Compartilhar via

Implantar e configurar o Azure Firewall Basic e a política usando o portal do Azure

O Azure Firewall Basic fornece a proteção essencial que os clientes SMB precisam a um preço acessível. Essa solução é recomendada para ambientes de cliente SMB com requisitos de taxa de transferência inferiores a 250 Mbps. Implante o SKU Standard para ambientes com mais de 250 Mbps de requisitos de taxa de transferência e o SKU Premium para proteção avançada contra ameaças.

Filtrar o tráfego de rede e aplicativo é uma parte importante de um plano de segurança de rede geral. Por exemplo, talvez você queira limitar o acesso a sites. Ou talvez você queira limitar os endereços IP de saída e as portas que podem ser acessadas.

Uma maneira de controlar o acesso à rede de entrada e de saída de uma sub-rede do Azure é com o Firewall do Azure e a Política de Firewall. Usando o Firewall do Azure e a Política de Firewall, você pode configurar:

  • Regras de aplicativo que definem FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados em uma sub-rede.
  • Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.
  • Regras de DNAT para traduzir e filtrar o tráfego de entrada da Internet para suas sub-redes.

O tráfego de rede está sujeito às regras de firewall configuradas quando o tráfego de rede para o firewall foi roteado como a sub-rede de gateway padrão.

Neste artigo, você criará uma única rede virtual simplificada com três sub-redes para facilitar a implantação. O Firewall Básico tem um requisito obrigatório a ser configurado com uma NIC de gerenciamento.

  • AzureFirewallSubnet: o firewall está nesta sub-rede.
  • AzureFirewallManagementSubnet – para tráfego de gerenciamento de serviços.
  • Workload-SN: o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.

Observação

Como o Azure Firewall Basic tem tratamento de tráfego limitado em comparação com o Firewall do Azure Standard ou sKU Premium, ele requer que o AzureFirewallManagementSubnet separe o tráfego do cliente do tráfego de gerenciamento da Microsoft para garantir que não haja interrupções. Esse tráfego de gerenciamento é necessário para a comunicação de atualizações e métricas de integridade que ocorre automaticamente somente de e para a Microsoft. Nenhuma outra conexão é permitida neste IP.

Para implantações de produção, use um modelo hub e raio, em que o firewall está em sua própria rede virtual. Os servidores de carga de trabalho estão em redes virtuais emparelhadas na mesma região com uma ou mais sub-redes.

Neste artigo, você aprenderá como:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall básico e uma política de firewall básica
  • Criar uma rota padrão
  • Configurar uma regra de aplicativo para permitir o acesso ao www.google.com
  • Configurar uma regra de rede para permitir o acesso a servidores DNS externos
  • Configurar uma regra NAT para permitir uma área de trabalho remota para o servidor de teste
  • Testar o firewall

Se preferir, você pode concluir este procedimento usando o Azure PowerShell.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para o tutorial.

  1. Entre no portal do Azure.

  2. Pesquise e selecione Grupos de recursos e selecione Criar.

  3. Digite ou selecione os valores a seguir:

    Configurações Value
    Subscription Selecione sua assinatura.
    Nome do grupo de recursos Insira Test-FW-RG.
    Região Selecione uma região. Todos os outros recursos criados devem estar na mesma região.

  4. Selecione Examinar + Criar e, em seguida, selecione Criar.

Implantar o firewall e a política

Implante o firewall e crie a infraestrutura de rede associada.

  1. No menu do portal do Azure ou no painel Página Inicial , selecione Criar um recurso.

  2. Digite firewall na caixa de pesquisa e pressione Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Em Criar um Firewall, insira ou selecione os seguintes valores:

    Configurações Value
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione Test-FW-RG.
    Nome Acesse Test-FW01.
    Região Selecione o mesmo local que você usou anteriormente.
    Camada de firewall Basic
    Gerenciamento do firewall Usar uma política de firewall para gerenciar esse firewall
    Política de firewall Selecione Adicionar nova. Insira fw-test-pol, selecione sua região e confirme que o nível de política está definido como Basic.
    Escolher uma rede virtual Selecione Criar novo. Insira Test-FW-VN para o nome , 10.0.0.0/16 para o espaço de endereço e 10.0.0.0/26 para o espaço de endereço da sub-rede.
    Endereço IP público Selecione Adicionar novo e insira fw-pip para o nome.
    Gerenciamento – Espaço de endereço de sub-rede 10.0.1.0/26
    Endereço IP público para gerenciamento Selecione Adicionar novo e insira fw-mgmt-pip para o nome.

