Partilhar via

Implantar e configurar o Firewall do Azure Básico e a política usando o portal do Azure

O Firewall do Azure Basic fornece a proteção essencial de que os clientes SMB precisam a um preço acessível. Esta solução é recomendada para ambientes de clientes SMB com requisitos de taxa de transferência inferiores a 250 Mbps. Recomenda-se implantar o SKU padrão para ambientes com requisitos de taxa de transferência de mais de 250 Mbps e o SKU Premium para proteção avançada contra ameaças.

A filtragem do tráfego de rede e de aplicativos é uma parte importante de um plano geral de segurança de rede. Por exemplo, você pode querer limitar o acesso a sites. Ou, você pode querer limitar os endereços IP de saída e portas que podem ser acessadas.

Uma maneira de controlar o acesso à rede de entrada e saída de uma sub-rede do Azure é com o Firewall do Azure e a Política de Firewall. Com o Firewall do Azure e a Política de Firewall, você pode configurar:

  • Regras da aplicação que definem nomes de domínio completamente qualificado (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede que definem o endereço de origem, o protocolo, a porta de destino e o endereço de destino.
  • Regras DNAT para traduzir e filtrar o tráfego de Internet de entrada para as suas sub-redes.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede é encaminhado para a firewall como gateway padrão da sub-rede.

Para isso, você cria uma única VNet simplificada com três sub-redes para facilitar a implantação. O Firewall Basic tem um requisito obrigatório para ser configurado com uma NIC de gerenciamento.

  • AzureFirewallSubnet - a firewall está nesta sub-rede.
  • AzureFirewallManagementSubnet - para tráfego de gerenciamento de serviços.
  • Workload-SN - o servidor de carga de trabalho está nesta sub-rede. O tráfego de rede desta sub-rede passa pela firewall.

Observação

Como o Firewall do Azure Basic tem tráfego limitado em comparação com o Azure Firewall Standard ou Premium SKU, ele exige que o AzureFirewallManagementSubnet separe o tráfego do cliente do tráfego de gerenciamento da Microsoft para garantir que não haja interrupções nele. Esse tráfego de gerenciamento é necessário para atualizações e comunicação de métricas de integridade que ocorre automaticamente apenas de e para a Microsoft. Nenhuma outra conexão é permitida neste IP.

Para implantações de produção, recomenda-se um modelo de hub and spoke, onde o firewall está na sua própria VNet. Os servidores de carga de trabalho estão em redes virtuais emparelhadas na mesma região com uma ou mais sub-redes.

Neste tutorial, você aprende a:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall básico e uma política básica de firewall
  • Criar uma rota predefinida
  • Configurar uma regra de aplicativo para permitir o acesso a www.google.com
  • Configurar uma regra de rede para permitir o acesso aos servidores DNS externos
  • Configurar uma regra NAT para permitir uma área de trabalho remota no servidor de teste
  • Testar a firewall

Se preferir, você pode concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o tutorial.

  1. Inicie sessão no portal Azure.
  2. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página. Depois, selecione Criar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Em Nome do grupo de recursos, digite Test-FW-RG.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Verificar + criar.
  7. Selecione Criar.

Implantar o firewall e a política

Implante o firewall e crie a infraestrutura de rede associada.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Configurações Value
    Subscrição <a sua subscrição>
    Grupo de recursos Test-FW-RG
    Nome Test-FW01
    Região Selecionar a mesma localização que utilizou anteriormente
    Nível de firewall Básica
    Gestão de firewall Usar uma política de firewall para gerenciar esse firewall
    Política de firewall Adicionar novo:
    fw-test-pol
    A região que selecionou
    A camada de política deve ser padrão para Básico
    Escolher uma rede virtual Criar novo
    Designação: Test-FW-VN
    Espaço de endereço: 10.0.0.0/16
    Espaço de endereço da sub-rede: 10.0.0.0/26
    Endereço IP público Adicionar novo:
    Nome: fw-pip
    Gerenciamento - Espaço de endereçamento da sub-rede 10.0.1.0/26
    Gerenciamento de endereço IP público Adicionar novo
    fw-mgmt-pip

  5. Aceite os outros valores padrão e selecione Revisar + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Este processo irá demorar alguns minutos a implementar.

  7. Após a conclusão da implantação, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01 .

  8. Observe os endereços IP públicos e privados (fw-pip) do firewall. Você usará esses endereços mais tarde.

Criar uma sub-rede para o servidor de carga de trabalho

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Vá para o grupo de recursos Test-FW-RG e selecione a rede virtual Test-FW-VN .
  2. Selecione Subnets.
  3. Selecione Subnet.
  4. Em Nome da sub-rede, digite Workload-SN.
  5. Para Intervalo de endereços de sub-rede, digite 10.0.2.0/24.
  6. Selecione Guardar.

Criar uma máquina virtual

Agora crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Introduza estes valores para a máquina virtual:

    Configurações Value
    Grupo de recursos Test-FW-RG
    Nome da máquina virtual Srv-Work
    Região O mesmo que o anterior
    Imagem Centro de dados do Windows Server 2019
    Nome de utilizador do administrador Digite um nome de usuário
    Palavra-passe Digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Avançar: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Verifique se Test-FW-VN está selecionado para a rede virtual e se a sub-rede é Workload-SN.

