Tutorial: Filtrar o tráfego de rede com um grupo de segurança de rede usando o portal do Azure
Você pode usar um grupo de segurança de rede para filtrar o tráfego de rede de entrada e saída de e para recursos do Azure em uma rede virtual do Azure.
Os grupos de segurança de rede contêm regras de segurança que filtram o tráfego de rede por endereço IP, porta e protocolo. Quando um grupo de segurança de rede é associado a uma sub-rede, as regras de segurança são aplicadas aos recursos implantados nessa sub-rede.
Neste tutorial, irá aprender a:
- Crie um grupo de segurança de rede e regras de segurança.
- Criar grupos de segurança de aplicações
- Criar uma rede virtual e associar um grupo de segurança de rede a uma sub-rede
- Implantar máquinas virtuais e associar suas interfaces de rede aos grupos de segurança do aplicativo
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Você pode criar uma conta gratuitamente.
Iniciar sessão no Azure
Inicie sessão no portal do Azure.
Criar uma rede virtual
O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso.
No portal, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione Criar novo.
Digite test-rg em Nome.
Selecione OK.Detalhes da instância Nome Digite vnet-1. País/Região Selecione E.U.A. Leste 2. Selecione Avançar para prosseguir para a guia Segurança .
Selecione Avançar para prosseguir para a guia Endereços IP .
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .
Em Editar sub-rede, insira ou selecione as seguintes informações:
Definição Value Detalhes da sub-rede Modelo de sub-rede Deixe o padrão Default. Nome Digite subnet-1. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho da sub-rede Deixe o padrão de /24(256 endereços). Selecione Guardar.
Selecione Rever + criar na parte inferior do ecrã e, quando a validação for aprovada, selecione Criar.
Criar grupos de segurança de aplicações
Um grupo de segurança de aplicativo (ASGs) permite agrupar servidores com funções semelhantes, como servidores Web.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Selecione Grupos de segurança de aplicativos nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar um grupo de segurança de aplicativo, insira ou selecione estas informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite asg-web. País/Região Selecione E.U.A. Leste 2. Selecione Rever + criar.
Selecione + Criar.
Repita as etapas anteriores, especificando os seguintes valores:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite asg-mgmt. País/Região Selecione E.U.A. Leste 2. Selecione Rever + criar.
Selecione Criar.
Criar um grupo de segurança de rede
Um NSG (grupo de segurança de rede) protege o tráfego de rede na sua rede virtual.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.
Nota
Nos resultados da pesquisa por Grupos de segurança de rede, poderá ver Grupos de segurança de rede (clássico). Selecione Grupos de segurança de rede.
Selecione + Criar.
Na guia Noções básicas de Criar grupo de segurança de rede, insira ou selecione estas informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite nsg-1. Location Selecione E.U.A. Leste 2. Selecione Rever + criar.
Selecione Criar.
Associar o grupo de segurança de rede à sub-rede
Nesta seção, você associa o grupo de segurança de rede à sub-rede da rede virtual criada anteriormente.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione nsg-1.
Selecione Sub-redes na seção Configurações do nsg-1.
Na página Sub-redes, selecione + Associado:
Em Sub-rede associada, selecione vnet-1 (test-rg) para Rede virtual.
Selecione sub-rede-1 para Sub-rede e, em seguida, selecione OK.
Criar regras de segurança
Selecione Regras de segurança de entrada na seção Configurações do nsg-1.
Na página Regras de segurança de entrada, selecione + Adicionar.
Crie uma regra de segurança que permita as portas 80 e 443 para o grupo de segurança do aplicativo asg-web . Na página Adicionar regra de segurança de entrada, insira ou selecione as seguintes informações:
Definição Value Source Deixe o padrão de Any. Intervalo de portas de origem Deixe o padrão de (*). Destino Selecione Grupo de segurança do aplicativo. Grupos de segurança de aplicativos de destino Selecione asg-web. Serviço Deixe o padrão de Personalizado. Intervalos de portas de destino Digite 80.443. Protocolo Selecione TCP. Ação Deixe o padrão de Permitir. Prioridade Deixe o padrão de 100. Nome Digite allow-web-all. Selecione Adicionar.
Conclua as etapas anteriores com as seguintes informações:
Definição Value Source Deixe o padrão de Any. Intervalo de portas de origem Deixe o padrão de (*). Destino Selecione Grupo de segurança do aplicativo. Grupo de segurança do aplicativo de destino Selecione asg-mgmt. Serviço Selecione RDP. Ação Deixe o padrão de Permitir. Prioridade Deixe o padrão de 110. Nome Digite allow-rdp-all. Selecione Adicionar.
Atenção
Neste artigo, o RDP (porta 3389) é exposto à Internet para a VM atribuída ao grupo de segurança do aplicativo asg-mgmt .
Para ambientes de produção, em vez de expor a porta 3389 à Internet, é recomendável que você se conecte aos recursos do Azure que deseja gerenciar usando uma VPN, conexão de rede privada ou Azure Bastion.