  5. Aceite os outros valores padrão e selecione Examinar + criar.

  6. Examine o resumo e selecione Criar para criar o firewall.

    A implantação leva alguns minutos.

  7. Após a conclusão da implantação, vá para o grupo de recursos Test-FW-RG e selecione o firewall Test-FW01 .

  8. Observe os endereços IP privados e públicos do firewall (fw-pip). Você usará esses endereços mais tarde.

Criar uma sub-rede para o servidor de carga de trabalho

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Vá para o grupo de recursos Test-FW-RG e selecione a rede virtual Test-FW-VN .
  2. Selecione Sub-redes e, em seguida, selecione + Sub-rede.
  3. Para o nome da sub-rede, insira Workload-SN. Para o intervalo de endereços de sub-rede, insira 10.0.2.0/24.
  4. Clique em Salvar.

Criar uma máquina virtual

Crie a máquina virtual de carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou Página Inicial, selecione Criar um recurso.

  2. Selecione o Windows Server 2019 Datacenter.

  3. Insira os seguintes valores para a máquina virtual:

    Configurações Value
    Grupo de recursos Test-FW-RG
    Nome da máquina virtual Srv-Work
    Região O mesmo que anterior
    Imagem Windows Server 2019 Datacenter
    Nome de usuário do administrador Digite um nome de usuário
    Senha Digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os padrões na guia Discos e selecione Avançar: Rede.

  6. Em Rede virtual, selecione Test-FW-VN. Para Sub-rede, selecione Workload-SN. Para IP público, selecione Nenhum.

  7. Aceite os padrões por meio do Gerenciamento e, na guia Monitoramento , selecione Desabilitar para diagnóstico de inicialização. Selecione Examinar + Criar e, em seguida, selecione Criar.

  8. Após a conclusão da implantação, selecione o recurso Srv-Work e anote o endereço IP privado para uso posterior.

Criar uma rota padrão

Para a sub-rede Workload-SN, configure a rota padrão de saída para passar pelo firewall.

  1. Pesquise e selecione Tabelas de rotas e, em seguida, selecione Criar.

  2. Digite ou selecione os valores a seguir:

    Configurações Value
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione Test-FW-RG.
    Região Selecione o mesmo local que você usou anteriormente.
    Nome Insira Firewall-route.

  3. Selecione Examinar + Criar e, em seguida, selecione Criar. Quando a implantação for concluída, selecione Ir para o recurso.

  4. Na página Rota do Firewall , selecione Sub-redes e, em seguida, selecione Associar.

  5. Selecione rede virtual>Test-FW-VN. Para Sub-rede, selecione Workload-SN.

    Importante

    Selecione apenas a sub-rede Workload-SN para essa rota, caso contrário, o firewall não funcionará corretamente.

  6. Selecione OK.

  7. Selecione Rotas e, em seguida, Adicionar. Digite ou selecione os valores a seguir:

    Configurações Value
    Nome da rota fw-dg
    Prefixo de endereço de destino Endereços IP
    Endereços IP de destino/intervalos de CIDR 0.0.0.0/0
    Tipo do próximo salto Dispositivo virtual (o Firewall do Azure é um serviço gerenciado, mas a solução de virtualização funciona aqui.)
    Endereço do próximo salto O endereço IP privado do firewall que você anotou anteriormente.

  8. Selecione Adicionar.

Configurar uma regra de aplicativo

Esta regra de aplicativo concede acesso de saída para www.google.com.

