Como funciona o Azure Firewall Manager

  • 6 minutos

Nesta unidade, discutimos como o Firewall Manager funciona e quais tarefas você pode realizar usando-o. Também examinamos como as regras de política de firewall funcionam. Como descrito anteriormente, uma política é o bloco de construção fundamental do Firewall Manager. Você cria políticas e as associa a instâncias do Firewall do Azure em hubs virtuais seguros ou redes virtuais de hub.

O diagrama a seguir exibe uma configuração típica. Inclui um administrador global que está criando e associando políticas no nível superior. Essas políticas estão associadas a um hub virtual seguro e a duas redes virtuais de hub. Um administrador local também pode configurar e associar políticas a uma das redes virtuais do hub.

A typical Firewall Manager configuration, with both a global and local admin who are creating and associating properties as previously described.

As políticas do Firewall do Azure consistem em regras e configurações que controlam o tráfego em recursos protegidos. Nesta unidade, você aprende sobre:

  • Políticas, regras e configurações de inteligência de ameaças do Firewall do Azure.
  • Processamento de regras.
  • Tarefas que pode executar com o Firewall Manager.

O que são regras de política do Firewall do Azure?

A tabela a seguir descreve as coleções e configurações de regras de política do Firewall do Azure.

Coleta ou configuração de regras Description
Configurações de Inteligência de Ameaças Habilita a filtragem de políticas do Firewall do Azure com base em informações sobre ameaças, alertando-o sobre tráfego potencialmente mal-intencionado. Ele também permite que você negue tráfego de e para endereços IP e domínios que são conhecidos por serem maliciosos.
Coleção de regras NAT Permite configurar regras de DNA (Tradução de Endereço de Rede de Destino) do Firewall do Azure. Essas regras traduzem e filtram o tráfego de entrada da Internet para suas sub-redes do Azure.
Recolha de regras de rede Gerencia o tráfego não-HTTP/S que flui através do firewall.
Coleção de regras de aplicativo Gerencia o tráfego HTTP/S que flui através do firewall.

Primeiro, você deve decidir quais regras você precisa para gerenciar seu tráfego. Em seguida, você usa o Gerenciador de Firewall para criar e configurar políticas de Firewall do Azure que contêm essas regras, como mostra o gráfico a seguir.

Screenshot of the Threat Intelligence blade in the Azure portal within a Firewall Policy.

Como as regras são processadas

Na realidade, uma regra NAT é uma regra de roteamento que direciona o tráfego de endereços IP públicos para privados em seus recursos do Azure. Quando um firewall processa as regras definidas de uma política, são as regras de rede e de aplicativo que determinam se o tráfego é permitido. O processo a seguir descreve como essas regras são processadas em relação ao tráfego:

  1. As regras de inteligência de ameaças são processadas antes das regras de NAT, rede ou aplicativo. Ao estabelecer essas regras, você pode configurar um dos dois comportamentos:

    • Alerta quando a regra é acionada (modo padrão).
    • Alertar e negar quando a regra for acionada.

  2. As regras NAT são processadas em seguida e determinam a conectividade de entrada para recursos especificados em suas redes virtuais.

Nota

Se uma correspondência for encontrada, uma regra de rede correspondente implícita para permitir o tráfego traduzido será adicionada.

  1. As regras de rede são aplicadas em seguida. Se uma regra de rede corresponder ao tráfego, essa regra será aplicada. Nenhuma outra regra é verificada.
  2. Se nenhuma regra de rede corresponder e o tráfego for HTTP/S, as regras de aplicativo serão aplicadas.
  3. Se nenhuma regra de aplicativo corresponder, o tráfego será comparado com a coleção de regras de infraestrutura.
  4. Se ainda não houver correspondência para o tráfego, o tráfego é implicitamente negado.

Nota

As coleções de regras de infraestrutura definem FQDNs (nomes de domínio totalmente qualificados) que são permitidos por padrão. Esses FQDNs são específicos do Azure.

Usar o Gerenciador de Firewall

O Firewall Manager permite-lhe:

  • Defina regras para filtragem de tráfego em várias instâncias do Firewall do Azure em hubs virtuais seguros e redes virtuais de hub.
  • Associe uma política de Firewall do Azure a redes virtuais novas ou existentes. Essa associação impõe políticas de firewall consistentes em várias redes virtuais de hub.
  • Associe uma política de Firewall do Azure ou um Provedor de Parceiro de Segurança a hubs virtuais novos ou existentes. Essa associação impõe políticas consistentes de segurança e roteamento em vários hubs.
  • Associe uma política de Firewall de Aplicativo Web a uma plataforma de entrega de aplicativos (Azure Front Door ou Azure Application Gateway).
  • Associe suas redes virtuais a um plano de proteção contra DDoS.

No gráfico a seguir, um administrador está implantando um firewall com uma diretiva de firewall para uma rede virtual existente.

Screenshot of the Virtual networks blade in Firewall Manager. The administrator selected an existing virtual network.