Compartilhar via

Filtrar o tráfego de entrada da Internet ou da intranet com o DNAT do Firewall do Azure usando o portal do Azure

Você pode configurar a DNAT (Conversão de Endereços de Rede de Destino) do Firewall do Azure para traduzir e filtrar o tráfego da Internet de entrada para suas sub-redes ou tráfego de intranet entre redes privadas. Ao configurar o DNAT, a ação da coleção de regras NAT é definida como DNAT. Cada regra na coleção de regras da NAT pode então ser usada para traduzir o endereço IP público ou privado do firewall e a porta para um endereço IP privado e uma porta. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego convertido. Por motivos de segurança, a abordagem recomendada é adicionar uma fonte específica para permitir o acesso da DNAT à rede e evitar o uso de curingas. Para saber mais sobre a lógica de processamento de regra do Firewall do Azure, confira Lógica de processamento de regra do Firewall no Azure.

Observação

Este artigo usa regras de firewall clássicas para gerenciar o firewall. O método preferencial é usar a Política de Firewall. Para concluir este procedimento usando a Política de Firewall, consulte Tutorial: Filtrar o tráfego da Internet de entrada com o DNAT da política de Firewall do Azure usando o portal do Azure.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Entre no portal do Azure.
  2. Na página inicial do portal do Azure, selecione Grupos de recursos e Adicionar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em Grupo de recursos, digite RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os demais recursos criados devem estar na mesma região.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Para este artigo, você criará duas VNets emparelhadas:

  • VN-Hub – o firewall está nessa rede virtual.
  • VN-Spoke – o servidor de carga de trabalho está nessa rede virtual.

Primeiro, crie as redes virtuais e, em seguida, emparelhe-as.

Criar a rede virtual do Hub

  1. Na página inicial do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Criar.
  4. Em Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, digite VN-Hub.
  6. Em Região, selecione a mesma região usada antes.
  7. Selecione Avançar.
  8. Na guia Segurança, selecione Avançar.
  9. Em Espaço de endereço IPv4, aceite o padrão 10.0.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para o Modelo de sub-rede, selecione Firewall do Azure.

O firewall está nessa sub-rede e o nome da sub-rede deve ser AzureFirewallSubnet.

Observação

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, confira Perguntas frequentes sobre o Firewall do Azure.

  1. Clique em Salvar.
  2. Selecione Examinar + criar.
  3. Selecione Criar.

Criar uma rede virtual spoke

  1. Na página inicial do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Criar.
  4. Em Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, digite VN-Spoke.
  6. Em Região, selecione a mesma região usada antes.
  7. Selecione Avançar.
  8. Na guia Segurança, selecione Avançar.
  9. Em Espaço de endereço IPv4, edite o padrão e digite 192.168.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para o nome da sub-rede, digite SN-Workload.
  12. Para o Endereço inicial, digite 192.168.1.0.
  13. Para o Tamanho da sub-rede, selecione /24.
  14. Clique em Salvar.
  15. Selecione Examinar + criar.
  16. Selecione Criar.

Emparelhar as redes virtuais

Agora, emparelhe as duas redes virtuais.

  1. Selecione a rede virtual VN-Hub.
  2. Em Configurações, selecione Emparelhamentos.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, em Nome do link de emparelhamento, digite Peer-HubSpoke.
  5. Em Rede virtual remota, em Nome do link de emparelhamento, digite Peer-SpokeHub.
  6. Escolha VN-Spoke para a rede virtual.
  7. Aceite todos os outros padrões e, em seguida, selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Produtos populares do Marketplace, selecione o Datacenter do Windows Server 2019.

Noções básicas

  1. Em Assinatura, selecione sua assinatura.
  2. Em Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, digite Srv-Workload.
  4. Em Região, selecione a mesma localização usada anteriormente.
  5. Digite um nome de usuário e uma senha.
  6. Selecione Próximo: Discos.

Discos

  1. Selecione Avançar: Rede.

Rede

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, escolha SN-Workload.
  3. Em IP Público, selecione Nenhum.
  4. Em Portas de entrada públicas, selecione Nenhuma.
  5. Mantenha as outras configurações padrão e selecione Avançar: Gerenciamento.

Gerenciamento

  1. Selecione Próximo: Monitoramento.

Monitorização

  1. Em Diagnóstico de inicialização, selecione Desabilitar.
  2. Selecione Examinar + criar.

Examinar + Criar

Examine o resumo e, em seguida, selecione Criar. Esse processo leva alguns minutos para ser concluído.