  1. Abra Test-FW-RG e selecione a política de firewall fw-test-pol .

  2. Selecione regras de aplicativo e, em seguida, selecione Adicionar uma coleção de regras.

  3. Digite ou selecione os valores a seguir:

    Configurações Value
    Nome App-Coll01
    Prioridade 200
    Ação da coleção de regras Permitir

  4. Em Regras, insira ou selecione os seguintes valores:

    Configurações Value
    Nome Allow-Google
    Tipo de origem Endereço IP
    Fonte 10.0.2.0/24
    Protocolo:porta http, https
    Tipo de destino FQDN
    Destino www.google.com

  5. Selecione Adicionar.

O Firewall do Azure inclui uma coleção de regras internas para FQDNs de infraestrutura que têm permissão por padrão. Esses FQDNs são específicos para a plataforma e você não pode usá-los para outras finalidades. Para saber mais, veja FQDNs de infraestrutura.

Configurar uma regra de rede

Essa regra de rede concede acesso de saída a dois endereços IP na porta 53 (DNS).

  1. Selecione regras de rede e, em seguida, selecione Adicionar uma coleção de regras.

  2. Digite ou selecione os valores a seguir:

    Configurações Value
    Nome Net-Coll01
    Prioridade 200
    Ação da coleção de regras Permitir
    Grupo de coleções de regras DefaultNetworkRuleCollectionGroup

  3. Em Regras, insira ou selecione os seguintes valores:

    Configurações Value
    Nome Allow-DNS
    Tipo de origem Endereço IP
    Fonte 10.0.2.0/24
    Protocolo UDP
    Portas de destino 53
    Tipo de destino Endereço IP
    Destino 209.244.0.3,209.244.0.4 (servidores DNS públicos operados pelo Level3)

  4. Selecione Adicionar.

Configurar uma regra DNAT

Essa regra conecta uma área de trabalho remota à máquina virtual Srv-Work por meio do firewall.

  1. Selecione regras DNAT e, em seguida, selecione Adicionar uma coleção de regras.

  2. Digite ou selecione os valores a seguir:

    Configurações Value
    Nome rdp
    Prioridade 200
    Grupo de coleções de regras DefaultDnatRuleCollectionGroup

  3. Em Regras, insira ou selecione os seguintes valores:

    Configurações Value
    Nome rdp-nat
    Tipo de origem Endereço IP
    Fonte *
    Protocolo TCP
    Portas de destino 3389
    Tipo de destino Endereço IP
    Destino O endereço IP público do firewall (fw-pip)
    Endereço traduzido O endereço IP privado Srv-Work
    Porta traduzida 3389

  4. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste neste artigo, configure os endereços DNS primários e secundários do servidor. Essa configuração não é um requisito geral do Firewall do Azure.

  1. No portal do Azure, vá para grupos de recursos, no menu ou pesquisando e selecione Test-FW-RG.
  2. Selecione o adaptador de rede para a máquina virtual Srv-Work .
  3. Em Configurações, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Digite 209.244.0.3 a caixa de texto Adicionar servidor DNS e 209.244.0.4 na próxima caixa de texto.
  6. Clique em Salvar.
  7. Reinicie a máquina virtual Srv-Work .

Testar o firewall

Agora teste o firewall para confirmar se ele funciona conforme o esperado.

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall (fw-pip) e entre na máquina virtual Srv-Work .

  2. Abra o Microsoft Edge e navegue até https://www.google.com. Você vê a home page do Google.

  3. Navegue até http://www.microsoft.com.

    O firewall bloqueia você.

Agora você verificou que as regras de firewall estão funcionando:

  • Você pode conectar uma área de trabalho remota à máquina virtual Srv-Work.
  • Você pode navegar para o FQDN permitido, mas não para os outros.
  • Você pode resolver nomes DNS usando o servidor DNS externo configurado.

Limpar os recursos

Você pode manter seus recursos de firewall para testes adicionais. Se você não precisar mais deles, exclua o grupo de recursos Test-FW-RG para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium

  • Last updated on