Partilhar via

Filtrar o tráfego de entrada da Internet ou da intranet com o DNAT do Firewall do Azure usando o portal do Azure

Você pode configurar o DNAT (Tradução de Endereço de Rede de Destino) do Azure Firewall para traduzir e filtrar o tráfego de entrada da Internet para as suas sub-redes ou para o tráfego de intranet entre redes privadas. Quando você configura o DNAT, a ação de coleta de regras NAT é definida como DNAT. Cada regra na coleção de regras NAT pode ser usada para traduzir o endereço IP público ou privado e a porta do firewall para um endereço IP e uma porta privados. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego traduzido. Por razões de segurança, recomenda-se adicionar uma fonte específica para permitir o acesso DNAT à rede e evitar o uso de curingas. Para saber mais sobre a lógica de processamento de regras do Azure Firewall, veja Lógica de processamento de regras do Azure Firewall.

Nota

Este artigo usa regras clássicas de firewall para gerenciar o firewall. O método preferido é usar a Política de Firewall. Para concluir este procedimento usando a Política de Firewall, consulte Tutorial: Filtrar o tráfego de entrada da Internet com a política de Firewall do Azure DNAT usando o portal do Azure.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Inicie sessão no portal do Azure.
  2. Na home page do portal do Azure, selecione Grupos de recursos e, em seguida, selecione Criar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Para Grupo de recursos, digite RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Analisar + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Para este artigo, cria-se duas VNets emparelhadas:

  • VN-Hub - o firewall está nesta rede virtual.
  • VN-Spoke - o servidor de carga de trabalho está nesta rede virtual.

Em primeiro lugar, crie as VNets e, em seguida, configure o peering entre elas.

Criar a rede virtual do Hub

  1. Na home page do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Criar.
  4. Para Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, escreva VN-Hub.
  6. Em Região, selecione a mesma região que você usou antes.
  7. Selecione Seguinte.
  8. Na guia Segurança, selecione Avançar.
  9. Para o espaço de endereçamento IPv4, aceite o padrão 10.0.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para Modelo de sub-rede, selecione Firewall do Azure.

O firewall está nessa sub-rede e o nome da sub-rede deve ser AzureFirewallSubnet.

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  1. Selecione Guardar.
  2. Selecione Analisar + criar.
  3. Selecione Criar.

Criar uma rede virtual spoke

  1. Na home page do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Criar.
  4. Para Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, escreva VN-Spoke.
  6. Em Região, selecione a mesma região que você usou antes.
  7. Selecione Seguinte.
  8. Na guia Segurança, selecione Avançar.
  9. Para o espaço de endereçamento IPv4, edite o padrão e digite 192.168.0.0/16.
  10. Em Sub-redes, selecione padrão.
  11. Para o nome da sub-rede, digite SN-Workload.
  12. Para Endereço inicial, digite 192.168.1.0.
  13. Para Tamanho da sub-rede, selecione /24.
  14. Selecione Guardar.
  15. Selecione Analisar + criar.
  16. Selecione Criar.

Realizar o peering das VNets

Agora, configure o peering entre as duas VNets.

  1. Selecione a rede virtual VN-Hub .
  2. Em Configurações, selecione Emparelhamentos.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, para o Nome do link de emparelhamento, digite Peer-HubSpoke.
  5. Em Rede virtual remota, para Nome do link de emparelhamento, digite Peer-SpokeHub.
  6. Selecione VN-Spoke para a rede virtual.
  7. Aceite todos os outros padrões e selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Produtos populares do Marketplace, selecione Windows Server 2019 Datacenter.

Noções básicas

  1. Para Subscrição, selecione a sua subscrição.
  2. Para Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, digite Srv-Workload.
  4. Em Região, selecione o mesmo local usado anteriormente.
  5. Escreva um nome de utilizador e uma palavra-passe.
  6. Selecione Next: Disks.

Discos

  1. Selecione Next: Networking.

Ligação em rede

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, selecione SN-Workload.
  3. Em IP público, selecione Nenhum.
  4. Para Portas de entrada públicas, selecione Nenhuma.
  5. Deixe as outras configurações padrão e selecione Avançar: Gerenciamento.

