Tutorial: Implantar e configurar o Firewall e a política do Azure em uma rede híbrida usando o portal do Azure
Quando liga a sua rede local a uma rede virtual do Azure para criar uma rede híbrida, a capacidade de controlar o acesso aos seus recursos de rede do Azure é uma parte importante de um plano de segurança global.
Você pode usar o Firewall do Azure e a Política de Firewall para controlar o acesso à rede em uma rede híbrida usando regras que definem o tráfego de rede permitido e negado.
Para este tutorial, você cria três redes virtuais:
- VNet-Hub - o firewall está nesta rede virtual.
- VNet-Spoke - a rede virtual spoke representa a carga de trabalho localizada no Azure.
- VNet-Onprem - A rede virtual local representa uma rede local. Em uma implantação real, ele pode ser conectado usando uma conexão VPN ou ExpressRoute. Para simplificar, este tutorial usa uma conexão de gateway VPN e uma rede virtual localizada no Azure é usada para representar uma rede local.
Neste tutorial, irá aprender a:
- Criar a rede virtual do hub de firewall
- Crie a rede virtual spoke
- Criar a rede virtual local
- Configurar e implantar o firewall e a política
- Criar e ligar os gateways de VPN
- Peer o hub e redes virtuais spoke
- Criar as rotas
- Criar as máquinas virtuais
- Testar a firewall
Se você quiser usar o Azure PowerShell para concluir este procedimento, consulte Implantar e configurar o Firewall do Azure em uma rede híbrida usando o Azure PowerShell.
Pré-requisitos
Uma rede híbrida usa o modelo de arquitetura hub-and-spoke para rotear o tráfego entre as redes virtuais do Azure e as redes locais. A arquitetura hub-and-spoke tem os seguintes requisitos:
- Para rotear o tráfego de sub-rede spoke através do firewall do hub, você pode usar uma rota definida pelo usuário (UDR) que aponta para o firewall com a opção de propagação de rota do gateway de rede virtual desabilitada. A opção Propagação de rota do gateway de rede virtual desabilitada impede a distribuição de rotas para as sub-redes faladas. Isso evita que as rotas aprendidas entrem em conflito com seu UDR. Se você quiser manter a propagação de rota do gateway de rede virtual habilitada, certifique-se de definir rotas específicas para o firewall para substituir aquelas que são publicadas no local por BGP.
- Configure um UDR na sub-rede do gateway de hub que aponte para o endereço IP do firewall como o próximo salto para as redes spoke. Nenhuma UDR é necessária na sub-rede do Firewall do Azure, pois ela aprende rotas do BGP.
Veja a secção Criar Rotas neste tutorial para perceber como estas rotas são criadas.
Nota
O Azure Firewall tem de ter conectividade Internet direta. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deverá substituí-la por uma UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.
O Firewall do Azure pode ser configurado para dar suporte ao túnel forçado. Para obter mais informações, consulte Encapsulamento forçado do Firewall do Azure.
Nota
O tráfego entre VNets emparelhadas diretamente é roteado diretamente, mesmo que um UDR aponte para o Firewall do Azure como o gateway padrão. Para enviar tráfego de sub-rede para sub-rede para o firewall nesse cenário, um UDR deve conter o prefixo de rede de sub-rede de destino explicitamente em ambas as sub-redes.
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Criar a rede virtual do hub de firewall
Primeiro, crie o grupo de recursos para conter os recursos deste tutorial:
- Inicie sessão no portal do Azure.
- Na home page do portal do Azure, selecione Criar grupos> de recursos.
- Para Subscrição, selecione a sua subscrição.
- Para Nome do grupo de recursos, digite FW-Hybrid-Test.
- Em Região, selecione (EUA) Leste dos EUA. Todos os recursos criados posteriormente devem estar no mesmo local.
- Selecione Rever + Criar.
- Selecione Criar.
Agora, crie a rede virtual:
Nota
O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.
- Na home page do portal do Azure, selecione Criar um recurso.
- Em Rede, selecione Rede virtual.
- Selecione Criar.
- Para Grupo de recursos, selecione FW-Hybrid-Test.
- Em Name, digite VNet-hub.
- Na guia Segurança, selecione Avançar.
- Para Espaço de endereçamento IPv4, digite 10.5.0.0/16.
- Em Sub-redes, selecione padrão.
