Tutorial: Implantar e configurar o Firewall e a política do Azure usando o portal do Azure

Controlar o acesso de rede de saída é uma parte importante de um plano de segurança de rede geral. Por exemplo, você pode querer limitar o acesso a sites. Ou, você pode querer limitar os endereços IP de saída e portas que podem ser acessadas.

Uma maneira de controlar o acesso à rede de saída de uma sub-rede do Azure é com o Firewall do Azure e a Política de Firewall. Com o Firewall do Azure e a Política de Firewall, você pode configurar:

  • Regras da aplicação que definem nomes de domínio completamente qualificado (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede que definem o endereço de origem, o protocolo, a porta de destino e o endereço de destino.

O tráfego de rede está sujeito às regras de firewall configuradas quando encaminha o tráfego de rede para a firewall como o gateway padrão de sub-rede.

Para este tutorial, você cria uma única rede virtual simplificada com duas sub-redes para facilitar a implantação.

  • AzureFirewallSubnet - a firewall está nesta sub-rede.
  • Workload-SN - o servidor de carga de trabalho está nesta sub-rede. O tráfego de rede desta sub-rede passa pela firewall.

Diagrama da infraestrutura de rede de firewall.

Para implantações de produção, recomenda-se um modelo de hub e spoke, onde o firewall está em sua própria VNet. Os servidores de carga de trabalho estão em redes virtuais emparelhadas na mesma região com uma ou mais sub-redes.

Neste tutorial, irá aprender a:

  • Configurar um ambiente de rede de teste
  • Implantar uma política de firewall e firewall
  • Criar uma rota predefinida
  • Configurar uma regra de aplicativo para permitir o acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso aos servidores DNS externos
  • Configurar uma regra NAT para permitir que uma área de trabalho remota para o servidor de teste
  • Testar a firewall

Se preferir, você pode concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Configurar a rede

Em primeiro lugar, crie um grupo de recursos para conter os recursos necessários para implementar a firewall. Em seguida, crie uma rede virtual, sub-redes e um servidor de teste.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o tutorial.

  1. Inicie sessão no portal do Azure.

  2. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página e, em seguida, selecione Criar. Introduza ou selecione os seguintes valores:

    Definição Value
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Digite Test-FW-RG.
    País/Região Selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  3. Selecione Rever + criar.

  4. Selecione Criar.

Criar uma VNet

Esta rede virtual terá duas sub-redes.

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione Rede.

  3. Procure por Rede virtual e selecione Criar.

  4. Introduza ou selecione os seguintes valores:

    Definição Value
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione Test-FW-RG.
    Nome Insira Test-FW-VN.
    País/Região Selecione o mesmo local que você usou anteriormente.
  5. Selecione Seguinte.

  6. Na guia Segurança, selecione Avançar.

  7. Para o espaço de endereçamento IPv4, aceite o padrão 10.0.0.0/16.

  8. Em Sub-redes, selecione padrão.

  9. Na página Editar sub-rede, para fins de sub-rede, selecione Firewall do Azure.

    A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.

  10. Em Endereço inicial, digite 10.0.1.0.

  11. Selecione Guardar.

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Selecione Adicionar sub-rede.
  2. Em Nome da sub-rede, digite Workload-SN.
  3. Em Endereço inicial, digite 10.0.2.0/24.
  4. Selecione Adicionar.
  5. Selecione Rever + criar.
  6. Selecione Criar.

Criar uma máquina virtual

Agora crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Insira ou selecione estes valores para a máquina virtual:

    Definição Value
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione Test-FW-RG.
    Virtual machine name Digite Srv-Work.
    País/Região Selecione o mesmo local que você usou anteriormente.
    Username Introduza um nome de utilizador.
    Palavra-passe Introduza uma palavra-passe.
  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Avançar: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Avançar: Gerenciamento.

  10. Selecione Next:Monitoring.

  11. Selecione Desativar para desativar o diagnóstico de inicialização. Aceite os outros padrões e selecione Revisar + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

  13. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Implantar o firewall e a política

Implemente a firewall na VNet.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Value
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione Test-FW-RG.
    Nome Digite Test-FW01.
    País/Região Selecione o mesmo local que você usou anteriormente.
    Gestão de firewall Selecione Usar uma política de firewall para gerenciar esse firewall.
    Política de firewall Selecione Adicionar novo e digite fw-test-pol.
    Selecione a mesma região que você usou anteriormente.
    Escolher uma rede virtual Selecione Usar existente e, em seguida, selecione Test-FW-VN.
    Endereço IP público Selecione Adicionar novo e digite fw-pip para o Nome.
  5. Desmarque a caixa de seleção Ativar NIC de Gerenciamento de Firewall.