Gestão

  1. Selecione Seguinte: Monitorização.

Monitorização

  1. Para Diagnósticos de arranque, selecione Desativar.
  2. Selecione Avaliar + Criar.

Revisar + Criar

Reveja o resumo e, em seguida, selecione Criar. Este processo demora alguns minutos a concluir.

Após a conclusão da implantação, observe o endereço IP privado da máquina virtual. Você precisará desse endereço IP mais tarde ao configurar o firewall. Selecione o nome da máquina virtual, vá para Visão geral e, em Rede, anote o endereço IP privado.

Nota

O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Recurso do Azure NAT Gateway é atribuído à sub-rede da VM.

As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Desplegar o firewall

  1. Na página inicial do portal, selecione Criar um recurso.

  2. Procure Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Configuração Valor
    Subscrição <a sua subscrição>
    Grupo de recursos Selecione RG-DNAT-Test
    Nome Teste FW-DNAT
    Região Selecione o mesmo local usado anteriormente
    Identificador de Produto do Firewall (SKU) Padrão
    Gestão de firewall Usar regras de firewall (clássicas) para gerenciar esse firewall
    Escolher uma rede virtual Utilizar existente: VN-Hub
    Endereço IP público Adicionar novo, Nome: fw-pip

  5. Aceite os outros padrões e selecione Revisar + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para implementar a firewall.

    Este processo demora alguns minutos a concluir.

  7. Após a conclusão da implantação, vá para o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test .

  8. Observe os endereços IP públicos e privados do firewall. Você os usa posteriormente ao criar a rota padrão e a regra NAT.

Criar uma rota predefinida

Para a sub-rede SN-Workload , configure a rota padrão de saída para passar pelo firewall.

Importante

Não é necessário configurar uma rota explícita de volta ao firewall na sub-rede de destino. O Firewall do Azure é um serviço com monitoração de estado e lida com os pacotes e sessões automaticamente. A criação dessa rota resultaria em um ambiente de roteamento assimétrico, interrompendo a lógica de sessão com estado e causando a queda de pacotes e conexões.

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Procure por tabela de rotas e selecione-a.

  3. Selecione Criar.

  4. Para Subscrição, selecione a sua subscrição.

  5. Para Grupo de recursos, selecione RG-DNAT-Test.

  6. Em Região, selecione a mesma região usada anteriormente.

  7. Em Nome, escreva RT-FWroute.

  8. Selecione Analisar + criar.

  9. Selecione Criar.

  10. Selecione Ir para recurso.

  11. Selecione Sub-redes e, em seguida, selecione Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, selecione SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, selecione Adicionar.

  16. Em Nome da rota, escreva FW-DG.

  17. Em Tipo de destino, selecione Endereços IP.

  18. Para Endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.

  19. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Firewall do Azure é um serviço gerenciado, mas a seleção de dispositivo virtual funciona nessa situação.

  20. Em Endereço do próximo salto, digite o endereço IP privado do firewall observado anteriormente.

  21. Selecione Adicionar.

Configurar uma regra NAT

  1. Abra o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test .
  2. Na página FW-DNAT-test, em Configurações, selecione Regras (clássicas).
  3. Selecione Adicionar coleção de regras NAT.
  4. Em Nome, escreva RC-DNAT-01.
  5. Em Prioridade, escreva 200.
  6. Em Regras, em Nome, escreva RL-01.
  7. Em Protocolo, selecione TCP.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Source, digite *.
  10. Em Endereços de destino, digite o endereço IP público do firewall.
  11. Em Portas de Destino, escreva 3389.
  12. Em Endereço Traduzido, digite o endereço IP privado da máquina virtual Srv-Workload.
  13. Em Porta traduzida, escreva 3389.
  14. Selecione Adicionar.

Este processo demora alguns minutos a concluir.

Testar a firewall

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall. Deverá estar conectado à máquina virtual Srv-Workload.
  2. Feche o ambiente de trabalho remoto.

Limpar recursos

Você pode manter seus recursos de firewall para testes adicionais ou, se não for mais necessário, excluir o grupo de recursos RG-DNAT-Test para excluir todos os recursos relacionados ao firewall.

Próximos passos

Em seguida, pode monitorizar os registos do Azure Firewall.

Tutorial: Monitorizar registos do Azure Firewall

  • Last updated on