Compartilhar via

Tutorial: Proteger seu hub virtual usando o Gerenciador de Firewall do Azure

  • Artigo

Com o Gerenciador de Firewall do Azure, é possível criar hubs virtuais seguros para proteger o tráfego de rede na nuvem destinado a endereços IP privados, PaaS do Azure e à Internet. O roteamento de tráfego para o firewall é automatizado, ou seja, não é necessário criar UDRs (rotas definidas pelo usuário).

O Gerenciador de Firewall também dá suporte à arquitetura de rede virtual de um hub. Para obter uma comparação dos tipos de arquitetura de rede virtual de hub e hub virtual seguro, confira quais são as opções de arquitetura do Gerenciador de Firewall do Azure?

Neste tutorial, você aprenderá como:

  • Criar a rede virtual spoke
  • Criar um hub virtual seguro
  • Conectar as redes virtuais hub e spoke
  • Rotear o tráfego para o seu hub
  • Implantar os servidores
  • Criar uma política de firewall e proteger seu hub
  • Testar o firewall

Importante

O procedimento neste tutorial usa o Gerenciador de Firewall do Azure para criar um novo hub seguro de WAN Virtual do Azure. Você pode usar o Gerenciador de Firewall para atualizar um hub existente, mas não pode configurar as Zonas de Disponibilidade do Azure para Firewall do Azure. Também é possível converter um hub existente em um hub seguro usando o portal do Azure, conforme descrito em Configurar o Firewall do Azure em um hub de WAN Virtual. Mas, como Gerenciador de Firewall do Azure, não é possível configurar Zonas de Disponibilidade. Para atualizar um hub existente e especificar as Zonas de Disponibilidade do Firewall do Azure (recomendado), você deve seguir o procedimento de atualização no Tutorial: Proteger seu hub virtual usando o Azure PowerShell.

Diagrama mostrando a rede de nuvem segura.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar uma arquitetura de hub e spoke

Primeiro, crie uma redes virtuais spoke nas quais você pode colocar seus servidores.

Criar duas redes virtuais spoke e sub-redes

Cada uma das duas redes virtuais tem um servidor de carga de trabalho e é protegida pelo firewall.

  1. Na página inicial do portal do Azure, selecione Criar um recurso.

  2. Procure Rede virtual, selecione-a e selecione Criar.

  3. Criar uma rede virtual com as seguintes configurações:

    Configuração Valor
    Subscription Selecionar sua assinatura
    Grupo de recursos Selecione Criar novo, e digite fw-manager-rg como nome e selecione OK
    Nome da rede virtual Spoke-01
    Região Leste dos EUA

  4. Selecione Avançar e, em seguida, selecione Avançar.

  5. Na guia Rede, crie uma sub-rede com as seguintes configurações:

    Configuração Valor
    Adicionar o espaço de endereço IPv4 10.0.0.0/16 (padrão)
    Sub-redes padrão
    Nome Workload-01-SN
    Endereço inicial 10.0.1.0/24

  6. Selecione Salvar, Revisar + criar e, em seguida, selecione Criar.

Repita este procedimento para criar outra rede virtual semelhante no grupo de recursos fw-manager-rg:

Configuração Valor
Nome Spoke-02
Espaço de endereço 10.1.0.0/16
Nome da sub-rede Workload-02-SN
Endereço inicial 10.1.1.0/24

Criar o hub virtual seguro

Crie seu hub virtual seguro usando o Gerenciador de Firewall.

  1. Na página inicial do portal do Azure, selecione Todos os serviços.

  2. Na caixa de pesquisa, digite Gerenciador de Firewall e selecione Gerenciador de Firewall.

  3. Na página Gerenciador de Firewall em Implantações, selecione Hubs virtuais.

  4. Na página Gerenciador de Firewall | Hubs virtuais, escolha Criar hub virtual seguro.

  5. Na página Criar novo hub virtual seguro, insira as seguintes informações:

    Configuração Valor
    Subscription Selecione sua assinatura.
    Resource group Selecione fw-manager-rg
    Região Leste dos EUA
    Nome do hub virtual seguro Hub-01
    Espaço de endereço do hub 10.2.0.0/16

  6. Selecione Nova vWAN.

    Configuração Valor
    Nome da WAN Virtual Vwan-01
    Tipo Standard
    Inclua o Gateway de VPN para habilitar os Parceiros de Segurança Confiáveis Deixe a caixa de seleção desmarcada.

  7. Selecione Avançar: Firewall do Azure.

  8. Aceite a configuração padrão Habilitado do Firewall do Azure.

  9. Em Camada do Firewall do Azure, selecione Standard.

  10. Selecione a combinação desejada de Zonas de Disponibilidade.

    Importante

    Uma WAN Virtual é uma coleção de hubs e serviços disponibilizados dentro do Hub. Você pode implantar a quantidade necessária de WANs Virtuais. Em um hub de WAN Virtual, há vários serviços como VPN, ExpressRoute e assim por diante. Cada um desses serviços será implantado automaticamente nas Zonas de Disponibilidade, exceto o Firewall do Azure, se a região der suporte a Zonas de Disponibilidade. Para alinhar-se à resiliência de WAN Virtual do Azure, selecione todas as Zonas de Disponibilidade disponíveis.

