Compartilhar via

Implantar e configurar o Firewall Básico do Azure e a política usando o Portal do Azure

O Azure Firewall Basic fornece a proteção essencial que os clientes SMB precisam a um preço acessível. Essa solução é recomendada para ambientes de cliente SMB com requisitos de taxa de transferência inferiores a 250 Mbps. É recomendável implantar o SKU Standard para ambientes com mais de 250 Mbps de requisitos de taxa de transferência e o SKU Premium para proteção avançada contra ameaças.

Filtrar o tráfego de rede e aplicativo é uma parte importante de um plano de segurança de rede geral. Por exemplo, você talvez queira limitar o acesso a sites. Ou você talvez queira limitar os endereços IP e portas de saída que podem ser acessados.

Uma maneira de controlar o acesso à rede de entrada e de saída de uma sub-rede do Azure é com o Firewall do Azure e a Política de Firewall. Com o Firewall do Azure e a Política de Firewall, você pode configurar:

  • Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede.
  • Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.
  • Regras de DNAT para traduzir e filtrar o tráfego de entrada da Internet para suas sub-redes.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.

Para este tutorial, você cria uma VNet única simplificada com três sub-redes para facilitar a implantação. O Firewall Básico tem um requisito obrigatório a ser configurado com uma NIC de gerenciamento.

  • AzureFirewallSubnet: o firewall está nesta sub-rede.
  • AzureFirewallManagementSubnet – para tráfego de gerenciamento de serviços.
  • Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.

Observação

Como o Azure Firewall Basic tem tráfego limitado em comparação com o Firewall do Azure Standard ou o SKU Premium, ele requer que o AzureFirewallManagementSubnet separe o tráfego do cliente do tráfego de gerenciamento da Microsoft para garantir que não haja interrupções nele. Esse tráfego de gerenciamento é necessário para a comunicação de atualizações e métricas de integridade que ocorre automaticamente somente de e para a Microsoft. Nenhuma outra conexão é permitida neste IP.

Para implantações de produção, é recomendado um modelo de hub e spoke, em que o firewall é, por si só, a VNet. Os servidores de carga de trabalho estão em VNets emparelhadas na mesma região que uma ou mais sub-redes.

Neste tutorial, você aprenderá a:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall básico e uma política de firewall básica
  • Criar uma rota padrão
  • Configurar uma regra de aplicativo para permitir o acesso ao www.google.com
  • Configurar uma regra de rede para permitir o acesso a servidores DNS externos
  • Configurar uma regra NAT para permitir uma área de trabalho remota para o servidor de teste
  • Testar o firewall

Se preferir, você poderá concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o tutorial.

  1. Entre no portal do Azure.
  2. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Em seguida, selecione Criar.
  3. Em Assinatura, selecione sua assinatura.
  4. Para o nome do grupo de recursos, insira Test-FW-RG.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Implantar o firewall e a política

Implante o firewall e crie a infraestrutura de rede associada.

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar um Firewall , use a tabela a seguir para configurar o firewall:

    Configurações Value
    Subscription <sua assinatura>
    Grupo de recursos Test-FW-RG
    Nome Test-FW01
    Região Selecione o mesmo local que você usou anteriormente
    Camada de firewall Basic
    Gerenciamento do firewall Usar uma política de firewall para gerenciar esse firewall
    Política de firewall Adicione novo:
    fw-test-pol
    Sua região selecionada
    A camada política deve ser definida como Basic
    Escolher uma rede virtual Criar novo
    Nome: Test-FW-VN
    Espaço de endereço: 10.0.0.0/16
    Espaço de endereço de sub-rede: 10.0.0.0/26
    Endereço IP público Adicione novo:
    Nome: fw-pip
    Gerenciamento – Espaço de endereço de sub-rede 10.0.1.0/26
    Endereço IP público para gerenciamento Adicionar novo
    fw-mgmt-pip

  5. Aceite os outros valores padrão e selecione Examinar + criar.

  6. Examine o resumo e selecione Criar para criar o firewall.

    Isso levará alguns minutos para ser implantado.

  7. Após a conclusão da implantação, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01 .

  8. Observe os endereços IP privados e públicos do firewall (fw-pip). Você usará esses endereços mais tarde.

Criar uma sub-rede para o servidor de carga de trabalho

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Vá para o grupo de recursos Test-FW-RG e selecione a rede virtual Test-FW-VN .
  2. Selecione sub-redes.
  3. Selecione Subrede.
  4. Para o nome da sub-rede, digite Workload-SN.
  5. Para o intervalo de endereços de sub-rede, digite 10.0.2.0/24.
  6. Clique em Salvar.

Criar uma máquina virtual

Agora, crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou na Página Inicial, selecione Criar um recurso.

  2. Selecione o Windows Server 2019 Datacenter.

  3. Insira esses valores para a máquina virtual:

    Configurações Value
    Grupo de recursos Test-FW-RG
    Nome da máquina virtual Srv-Work
    Região O mesmo que anterior
    Imagem Windows Server 2019 Datacenter
    Nome de usuário do administrador Digite um nome de usuário
    Senha Digite uma senha

  4. Em regras de porta de entrada, portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Avançar: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Para IP público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Avançar: Gerenciamento.