- Para a finalidade da sub-rede, selecione Firewall do Azure.
- Para Endereço inicial, digite 10.5.0.0/26.
- Selecione Guardar.
- Selecione Rever + criar.
- Selecione Criar.
Agora crie uma segunda sub-rede para o gateway.
- Na página VNet-hub, selecione Sub-redes.
- Selecione +Sub-rede.
- Para a finalidade da sub-rede, selecione Gateway de rede virtual.
- Para Endereço inicial , digite 10.5.2.0/26.
- Selecione Adicionar.
Crie a rede virtual spoke
- Na home page do portal do Azure, selecione Criar um recurso.
- Em Rede, selecione Rede virtual.
- Selecione Criar.
- Para Grupo de recursos, selecione FW-Hybrid-Test.
- Em Nome, digite VNet-Spoke.
- Em Região, selecione (EUA) Leste dos EUA.
- Selecione Seguinte.
- Na guia Segurança, selecione Avançar.
- Para espaço de endereçamento IPv4, digite 10.6.0.0/16.
- Em Sub-redes, selecione padrão.
- Para Nome , digite SN-Workload.
- Para Endereço inicial, digite 10.6.0.0/24.
- Selecione Guardar.
- Selecione Rever + criar.
- Selecione Criar.
Criar a rede virtual local
- Na home page do portal do Azure, selecione Criar um recurso.
- Em Rede, selecione Rede virtual.
- Para Grupo de recursos, selecione FW-Hybrid-Test.
- Em Name, digite VNet-OnPrem.
- Em Região, selecione (EUA) Leste dos EUA.
- Selecione Seguinte.
- Na guia Segurança, selecione Avançar.
- Para espaço de endereçamento IPv4, digite 192.168.0.0/16.
- Em Sub-redes, selecione padrão.
- Para Nome , digite SN-Corp.
- Para Endereço inicial, digite 192.168.1.0/24.
- Selecione Guardar.
- Selecione Rever + criar.
- Selecione Criar.
Agora crie uma segunda sub-rede para o gateway.
- Na página VNet-Onprem, selecione Sub-redes.
- Selecione +Sub-rede.
- Para a finalidade da sub-rede, selecione Gateway de rede virtual.
- Para Endereço inicial , digite 192.168.2.0/24.
- Selecione Adicionar.
Configurar e implementar a firewall
Agora, implante o firewall na rede virtual do hub de firewall.
Na home page do portal do Azure, selecione Criar um recurso.
Na coluna da esquerda, selecione Rede, procure e, em seguida, selecione Firewall e, em seguida, selecione Criar.
Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:
Definição Value Subscrição <a sua subscrição> Grupo de recursos FW-Hybrid-Test Nome AzFW01 País/Região E.U.A. Leste Camada de firewall Standard Gestão de firewall Usar uma política de firewall para gerenciar esse firewall Política de firewall Adicionar novo:
híbrido-teste-pol
E.U.A. LesteEscolher uma rede virtual Utilizar existente:
Hub de rede virtualEndereço IP público Aditar novo:
FW-PIPSelecione Next : Tags.
Selecione Seguinte: Rever + criar.
Reveja o resumo e, em seguida, selecione Criar para criar a firewall.
Isso leva alguns minutos para ser implantado.
Após a conclusão da implantação, vá para o grupo de recursos FW-Hybrid-Test e selecione o firewall AzFW01 .
Anote o endereço IP privado. Vai utilizá-lo mais tarde quando criar a rota predefinida.
Configurar regras de rede
Primeiro, adicione uma regra de rede para permitir o tráfego da Web.
- No grupo de recursos FW-Hybrid-Test, selecione a Diretiva de Firewall hybrid-test-pol.
- Em Configurações, selecione Regras de rede.
- Selecione Adicionar adicionar uma coleção de regras.
- Em Nome, digite RCNet01.
- Em Prioridade, digite 100.
- Para Ação de coleta de regras, selecione Permitir.
- Em Regras, em Nome, digite AllowWeb.
- Em Tipo de origem, selecione Endereço IP.
- Para Source, digite 192.168.1.0/24.
- Em Protocolo, selecione TCP.
- Em Portas de destino, digite 80.
- Em Tipo de destino, selecione Endereço IP.
- Em Destino, digite 10.6.0.0/16.
Agora adicione uma regra para permitir o tráfego RDP.