  8. Em IP público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Avançar: Gerenciamento.

  10. Selecione Próximo: Monitorização.

  11. Selecione Desativar para desativar o diagnóstico de inicialização. Aceite os outros padrões e selecione Revisar + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

  13. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Criar uma rota predefinida

Na sub-rede Workload-SN, vai configurar a rota de saída predefinida para passar pela firewall.

  1. No menu do portal do Azure, selecione Todos os serviços ou procure e selecione Todos os serviços em qualquer página.
  2. Em Networking, selecione Tabelas de rotas.
  3. Selecione Criar.
  4. Para Subscrição, selecione a sua subscrição.
  5. Para Grupo de recursos, selecione Test-FW-RG.
  6. Em Região, selecione o mesmo local usado anteriormente.
  7. Em Nome, escreva Firewall-route.
  8. Selecione Verificar + criar.
  9. Selecione Criar.

Depois de concluída a implantação, selecione Ir para o recurso.

  1. Na página Firewall-route, selecione Sub-redes e, em seguida, selecione Associar.

  2. Selecione Rede virtual>Test-FW-VN.

  3. Em Sub-rede, selecione Workload-SN. Certifique-se de selecionar apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Em Nome da rota, escreva fw-dg.

  7. Para Destino do prefixo de endereço, selecione Endereços IP.

  8. Para Endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.

  9. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  10. Em Endereço do próximo salto, escreva o endereço IP privado da firewall que anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicação

Esta é a regra de aplicação que permite o acesso externo ao www.google.com.

  1. Abra o Test-FW-RG e selecione a política de firewall fw-test-pol .
  2. Selecione Regras de aplicação.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, escreva App-Coll01.
  5. Em Prioridade, escreva 200.
  6. Para Ação de coleta de regras, selecione Permitir.
  7. Em Regras, em Nome, digite Permitir-Google.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Para Source, digite 10.0.2.0/24.
  10. Em Protocolo:porta, escreva http, https.
  11. Em Tipo de destino, selecione FQDN.
  12. Em Destino, digite www.google.com
  13. Selecione Adicionar.

O Azure Firewall inclui uma coleção de regras incorporadas para os FQDNs de infraestrutura que são permitidos por predefinição. Estes FQDNs são específicos da plataforma e não podem ser utilizados para outros fins. Para obter mais informações, veja FQDNs de Infraestrutura.

Configurar uma regra de rede

Esta é a regra de rede que permite acesso de saída a dois endereços de IP na porta 53 (DNS).

  1. Selecione Regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, escreva Net-Coll01.
  4. Em Prioridade, escreva 200.
  5. Para Ação de coleta de regras, selecione Permitir.
  6. Para o grupo de coleta de regras, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, em Nome, digite Allow-DNS.
  8. Para Tipo de origem, selecione Endereço IP.
  9. Para Source, digite 10.0.2.0/24.
  10. Em Protocolo, selecione UDP.
  11. Em Portas de Destino, escreva 53.
  12. Em Tipo de destino , selecione Endereço IP.
  13. Para Destino, digite 209.244.0.3,209.244.0.4.
    Estes são servidores DNS públicos operados pela Level3.
  14. Selecione Adicionar.

Configurar uma regra DNAT

Esta regra permite conectar uma área de trabalho remota à máquina virtual Srv-Work através do firewall.

  1. Selecione as regras de DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, digite rdp.
  4. Em Prioridade, escreva 200.
  5. Para o grupo de coleta de regras, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, para Nome, digite rdp-nat.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Source, digite *.
  9. Em Protocolo, selecione TCP.
  10. Para Portas de destino, digite 3389.
  11. Em Tipo de destino, selecione Endereço IP.
  12. Em Destino, digite o endereço IP público do firewall (fw-pip).
  13. Em Endereço traduzido, digite o endereço IP privado Srv-work .
  14. Em Porta traduzida, escreva 3389.
  15. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste neste tutorial, configure os endereços DNS primário e secundário do servidor. Este não é um requisito geral do Firewall do Azure.

  1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione a interface de rede para a máquina virtual Srv-Work .
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na próxima caixa de texto.
  6. Selecione Guardar.
  7. Reinicie a máquina virtual Srv-Work.

Testar a firewall

Agora, teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall (fw-pip) e entre na máquina virtual Srv-Work .

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial do Google.

  4. Navegue até http://www.microsoft.com.

    Você deve ser bloqueado pelo firewall.

Então, agora você verificou que as regras de firewall estão funcionando:

  • Você pode conectar uma área de trabalho remota à máquina virtual Srv-Work.
  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.
  • Pode resolver nomes DNS com o servidor DNS externo configurado.

Limpeza de recursos

Você pode manter seus recursos de firewall para testes adicionais ou, se não for mais necessário, excluir o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximos passos

Implantar e configurar o Firewall Premium do Azure

  • Last updated on