Após a conclusão da implantação, observe o endereço IP privado da máquina virtual. Você precisará desse endereço IP mais tarde ao configurar o firewall. Selecione o nome da máquina virtual, vá para Visão geral e, em Rede, anote o endereço IP privado.

Observação

O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso Gateway da NAT do Azure é atribuído à sub-rede da VM.

As VMs que você criar usando conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída por padrão.

Para obter mais informações sobre conexões de saída no Azure, veja Acesso de saída padrão no Azure e Usar tradução de endereço de rede de origem (SNAT) para conexões de saída.

Implantar o firewall

  1. Na página inicial do portal, selecione Criar um recurso.

  2. Pesquise Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar um Firewall, use a tabela abaixo para configurar o firewall:

    Configuração Valor
    Subscrição <sua assinatura>
    Grupo de recursos Selecione RG-DNAT-Test
    Nome FW-DNAT-test
    Região Selecione o mesmo local usado anteriormente
    SKU do Firewall Standard
    Gerenciamento do firewall Use regras de Firewall (clássicas) para gerenciar este firewall
    Escolher uma rede virtual Usar existente: VN-Hub
    Endereço IP público Adicionar novo, Nome: fw-pip

  5. Aceite os outros padrões e selecione Revisar + criar.

  6. Examine o resumo e selecione Criar para implantar o firewall.

    Esse processo leva alguns minutos para ser concluído.

  7. Após a conclusão da implantação, vá para o grupo de recursos RG-DNAT-Test e selecione o firewall de teste FW-DNAT .

  8. Anote os endereços IP públicos e privados do firewall. Você as usará mais tarde ao criar a rota padrão e a regra NAT.

Criar uma rota padrão

Para a sub-rede SN-Workload, configure a rota padrão de saída para passar pelo firewall.

Importante

Você não precisa configurar uma rota explícita de volta para o firewall na sub-rede de destino. O Firewall do Azure é um serviço com estado e lida com os pacotes e sessões automaticamente. A criação dessa rota resultaria em um ambiente de roteamento assimétrico, interrompendo a lógica de sessão com estado e causando o descarte de conexões e pacotes.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.

  2. Pesquise Tabela de rotas e selecione-a.

  3. Selecione Criar.

  4. Em Assinatura, selecione sua assinatura.

  5. Em Grupo de recursos, selecione RG-DNAT-Test.

  6. Para Região, selecione a mesma região usada anteriormente.

  7. Em Nome, digite RT-FWroute.

  8. Selecione Examinar + criar.

  9. Selecione Criar.

  10. Selecione Ir para o recurso.

  11. Selecione Sub-redes e, em seguida, Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, escolha SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, Adicionar.

  16. Em Nome da rota, digite FW-DG.

  17. Para o Tipo de destino, selecione Endereços IP.

  18. Nos Intervalos de CIDR /endereço IP de destino, digite 0.0.0.0/0.

  19. Em Tipo do próximo salto, selecione Solução de virtualização .

    O Firewall do Azure é um serviço gerenciado, mas a seleção de dispositivo virtual funciona nessa situação.

  20. Para o endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.

  21. Selecione Adicionar.

Configurar uma regra NAT

  1. Abra o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test.
  2. Na página FW-DNAT-test, em Configurações, selecione Regras (clássicas).
  3. Selecione Adicionar coleção de regras do NAT.
  4. Para Nome, digite RC-DNAT-01.
  5. Digite 200 em Prioridade.
  6. Em Regras, para Nome, digite RL-01.
  7. Em Protocolo, selecione TCP.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, digite *.
  10. Para endereços de destino, digite o endereço IP público do firewall.
  11. Para Portas de Destino, digite 3389.
  12. Para Endereço Traduzido, digite o endereço IP privado da máquina virtual Srv-Workload.
  13. Para Porta traduzida, digite 3389.
  14. Selecione Adicionar.

Esse processo leva alguns minutos para ser concluído.

Testar o firewall

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall. Você deve estar conectado à máquina virtual Srv-Workload.
  2. Feche a área de trabalho remota.

Limpar os recursos

Você pode manter seus recursos de firewall para teste posterior ou, se eles não forem mais necessários, exclua o grupo de recursos RG-DNAT-Test para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Em seguida,você pode monitorar os logs do Firewall do Azure.

Tutorial: Monitorar os logs do Firewall do Azure

  • Last updated on