  6. Aceite os outros valores padrão e selecione Avançar: Tags.

  7. Selecione Seguinte : Rever + criar.

  8. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Este processo irá demorar alguns minutos a implementar.

  9. Após a conclusão da implantação, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01 .

  10. Observe os endereços IP públicos e privados do firewall. Você usará esses endereços mais tarde.

Criar uma rota predefinida

Na sub-rede Workload-SN, vai configurar a rota de saída predefinida para passar pela firewall.

  1. No menu do portal do Azure, selecione Todos os serviços ou procure e selecione Todos os serviços em qualquer página.

  2. Em Rede, selecione Tabelas de rotas.

  3. Selecione Criar e, em seguida, insira ou selecione os seguintes valores:

    Definição Value
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione Test-FW-RG.
    País/Região Selecione o mesmo local que você usou anteriormente.
    Nome Digite Firewall-route.
  4. Selecione Rever + criar.

  5. Selecione Criar.

Após a conclusão da implantação, selecione Ir para o recurso.

  1. Na página Rota do firewall, em Configurações, selecione Sub-redes e, em seguida, selecione Associar.

  2. Para Rede virtual, selecione Test-FW-VN.

  3. Em Sub-rede, selecione Workload-SN.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Em Nome da rota, digite fw-dg.

  7. Em Tipo de destino , selecione Endereços IP.

  8. Para Endereços IP de destino/prefixo de intervalos CIDR, digite 0.0.0.0/0.

  9. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  10. Para Endereço do próximo salto, insira o endereço IP privado do firewall que você anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicação

Esta é a regra de aplicação que permite o acesso de saída ao www.google.com.

  1. Abra o grupo de recursos Test-FW-RG e selecione a diretiva de firewall fw-test-pol .
  2. Em Configurações, selecione Regras de aplicativo.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, digite App-Coll01.
  5. Em Prioridade, insira 200.
  6. Para Ação de coleta de regras, selecione Permitir.
  7. Em Regras, em Nome, insira Permitir-Google.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Source, digite 10.0.2.0/24.
  10. Para Protocol:port, digite http, https.
  11. Em Tipo de destino, selecione FQDN.
  12. Em Destino, insira www.google.com
  13. Selecione Adicionar.

O Azure Firewall inclui uma coleção de regras incorporadas para os FQDNs de infraestrutura que são permitidos por predefinição. Estes FQDNs são específicos da plataforma e não podem ser utilizados para outros fins. Para obter mais informações, veja FQDNs de Infraestrutura.

Configurar uma regra de rede

Esta é a regra de rede que permite acesso de saída aos dois endereços IP na porta 53 (DNS).

  1. Selecione Regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, digite Net-Coll01.
  4. Em Prioridade, insira 200.
  5. Para Ação de coleta de regras, selecione Permitir.
  6. Para o grupo de coleta de regras, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, em Nome, insira Allow-DNS.
  8. Para Tipo de origem, selecione Endereço IP.
  9. Em Source, digite 10.0.2.0/24.
  10. Em Protocolo, selecione UDP.
  11. Em Portas de destino, digite 53.
  12. Em Tipo de destino , selecione Endereço IP.
  13. Para Destino, digite 209.244.0.3,209.244.0.4.
    Estes são servidores DNS públicos operados pela CenturyLink.
  14. Selecione Adicionar.

Configurar uma regra DNAT

Esta regra permite conectar uma área de trabalho remota à máquina virtual Srv-Work através do firewall.

  1. Selecione as regras DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, insira RDP.
  4. Em Prioridade, insira 200.
  5. Para o grupo de coleta de regras, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, para Nome, insira rdp-nat.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Source, insira *.
  9. Em Protocolo, selecione TCP.
  10. Em Portas de destino, digite 3389.
  11. Em Destino, insira o endereço IP público do firewall.
  12. Em Tipo traduzido, selecione Endereço IP.
  13. Em Endereço traduzido, insira o endereço IP privado Srv-work .
  14. Em Porta traduzida, digite 3389.
  15. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste neste tutorial, configure os endereços DNS primário e secundário do servidor. Este não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione a interface de rede para a máquina virtual Srv-Work .
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na próxima caixa de texto.
  6. Selecione Guardar.
  7. Reinicie a máquina virtual Srv-Work.

Testar a firewall

Agora, teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall e entre na máquina virtual Srv-Work .

  2. Abra o Microsoft Edge e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue para https://www.microsoft.com.

    Deve estar bloqueado pela firewall.

Então, agora você verificou que as regras de firewall estão funcionando:

  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.
  • Pode resolver nomes DNS com o servidor DNS externo configurado.

Clean up resources (Limpar recursos)

Pode manter os recursos da firewall para o próximo tutorial. Se já não precisar dos mesmos elimine o grupo de recursos Test-FW-RG para eliminar todos os recursos relacionados com a firewall.

Próximos passos