  11. Digite 1 na caixa de texto Especificar número de endereços IP públicos ou associe um endereço IP público existente (versão prévia) a esse firewall.

  12. Em Política de Firewall verifique se a Política de Negação Padrão está selecionada. Você refina as configurações mais adiante neste artigo.

  13. Selecione Avançar: Provedor de Parceiro de Segurança.

  14. Aceite a configuração padrão Desabilitado do Parceiro de Segurança Confiável e selecione Próximo: Revisar + criar.

  15. Selecione Criar.

Observação

Pode levar até 30 minutos para criar um hub virtual seguro.

Você poderá obter o endereço IP público do firewall após a conclusão da implantação.

  1. Abra Gerenciador de Firewall.
  2. Selecione Hubs virtuais.
  3. Selecione hub-01.
  4. Selecione AzureFirewall_Hub-01.
  5. Anote o endereço IP público para usar depois.

Conectar as redes virtuais hub e spoke

Agora você pode emparelhar as redes virtuais hub e spoke.

  1. Escolha o grupo de recursos fw-manager-rg e selecione a WAN Virtual Vwan-01.

  2. Em Conectividade, selecione Conexões de rede virtual.

    Configuração Valor
    Nome da conexão hub-spoke-01
    Hubs Hub-01
    Grupo de recursos fw-manager-rg
    Rede virtual Spoke-01

  3. Selecione Criar.

  4. Repita as etapas anteriores para conectar a rede virtual Spoke-02 com as seguintes configurações:

    Configuração Valor
    Nome da conexão hub-spoke-02
    Hubs Hub-01
    Grupo de recursos fw-manager-rg
    Rede virtual Spoke-02

Implantar os servidores

  1. No portal do Azure, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter na lista Popular.

  3. Insira esses valores para a máquina virtual:

    Configuração Valor
    Resource group fw-manager-rg
    Nome da máquina virtual Srv-workload-01
    Região (EUA) Leste dos EUA
    Nome de usuário administrador digite um nome de usuário
    Senha digite uma senha

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite os outros padrões e selecione Próximo: Discos.

  6. Aceite os padrões de disco e selecione Avançar: Rede.

  7. Selecione Spoke-01 para a rede virtual e selecione Workload-01-SN para a sub-rede.

  8. Em IP Público, selecione Nenhum.

  9. Aceite os outros padrões e selecione Próximo: Gerenciamento.

  10. Selecione Avançar: Monitoramento.

  11. Selecione Desabilitar para desabilitar o diagnóstico de inicialização.

  12. Aceite os outros padrões e selecione Examinar + criar.

  13. Examine as configurações na página de resumo e, em seguida, selecione Criar.

Use as informações na tabela a seguir para definir outra máquina virtual chamada Srv-Workload-02. O restante da configuração é o mesmo da máquina virtual Srv-workload-01.

Configuração Valor
Rede virtual Spoke-02
Sub-rede Workload-02-SN

Depois que os servidores forem implantados, selecione um recurso de servidor e, em Rede, anote o endereço IP privado de cada servidor.

Criar uma política de firewall e proteger seu hub

Uma política de firewall define coleções de regras para direcionar o tráfego em um ou mais hubs virtuais seguros. Você criará uma política de firewall e protegerá seu hub.

  1. No Gerenciador de Firewall, selecione Políticas do Firewall do Azure.

  2. Selecione Criar uma Política de Firewall do Azure.

  3. Em Grupo de recursos, selecione fw-manager-rg.

  4. Em Detalhes da política, para Nome, digite Policy-01 e para Região selecione Leste dos EUA.

  5. Em Camada da política, selecione Standard.

  6. Selecione Avançar: Configurações de DNS.

  7. Escolha Avançar: Inspeção do TLS.

  8. Selecione Avançar: Regras.

  9. Na guia Regras, selecione Adicionar a coleção de regras.

  10. Na página Adicionar uma coleção de regras, insira as seguintes informações.

    Configuração Valor
    Nome App-RC-01
    Tipo de coleção de regras Aplicativo
    Prioridade 100
    Ação da coleção de regras Permitir
    Nome da regra Allow-msft
    Tipo de origem Endereço IP
    Origem *
    Protocolo http,https
    Tipo de destino FQDN
    Destino *.microsoft.com

  11. Selecione Adicionar.

  12. Adicione uma regra DNAT para que você possa conectar uma Área de Trabalho Remota à máquina virtual Srv-Workload-01.

  13. Selecione Adicionar uma coleção de regras e insira as seguintes informações.

    Configuração Valor
    Nome dnat-rdp
    Tipo de coleção de regras DNAT
    Prioridade 100
    Nome da regra Allow-rdp
    Tipo de origem Endereço IP
    Origem *
    Protocolo TCP
    Portas de Destino 3389
    Destino O endereço IP público do firewall mencionado anteriormente.
    Tipo após a conversão Endereço IP
    Endereço traduzido O endereço IP privado para Srv-Workload-01 anotado anteriormente.
    Porta traduzida 3389

  14. Selecione Adicionar.

  15. Adicione uma regra de rede para que você possa conectar uma Área de Trabalho Remota de Srv-Workload-01 para Srv-Workload-02.

