Partilhar via


Tutorial: Filtrar o tráfego de rede com um grupo de segurança de rede usando o portal do Azure

Você pode usar um grupo de segurança de rede para filtrar o tráfego de rede de entrada e saída de e para recursos do Azure em uma rede virtual do Azure.

Os grupos de segurança de rede contêm regras de segurança que filtram o tráfego de rede por endereço IP, porta e protocolo. Quando um grupo de segurança de rede é associado a uma sub-rede, as regras de segurança são aplicadas aos recursos implantados nessa sub-rede.

Diagrama de recursos criados durante o tutorial.

Neste tutorial, irá aprender a:

  • Crie um grupo de segurança de rede e regras de segurança.
  • Criar grupos de segurança de aplicações
  • Criar uma rede virtual e associar um grupo de segurança de rede a uma sub-rede
  • Implantar máquinas virtuais e associar suas interfaces de rede aos grupos de segurança do aplicativo

Pré-requisitos

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso.

  1. No portal, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo.
    Digite test-rg em Nome.
    Selecione OK.
    Detalhes da instância
    Nome Digite vnet-1.
    País/Região Selecione E.U.A. Leste 2.

    Captura de ecrã que mostra o separador Noções básicas de Criar rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança .

  5. Selecione Avançar para prosseguir para a guia Endereços IP.

  6. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .

  7. No painel Editar sub-rede , insira ou selecione as seguintes informações:

    Definição Value
    Detalhes da sub-rede
    Modelo de sub-rede Deixe o padrão como Padrão.
    Nome Digite subnet-1.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho da sub-rede Deixe o padrão de /24(256 endereços).

    Captura de tela que mostra a renomeação e configuração padrão da sub-rede.

  8. Selecione Guardar.

  9. Selecione Rever + criar na parte inferior do ecrã. Depois que a validação for aprovada, selecione Criar.

Criar grupos de segurança de aplicações

Um grupo de segurança de aplicativo (ASGs) permite agrupar servidores com funções semelhantes, como servidores Web.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Selecione Grupos de segurança de aplicativos nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Noções básicas de Criar um grupo de segurança de aplicativo, insira ou selecione estas informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome Digite asg-web.
    País/Região Selecione E.U.A. Leste 2.
  4. Selecione Rever + criar.

  5. Selecione + Criar.

  6. Repita as etapas anteriores, especificando os seguintes valores:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome Digite asg-mgmt.
    País/Região Selecione E.U.A. Leste 2.
  7. Selecione Rever + criar.

  8. Selecione Criar.

Criar um grupo de segurança de rede

Um NSG (grupo de segurança de rede) protege o tráfego de rede na sua rede virtual.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

    Nota

    Nos resultados da pesquisa por Grupos de segurança de rede, poderá ver Grupos de segurança de rede (clássico). Selecione Grupos de segurança de rede.

  2. Selecione + Criar.

  3. Na guia Noções básicas de Criar grupo de segurança de rede, insira ou selecione estas informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome Digite nsg-1.
    Location Selecione E.U.A. Leste 2.
  4. Selecione Rever + criar.

  5. Selecione Criar.

Associar o grupo de segurança de rede à sub-rede

Nesta seção, você associa o grupo de segurança de rede à sub-rede da rede virtual criada anteriormente.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione nsg-1.

  3. Selecione Sub-redes na seção Configurações do nsg-1.

  4. Na página Sub-redes, selecione + Associado:

    Captura de ecrã de Associar um grupo de segurança de rede a uma sub-rede.

  5. Em Sub-rede associada, selecione vnet-1 (test-rg) para Rede virtual.

  6. Selecione sub-rede-1 para Sub-rede e, em seguida, selecione OK.

Criar regras de segurança

  1. Selecione Regras de segurança de entrada na seção Configurações do nsg-1.

  2. Na página Regras de segurança de entrada, selecione + Adicionar.

  3. Crie uma regra de segurança que permita as portas 80 e 443 para o grupo de segurança do aplicativo asg-web . Na página Adicionar regra de segurança de entrada, insira ou selecione as seguintes informações:

    Definição Value
    Source Deixe o padrão de Any.
    Intervalo de portas de origem Deixe o padrão de (*).
    Destino Selecione Grupo de segurança do aplicativo.
    Grupos de segurança de aplicativos de destino Selecione asg-web.
    Serviço Deixe o padrão de Personalizado.
    Intervalos de portas de destino Digite 80.443.
    Protocolo Selecione TCP.
    Ação Deixe o padrão de Permitir.
    Prioridade Deixe o padrão de 100.
    Nome Digite allow-web-all.
  4. Selecione Adicionar.

  5. Conclua as etapas anteriores com as seguintes informações:

    Definição Value
    Source Deixe o padrão de Any.
    Intervalo de portas de origem Deixe o padrão de (*).
    Destino Selecione Grupo de segurança do aplicativo.
    Grupo de segurança do aplicativo de destino Selecione asg-mgmt.
    Serviço Selecione RDP.
    Ação Deixe o padrão de Permitir.
    Prioridade Deixe o padrão de 110.
    Nome Digite allow-rdp-all.
  6. Selecione Adicionar.

Atenção

Neste artigo, o RDP (porta 3389) é exposto à Internet para a VM atribuída ao grupo de segurança do aplicativo asg-mgmt .

Para ambientes de produção, em vez de expor a porta 3389 à Internet, é recomendável que você se conecte aos recursos do Azure que deseja gerenciar usando uma VPN, conexão de rede privada ou Azure Bastion.