  10. Selecione Avançar: Monitoramento.

  11. Selecione Desabilitar para desabilitar o diagnóstico de inicialização. Aceite os outros padrões e selecione Examinar + criar.

  12. Examine as configurações na página de resumo e selecione Criar.

  13. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Criar uma rota padrão

Para a sub-rede Workload-SN, configure a rota padrão de saída para passar pelo firewall.

  1. No menu do portal do Azure, selecione Todos os serviços ou pesquise e selecione Todos os serviços em qualquer página.
  2. Em Rede, selecione Tabelas de rotas.
  3. Selecione Criar.
  4. Em Assinatura, selecione sua assinatura.
  5. Para o grupo de recursos, selecione Test-FW-RG.
  6. Para Região, selecione o mesmo local usado anteriormente.
  7. Para Nome, digite Firewall-route.
  8. Selecione Examinar + criar.
  9. Selecione Criar.

Após a conclusão da implantação, selecione Ir para o recurso.

  1. Na página Rota do Firewall, selecione Sub-redes e, em seguida, selecione Associar.

  2. Selecione rede virtual>Test-FW-VN.

  3. Para Sub-rede, selecione Workload-SN. Verifique se você selecionou apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Para o nome da rota, digite fw-dg.

  7. Para o destino de prefixo de endereço, selecione Endereços IP.

  8. Para endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.

  9. Em Tipo do próximo salto, selecione Solução de virtualização .

    Na verdade, o Firewall do Azure é um serviço gerenciado, mas a solução de virtualização funciona nessa situação.

  10. Para o endereço do próximo salto, digite o endereço IP privado para o firewall que você anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicativo

Essa é a regra de aplicação que permite acesso externo a www.google.com.

  1. Abra o Test-FW-RG e selecione o firewall policy fw-test-pol.
  2. Selecione regras de aplicativo.
  3. Selecione Adicionar uma coleção de regras.
  4. Para Nome, digite App-Coll01.
  5. Para Prioridade, digite 200.
  6. Em Ação de coleção de regras, selecione Permitir.
  7. Em Regras, para Nome, digite Allow-Google.
  8. Para o tipo de origem, selecione o endereço IP.
  9. Para o código-fonte, digite 10.0.2.0/24.
  10. Para Protocolo:porta, digite http, https.
  11. Para Tipo de Destino, selecione FQDN.
  12. Para Destino, digite www.google.com
  13. Selecione Adicionar.

O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos da plataforma e não podem ser usados para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.

Configurar uma regra de rede

Essa é a regra de rede que permite o acesso de saída a dois endereços IP pela porta 53 (DNS).

  1. Selecione regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Para Nome, digite Net-Coll01.
  4. Para Prioridade, digite 200.
  5. Em Ação de coleção de regras, selecione Permitir.
  6. Para grupo de regras de coleção, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, para Nome, insira Allow-DNS.
  8. Para o tipo de origem, selecione Endereço IP.
  9. Para o código-fonte, digite 10.0.2.0/24.
  10. Para Protocolo, selecione UDP.
  11. Para portas de destino, digite 53.
  12. Para o tipo de destino , selecione o endereço IP.
  13. Para Destino, digite 209.244.0.3.209.244.0.4.
    Estes são servidores DNS públicos operados pelo Level3.
  14. Selecione Adicionar.

Configurar uma regra DNAT

Essa regra permite que você conecte uma área de trabalho remota à máquina virtual Srv-Work por meio do firewall.

  1. Selecione as regras de DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Para Nome, digite rdp.
  4. Para Prioridade, digite 200.
  5. Para Rule collection group, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, para Nome, digite rdp-nat.
  7. Para o tipo de origem, selecione o endereço IP.
  8. Para origem, digite *.
  9. Para Protocolo, selecione TCP.
  10. Para portas de destino, digite 3389.
  11. Para Tipo de Destino, selecione Endereço IP.
  12. Para Destino, digite o endereço IP público do firewall (fw-pip).
  13. Para o endereço traduzido, digite o endereço IP privado srv-work .
  14. Para porta traduzida, digite3389.
  15. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste neste instruções, configure os endereços DNS primários e secundários do servidor. Esse não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione o adaptador de rede para a máquina virtual Srv-Work .
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na próxima caixa de texto.
  6. Clique em Salvar.
  7. Reinicie a máquina virtual Srv-Work .

Testar o firewall

Agora teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall (fw-pip) e entre na máquina virtual Srv-Work .

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a home page do Google.

  4. Navegue até http://www.microsoft.com.

    Você deve ser bloqueado pelo firewall.

Agora que você verificou se as regras de firewall estão funcionando:

  • Você pode conectar uma área de trabalho remota à máquina virtual Srv-Work.
  • Você pode navegar para o FQDN permitido, mas não para os outros.
  • É possível resolver nomes DNS usando o servidor DNS externo configurado.

Limpar os recursos

Você pode manter seus recursos de firewall para testes adicionais ou, se não for mais necessário, excluir o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium

  • Last updated on