Na segunda linha da regra, digite as seguintes informações:
- Nome, digite AllowRDP.
- Em Tipo de origem, selecione Endereço IP.
- Para Source, digite 192.168.1.0/24.
- Em Protocolo, selecione TCP.
- Para Portas de destino, digite 3389.
- Em Tipo de destino, selecione Endereço IP.
- Para Destino, digite 10.6.0.0/16
- Selecione Adicionar.
Criar e ligar os gateways de VPN
O hub e as redes virtuais locais são conectados por meio de gateways VPN.
Criar um gateway VPN para a rede virtual do hub
Agora crie o gateway VPN para a rede virtual do hub. As configurações de rede para rede exigem um RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.
- Na home page do portal do Azure, selecione Criar um recurso.
- Na caixa de texto de pesquisa, digite gateway de rede virtual.
- Selecione Gateway de rede virtual e selecione Criar.
- Em Nome, digite GW-hub.
- Em Região, selecione a mesma região que você usou anteriormente.
- Para Tipo de gateway, selecione VPN.
- Para SKU, selecione VpnGw1.
- Em Rede virtual, selecione VNet-hub.
- Em Endereço IP público, selecione Criar novo e digite VNet-hub-GW-pip para o nome.
- Para Segundo endereço IP público, selecione Criar novo e digite VNet-hub-GW-pip2 para o nome.
- Aceite os padrões restantes e selecione Revisar + criar.
- Reveja a configuração e, em seguida, selecione Criar.
Criar um gateway VPN para a rede virtual local
Agora crie o gateway VPN para a rede virtual local. As configurações de rede para rede exigem um RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.
- Na home page do portal do Azure, selecione Criar um recurso.
- Na caixa de texto de pesquisa, digite gateway de rede virtual e pressione Enter.
- Selecione Gateway de rede virtual e selecione Criar.
- Em Name, digite GW-Onprem.
- Em Região, selecione a mesma região que você usou anteriormente.
- Para Tipo de gateway, selecione VPN.
- Para SKU, selecione VpnGw1.
- Em Rede virtual, selecione VNet-Onprem.
- Em Endereço IP público, selecione Criar novo e digite VNet-Onprem-GW-pip para o nome.
- Para Segundo endereço IP público, selecione Criar novo e digite VNet-Onprem-GW-pip2 para o nome.
- Aceite os padrões restantes e selecione Revisar + criar.
- Reveja a configuração e, em seguida, selecione Criar.
Criar as ligações VPN
Agora você pode criar as conexões VPN entre o hub e os gateways locais.
Nesta etapa, você cria a conexão da rede virtual do hub com a rede virtual local. Uma chave compartilhada é usada nos exemplos. Pode utilizar os seus próprios valores para a chave partilhada. Importante: a chave partilhada tem de corresponder a ambas as ligações. A criação de uma ligação pode demorar algum tempo.
- Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-hub .
- Em Configurações, selecione Conexões na coluna da esquerda.
- Selecione Adicionar.
- Para o nome da conexão, digite Hub-to-Onprem.
- Selecione VNet-to-VNet para Tipo de conexão.
- Selecione Avançar : Configurações.
- Para o Primeiro gateway de rede virtual, selecione GW-hub.
- Para o Segundo gateway de rede virtual, selecione GW-Onprem.
- Para Chave compartilhada (PSK), digite AzureA1b2C3.
- Selecione Rever + criar.
- Selecione Criar.
Crie a conexão de rede virtual local para hub. Esta etapa é semelhante à anterior, exceto que você cria a conexão de VNet-Onprem para VNet-hub. Verifique se as chaves partilhadas correspondem. Após alguns minutos, estará ligado.
- Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-Onprem .
- Selecione Conexões na coluna da esquerda.
- Selecione Adicionar.
- Para o nome da conexão, digite Onprem-to-Hub.
- Selecione VNet-to-VNet para Tipo de conexão.
- Selecione Avançar : Configurações.
- Para o Primeiro gateway de rede virtual, selecione GW-Onprem.
- Para o Segundo gateway de rede virtual, selecione GW-hub.
- Para Chave compartilhada (PSK), digite AzureA1b2C3.
- Selecione Rever + criar.
- Selecione Criar.
Verificar a ligação
Após cerca de cinco minutos ou mais, o status de ambas as conexões deve ser Conectado.