Para obter mais informações sobre o Azure Bastion, consulte O que é o Azure Bastion?.
Criar máquinas virtuais
Crie duas máquinas virtuais (VMs) na rede virtual.
No portal, procure e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione essas informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-1. País/Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Deixe o padrão de Nenhuma redundância de infraestrutura necessária. Tipo de segurança selecione Standard. Image Selecione Windows Server 2022 Datacenter - x64 Gen2. Instância do Azure Spot Deixe o padrão de desmarcado. Tamanho Selecione um tamanho. Conta de administrador Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Selecione as portas de entrada Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-1. Sub-rede Selecione sub-rede-1 (10.0.0.0/24). IP público Deixe o padrão de um novo IP público. Grupo de segurança de rede NIC Selecione Nenhuma. Selecione o separador Rever + criar ou selecione o botão azul Rever + criar na parte inferior da página.
Selecione Criar. A VM pode levar alguns minutos para ser implantada.
Repita as etapas anteriores para criar uma segunda máquina virtual chamada vm-2.
Associar interfaces de rede a um ASG
Quando você criou as VMs, o Azure criou uma interface de rede para cada VM e a anexou à VM.
Adicione a interface de rede de cada VM a um dos grupos de segurança de aplicativos criados anteriormente:
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa e, em seguida, selecione vm-1.
Selecione Grupos de segurança de aplicativos na seção Rede do vm-1.
Selecione Adicionar grupos de segurança de aplicativos e, em seguida, na guia Adicionar grupos de segurança de aplicativos, selecione asg-web. Por fim, selecione Adicionar.
Repita as etapas anteriores para vm-2, selecionando asg-mgmt na guia Adicionar grupos de segurança de aplicativos.
Testar os filtros de tráfego
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-2.
Na página Visão geral, selecione o botão Conectar e, em seguida, selecione RDP nativo.
Selecione Transferir ficheiro RDP.
Abra o ficheiro rdp transferido e selecione Ligar. Digite o nome de usuário e a senha que você especificou ao criar a VM.
Selecione OK.
Você pode receber um aviso de certificado durante o processo de conexão. Se receber o aviso, selecione Sim ou Continuar para continuar com a ligação.
A conexão é bem-sucedida, porque o tráfego de entrada da Internet para o grupo de segurança do aplicativo asg-mgmt é permitido através da porta 3389.
A interface de rede para vm-2 está associada ao grupo de segurança do aplicativo asg-mgmt e permite a conexão.
Abra uma sessão do PowerShell no vm-2. Conecte-se ao vm-1 usando o seguinte:
mstsc /v:vm-1
A conexão RDP de vm-2 para vm-1 é bem-sucedida porque as máquinas virtuais na mesma rede podem se comunicar entre si por qualquer porta por padrão.
Não é possível criar uma conexão RDP com a máquina virtual vm-1 a partir da Internet. A regra de segurança para o asg-web impede conexões com a porta 3389 de entrada da Internet. O tráfego de entrada da Internet é negado a todos os recursos por padrão.
Para instalar o Microsoft IIS na máquina virtual vm-1 , digite o seguinte comando de uma sessão do PowerShell na máquina virtual vm-1 :
Install-WindowsFeature -name Web-Server -IncludeManagementTools
Após a conclusão da instalação do IIS, desconecte-se da máquina virtual vm-1 , que deixa você na conexão de área de trabalho remota da máquina virtual vm-2 .
Desconecte-se da VM vm-2 .
Procure vm-1 na caixa de pesquisa do portal.
Na página Visão geral do vm-1, observe o endereço IP público da sua VM. O endereço mostrado no exemplo a seguir é 20.230.55.178, seu endereço é diferente:
Para confirmar que pode aceder ao servidor Web vm-1 a partir da Internet, abra um navegador de Internet no seu computador e navegue até
http://<public-ip-address-from-previous-step>
.
Você vê a página padrão do IIS, porque o tráfego de entrada da Internet para o grupo de segurança do aplicativo asg-web é permitido através da porta 80.
A interface de rede anexada para vm-1 está associada ao grupo de segurança do aplicativo asg-web e permite a conexão.
Clean up resources (Limpar recursos)
Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os seus recursos:
No portal do Azure, procure e selecione Grupos de recursos.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos.
Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.
Próximos passos
Neste tutorial:
- Criou um grupo de segurança de rede e associou-o a uma sub-rede de rede virtual.
- Criação de grupos de segurança de aplicativos para web e gerenciamento.
- Criou duas máquinas virtuais e associou suas interfaces de rede aos grupos de segurança do aplicativo.
- Testou a filtragem de rede do grupo de segurança do aplicativo.
Para saber mais sobre os grupos de segurança de rede, veja Descrição geral dos grupos de segurança de rede e Manage a network security group (Gerir um grupo de segurança de rede).
O Azure encaminha o tráfego entre sub-redes por predefinição. Em alternativa, pode optar por encaminhar o tráfego entre sub-redes através de uma VM que funcione, por exemplo, como uma firewall.
Para saber como criar uma tabela de rotas, avance para o tutorial seguinte.