  16. Selecione Adicionar uma coleção de regras e insira as seguintes informações.

    Configuração Valor
    Nome vnet-rdp
    Tipo de coleção de regras Rede
    Prioridade 100
    Ação da coleção de regras Permitir
    Nome da regra Allow-vnet
    Tipo de origem Endereço IP
    Origem *
    Protocolo TCP
    Portas de Destino 3389
    Tipo de destino Endereço IP
    Destino O endereço IP privado Srv-Workload-02 que você anotou anteriormente.

  17. Selecione Adicionar e depois selecione Avançar: IDPS.

  18. Na página IDPS, escolha Avançar: Inteligência contra Ameaças

  19. Na página Inteligência contra Ameaças, aceite os padrões e escolha Revisar e Criar:

  20. Revise-os para confirmar a seleção e escolha Criar.

Associar a política

Associe a política de firewall ao hub.

  1. No Gerenciador de Firewall, selecione Políticas de Firewall do Azure.
  2. Marque a caixa de seleção de Policy-01.
  3. Selecione Gerenciar associações e Associar hubs.
  4. Selecione hub-01.
  5. Selecione Adicionar.

Rotear o tráfego para o seu hub

Agora, você deve verificar se o tráfego de rede é roteado por meio do firewall.

  1. No Gerenciador de Firewall, escolha Hubs virtuais.

  2. Selecione Hub-01.

  3. Em Configurações, escolha Configuração de segurança.

  4. Em Tráfego da Internet, selecione Firewall do Azure.

  5. Em Tráfego privado, selecione Enviar por meio do Firewall do Azure.

    Observação

    Se você estiver usando intervalos de endereços IP públicos para redes privadas em uma rede virtual ou em uma ramificação local, precisará especificar explicitamente esses prefixos de endereço IP. Selecione a seção Prefixos de tráfego privado e adicione-os ao lado dos prefixos de endereço RFC1918.

  6. Em Entre hubs, selecione Habilitado para habilitar o recurso de intenção de roteamento da WAN Virtual. A intenção de roteamento é o mecanismo por meio do qual você pode configurar a WAN Virtual para rotear o tráfego de branch para branch (local para local) por meio do Firewall do Azure implantado no Hub da WAN Virtual. Para obter mais informações sobre pré-requisitos e considerações associadas ao recurso de intenção de roteamento, confira Documentação da intenção de roteamento.

  7. Selecione Salvar.

  8. Escolha OK na caixa de diálogo Aviso.

  9. Selecione OK no diálogo Migrar para usar entre hubs.

    Observação

    São necessários alguns minutos para que as tabelas de rotas sejam atualizadas.

  10. Verifique se as duas conexões mostram que o Firewall do Azure protege o tráfego da Internet e privado.

Testar o firewall

Para testar as regras de firewall, conecte uma área de trabalho remota usando o endereço IP público do firewall, que é NATed para Srv-Workload-01. A partir daí, use um navegador para testar a regra do aplicativo e conectar uma área de trabalho remota a Srv-Workload-02 para testar a regra de rede.

Testar a regra de aplicativo

Agora, teste as regras de firewall para confirmar se elas funcionam conforme o esperado.

  1. Conecte uma Área de Trabalho Remota ao endereço IP público do firewall e entre.

  2. Abra o Internet Explorer e navegue até https://www.microsoft.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Você deve ver a página inicial da Microsoft.

  4. Navegue até https://www.google.com.

    O firewall deve bloquear isso.

Agora que você verificou se a regra de aplicativo de firewall está funcionando:

  • Você pode navegar para o FQDN permitido, mas não para os outros.

Testar a regra de rede

Agora teste a regra de rede.

  • Em Srv-Workload-01, abra uma Área de Trabalho Remota para o endereço IP privado de Srv-Workload-02.

    Uma Área de Trabalho Remota deve se conectar a Srv-Workload-02.

Agora que você verificou se a regra de rede de firewall está funcionando:

  • Você pode conectar uma Área de Trabalho Remota a um servidor localizado em outra rede virtual.

Limpar os recursos

Quando terminar de testar seus recursos de firewall, exclua o grupo de recursos fw-manager-rg para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Saiba mais sobre parceiros de segurança confiáveis