Peer o hub e redes virtuais spoke
Agora peer o hub e spoke redes virtuais.
Abra o grupo de recursos FW-Hybrid-Test e selecione a rede virtual do hub VNet.
Na coluna da esquerda, selecione Emparelhamentos.
Selecione Adicionar.
Em Resumo da rede virtual remota:
Em Resumo da rede virtual remota:
Nome da definição Value Nome do link de emparelhamento SpoketoHub Modelo de implantação de rede virtual Gestor de Recursos Subscrição <a sua subscrição> Rede virtual VNet-Spoke Permitir que 'VNet-Spoke' acesse 'VNet-hub' selecionadas Permitir que 'VNet-Spoke' receba tráfego encaminhado de 'VNet-Hub' selecionadas Permitir que o gateway ou o servidor de rotas em 'VNet-Spoke' encaminhe o tráfego para 'VNet-Hub' não selecionado Habilite o 'VNet-Spoke' para usar o gateway remoto ou o servidor de rotas do 'VNet-hub' selecionadas Em Resumo da rede virtual local:
Nome da definição Value Nome do link de emparelhamento HubtoSpoke Permitir que 'VNet-hub' acesse 'VNet-Spoke' selecionadas Permitir que 'VNet-hub' receba tráfego encaminhado de 'VNet-Spoke' selecionadas Permitir que o gateway ou o servidor de rotas em 'VNet-Hub' encaminhe o tráfego para 'VNet-Spoke' selecionadas Habilite o 'VNet-hub' para usar o gateway remoto ou o servidor de rotas do 'VNet-Spoke' não selecionado Selecione Adicionar.
Criar as rotas
Em seguida, crie duas rotas:
- Uma rota da sub-rede de gateway do hub para a sub-rede spoke através do endereço IP da firewall
- Uma rota predefinida da sub-rede spoke através do endereço IP da firewall
- Na home page do portal do Azure, selecione Criar um recurso.
- Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
- Selecione Tabela de rotas.
- Selecione Criar.
- Selecione o FW-Hybrid-Test para o grupo de recursos.
- Em Região, selecione o mesmo local usado anteriormente.
- Para o nome, digite UDR-Hub-Spoke.
- Selecione Rever + Criar.
- Selecione Criar.
- Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
- Em Configurações, selecione Rotas na coluna da esquerda.
- Selecione Adicionar.
- Para o nome da rota, digite ToSpoke.
- Em Tipo de destino, selecione Endereços IP.
- Para os intervalos de endereços IP de destino/CIDR, digite 10.6.0.0/16.
- Para o próximo tipo de salto, selecione Dispositivo virtual.
- Para o endereço do próximo salto, digite o endereço IP privado do firewall que você anotou anteriormente.
- Selecione Adicionar.
Agora associe a rota à sub-rede.
- Na página UDR-Hub-Spoke - Rotas, selecione Sub-redes.
- Selecione Associar.
- Em Rede virtual, selecione VNet-hub.
- Em Sub-rede, selecione GatewaySubnet.
- Selecione OK.
Agora crie a rota padrão a partir da sub-rede falada.
- Na home page do portal do Azure, selecione Criar um recurso.
- Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
- Selecione Tabela de rotas.
- Selecione Criar.
- Selecione o FW-Hybrid-Test para o grupo de recursos.
- Em Região, selecione o mesmo local usado anteriormente.
- Para o nome, digite UDR-DG.
- Em Propagar rota de gateway, selecione Não.
- Selecione Rever + Criar.
- Selecione Criar.
- Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
- Selecione Rotas na coluna da esquerda.
- Selecione Adicionar.
- Para o nome da rota, digite ToHub.
- Para o tipo de destino, selecione Endereços IP.
- Para os intervalos de endereços IP de destino/CIDR, digite 0.0.0.0/0.
- Para o próximo tipo de salto, selecione Dispositivo virtual.
- Para o endereço do próximo salto, digite o endereço IP privado do firewall que você anotou anteriormente.
- Selecione Adicionar.
Agora associe a rota à sub-rede.
- Na página UDR-DG - Rotas, selecione Sub-redes.
- Selecione Associar.
- Em Rede virtual, selecione VNet-spoke.
- Em Sub-rede, selecione SN-Workload.
- Selecione OK.
