede Virtual de acesso de rede (NAT) for atribuído à sub-rede da máquina virtual, o IP de acesso de saída predefinido é desativado.

Os VMs que são criados por conjuntos de escala de máquina virtual em modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre as ligações de saída em Azure, consulte utilizar a tradução de endereços de rede de origem (SNAT) para ligações de saída.

Testar a firewall

  1. Em primeiro lugar, note o endereço IP privado para a máquina virtual VM-spoke-01 .

  2. No portal do Azure, ligue à máquina virtual VM-Onprem.

  1. Abra um navegador web em VM-Onprem e navegue para http://< VM-spoke-01 PRIVATE IP>.

    Você deve ver a página web VM-spoke-01 : VM-Spoke-01 web page

  2. A partir da máquina virtual VM-Onprem , abra um ambiente de trabalho remoto para o VM-spoke-01 no endereço IP privado.

    A sua ligação deve ter sucesso, e deve ser capaz de assinar.

Então agora verificaste que as regras da firewall estão a funcionar:

  • Pode navegar no servidor web na rede virtual falada.
  • Pode ligar-se ao servidor na rede virtual falada utilizando RDP.

Em seguida, altere a ação das coleções de regras de rede da firewall para Negar, para verificar se as regras de firewall funcionam conforme esperado.

  1. Selecione a firewall AzFW01 .
  2. Selecione Regras.
  3. Selecione o separador de recolha de regras de rede e selecione a coleção de regras RCNet01 .
  4. Para ação, selecione Deny.
  5. Selecione Guardar.

Feche quaisquer ambientes de trabalho remotos existentes antes de testar as regras alteradas. Agora execute os testes novamente. Desta vez, devem falhar todos.

Limpar os recursos

Pode manter os seus recursos de firewall para mais testes, ou se já não for necessário, eliminar o grupo de recursos FW-Hybrid-Test para eliminar todos os recursos relacionados com firewall.

Passos seguintes

Em seguida, pode monitorizar os registos do Azure Firewall.

Tutorial: monitorizar registos do Azure Firewall