Para obter mais informações sobre o Azure Bastion, consulte O que é o Azure Bastion?.

Criar máquinas virtuais

Crie duas máquinas virtuais (VMs) na rede virtual.

  1. No portal, procure e selecione Máquinas virtuais.

  2. Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione essas informações na guia Noções básicas :

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Virtual machine name Digite vm-web.
    País/Região Selecione (EUA) Leste dos EUA 2.
    Opções de disponibilidade Deixe o padrão de Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança selecione Standard.
    Image Selecione Windows Server 2022 Datacenter - x64 Gen2.
    Instância do Azure Spot Deixe o padrão de desmarcado.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Username Introduza um nome de utilizador.
    Palavra-passe Introduza uma palavra-passe.
    Confirme a palavra-passe Reintroduza a palavra-passe.
    Regras de porta de entrada
    Selecione as portas de entrada Selecione Nenhuma.
  4. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Definição Value
    Interface de Rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1 (10.0.0.0/24).
    IP público Deixe o padrão de um novo IP público.
    Grupo de segurança de rede NIC Selecione Nenhuma.
  6. Selecione o separador Rever + criar ou selecione o botão azul Rever + criar na parte inferior da página.

  7. Selecione Criar. A VM pode levar alguns minutos para ser implantada.

  8. Repita as etapas anteriores para criar uma segunda máquina virtual chamada vm-mgmt.

Associar interfaces de rede a um ASG

Quando você criou as VMs, o Azure criou uma interface de rede para cada VM e a anexou à VM.

Adicione a interface de rede de cada VM a um dos grupos de segurança de aplicativos criados anteriormente:

  1. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa e, em seguida, selecione vm-web.

  2. Selecione Grupos de segurança de aplicativos na seção Rede do vm-web.

  3. Selecione Adicionar grupos de segurança de aplicativos e, em seguida, na guia Adicionar grupos de segurança de aplicativos, selecione asg-web. Por fim, selecione Adicionar.

    Captura de tela de Configurar grupos de segurança de aplicativos.

  4. Repita as etapas anteriores para vm-mgmt, selecionando asg-mgmt na guia Adicionar grupos de segurança de aplicativos.

Testar os filtros de tráfego

  1. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione vm-mgmt.

  3. Na página Visão geral, selecione o botão Conectar e, em seguida, selecione RDP nativo.

  4. Selecione Transferir ficheiro RDP.

  5. Abra o ficheiro rdp transferido e selecione Ligar. Digite o nome de usuário e a senha que você especificou ao criar a VM.

  6. Selecione OK.

  7. Você pode receber um aviso de certificado durante o processo de conexão. Se receber o aviso, selecione Sim ou Continuar para continuar com a ligação.

    A conexão é bem-sucedida, porque o tráfego de entrada da Internet para o grupo de segurança do aplicativo asg-mgmt é permitido através da porta 3389.

    A interface de rede para vm-mgmt está associada ao grupo de segurança do aplicativo asg-mgmt e permite a conexão.

  8. Abra uma sessão do PowerShell no vm-mgmt. Conecte-se ao vm-web usando o seguinte:

    mstsc /v:vm-web
    

    A conexão RDP de vm-mgmt para vm-web é bem-sucedida porque as máquinas virtuais na mesma rede podem se comunicar entre si por qualquer porta por padrão.

    Não é possível criar uma conexão RDP com a máquina virtual vm-web a partir da Internet. A regra de segurança para o asg-web impede conexões com a porta 3389 de entrada da Internet. O tráfego de entrada da Internet é negado a todos os recursos por padrão.

  9. Para instalar o Microsoft IIS na máquina virtual vm-web , digite o seguinte comando de uma sessão do PowerShell na máquina virtual vm-web :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Após a conclusão da instalação do IIS, desconecte-se da máquina virtual vm-web , que deixa você na conexão de área de trabalho remota da máquina virtual vm-mgmt .

  11. Desconecte-se da VM vm-mgmt .

  12. Procure vm-web na caixa de pesquisa do portal.

  13. Na página Visão geral do vm-web, observe o endereço IP público da sua VM. O endereço mostrado no exemplo a seguir é 203.0.113.103. A sua morada é diferente:

    Captura de tela do endereço IP público de uma máquina virtual na página Visão geral.

  14. Para confirmar que pode aceder ao servidor Web vm-web a partir da Internet, abra um navegador de Internet no seu computador e navegue até http://<public-ip-address-from-previous-step>.

Você vê a página padrão do IIS, porque o tráfego de entrada da Internet para o grupo de segurança do aplicativo asg-web é permitido através da porta 80.

A interface de rede anexada para vm-web está associada ao grupo de segurança do aplicativo asg-web e permite a conexão.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure e selecione Grupos de recursos.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos.

  4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Próximos passos

Neste tutorial:

  • Criou um grupo de segurança de rede e associou-o a uma sub-rede de rede virtual.
  • Criação de grupos de segurança de aplicativos para web e gerenciamento.
  • Criou duas máquinas virtuais e associou suas interfaces de rede aos grupos de segurança do aplicativo.
  • Testou a filtragem de rede do grupo de segurança do aplicativo.

Para saber mais sobre os grupos de segurança de rede, veja Descrição geral dos grupos de segurança de rede e Manage a network security group (Gerir um grupo de segurança de rede).

O Azure encaminha o tráfego entre sub-redes por predefinição. Em vez disso, você pode optar por rotear o tráfego entre sub-redes por meio de uma VM, servindo como um firewall, por exemplo.

Para saber como criar uma tabela de rotas, avance para o tutorial seguinte.