Criar máquinas virtuais
Agora, crie a carga de trabalho spoke e as máquinas virtuais locais e coloque-as nas sub-redes apropriadas.
Criar a máquina virtual de carga de trabalho
Crie uma máquina virtual na rede virtual falada, executando o IIS, sem endereço IP público.
- Na home page do portal do Azure, selecione Criar um recurso.
- Em Produtos populares do Marketplace, selecione Windows Server 2019 Datacenter.
- Insira estes valores para a máquina virtual:
- Grupo de recursos - Selecione FW-Hybrid-Test
- Nome da máquina virtual: VM-Spoke-01
- Região - Mesma região que você usou anteriormente
- Nome de usuário: <digite um nome de usuário>
- Senha: <digite uma senha>
- Para Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, selecione HTTP (80) e RDP (3389).
- Selecione Next:Disks.
- Aceite os padrões e selecione Avançar: Rede.
- Selecione VNet-Spoke para a rede virtual e a sub-rede é SN-Workload.
- Em IP público, selecione Nenhum.
- Selecione Next:Management.
- Selecione Avançar : Monitoramento.
- Para Diagnóstico de inicialização, selecione Desativar.
- Selecione Rever+Criar, reveja as definições na página de resumo e, em seguida, selecione Criar.
Instalar o IIS
Depois que a máquina virtual for criada, instale o IIS.
No portal do Azure, abra o Cloud Shell e verifique se ele está definido como PowerShell.
Execute o seguinte comando para instalar o IIS na máquina virtual e alterar o local, se necessário:
Set-AzVMExtension ` -ResourceGroupName FW-Hybrid-Test ` -ExtensionName IIS ` -VMName VM-Spoke-01 ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
Criar a máquina virtual local
Esta é uma máquina virtual que você usa para se conectar usando a Área de Trabalho Remota ao endereço IP público. A partir daí, você se conecta ao servidor local por meio do firewall.
- Na home page do portal do Azure, selecione Criar um recurso.
- Em Produtos populares do Marketplace, selecione Windows Server 2019 Datacenter.
- Insira estes valores para a máquina virtual:
- Grupo de recursos - Selecione existente e, em seguida, selecione FW-Hybrid-Test.
- Nome - da máquina virtual VM-Onprem.
- Região - Mesma região que você usou anteriormente.
- Nome de usuário: <digite um nome> de usuário.
- Senha: <digite uma senha> de usuário.
- Para Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, selecione RDP (3389)
- Selecione Next:Disks.
- Aceite os padrões e selecione Next:Networking.
- Selecione VNet-Onprem para rede virtual e a sub-rede é SN-Corp.
- Selecione Next:Management.
- Selecione Avançar : Monitoramento.
- Para Diagnóstico de inicialização, selecione Desabilitar.
- Selecione Rever+Criar, reveja as definições na página de resumo e, em seguida, selecione Criar.
Nota
O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.
As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.
Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.
Testar a firewall
Primeiro, observe o endereço IP privado da máquina virtual VM-spoke-01 .
No portal do Azure, ligue à máquina virtual VM-Onprem.
Abra um navegador da Web no VM-Onprem e navegue até http://< VM-spoke-01 private IP>.
Você deve ver a página da Web VM-spoke-01 :
Na máquina virtual VM-Onprem, abra uma área de trabalho remota para VM-spoke-01 no endereço IP privado.
Sua conexão deve ser bem-sucedida e você deve ser capaz de entrar.
Então, agora você verificou que as regras de firewall estão funcionando:
- Você pode navegar no servidor web na rede virtual spoke.
- Você pode se conectar ao servidor na rede virtual spoke usando RDP.
Em seguida, altere a ação das coleções de regras de rede da firewall para Negar, para verificar se as regras de firewall funcionam conforme esperado.
- Selecione a Política de firewall hybrid-test-pol .
- Selecione Coleções de regras.
- Selecione a coleção de regras RCNet01 .
- Para Ação de coleta de regras, selecione Negar.
- Selecione Guardar.
Feche quaisquer ambientes de trabalho remotos existentes antes de testar as regras alteradas. Agora execute os testes novamente. Desta vez, devem falhar todos.
Clean up resources (Limpar recursos)
Pode manter os recursos da firewall para o próximo tutorial. Se já não precisar dos mesmos, elimine o grupo de recursos FW-Hybrid-Test para eliminar todos os recursos relacionados com a firewall.