Compartilhar via

NIC de Gerenciamento de Firewall do Azure

  • Artigo

Observação

Esse recurso era chamado anteriormente de Túnel Forçado. Originalmente, uma NIC de Gerenciamento era necessária apenas para o Túnel Forçado. No entanto, os próximos recursos do Firewall também exigirão uma NIC de Gerenciamento, portanto, ela foi dissociada do Túnel Forçado. Toda a documentação relevante foi atualizada para refletir isso.

Uma NIC de Gerenciamento de Firewall do Azure separa o tráfego de gerenciamento de firewall do tráfego do cliente. Os próximos recursos do Firewall também exigirão uma NIC de Gerenciamento. Para dar suporte a qualquer um desses recursos, você deve criar um Firewall do Azure com a NIC de Gerenciamento de Firewall habilitada ou habilitá-la em um Firewall do Azure existente.

O que acontece quando você habilita a NIC de Gerenciamento

Se você habilitar uma NIC de Gerenciamento, o firewall roteará seu tráfego de gerenciamento por meio do AzureFirewallManagementSubnet (tamanho mínimo da sub-rede /26) com seu endereço IP público associado. Você atribui esse endereço IP público para o firewall para gerenciar o tráfego. Todo o tráfego necessário para fins operacionais de firewall é incorporado ao AzureFirewallManagementSubnet.

Por padrão, o serviço associa uma tabela de rotas fornecida pelo sistema à sub-rede de gerenciamento. A única rota permitida nessa sub-rede é uma padrão para a Internet, e todas as rotas de propagação de gateway devem ser desabilitadas. Evite associar tabelas de rotas do cliente à sub-rede gerenciamento, pois pode causar interrupções de serviço se configurado incorretamente. Se você associar uma tabela de rotas, verifique se ela tem uma rota padrão para a Internet para evitar interrupções de serviço.

Captura de tela mostrando a caixa de diálogo da NIC de gerenciamento de firewall.

Habilitar a NIC de Gerenciamento em firewalls existentes

Para versões de firewall Standard e Premium, a NIC de Gerenciamento de Firewall deve ser habilitada manualmente durante o processo de criação, conforme mostrado anteriormente, mas todas as versões do Firewall Básico e todos os firewalls do Hub Protegido sempre têm uma NIC de Gerenciamento habilitada.

Para um firewall pré-existente, você deve parar o firewall e reiniciá-lo com a NIC de Gerenciamento de Firewall habilitada para dar suporte ao túnel forçado. Parar/iniciar o firewall pode ser usado para habilitar a NIC de Gerenciamento de Firewall sem a necessidade de excluir um firewall existente e reimplantar um novo. Você sempre deve iniciar/parar o firewall durante o horário de manutenção para evitar interrupções, inclusive ao tentar habilitar a NIC de Gerenciamento de Firewall.

Use as seguintes etapas:

  1. Crie o AzureFirewallManagementSubnet no portal do Azure e use o intervalo de endereços IP apropriado para a rede virtual.

    Captura de tela mostrando a adição de uma sub-rede.

  2. Crie o novo endereço IP público de gerenciamento com as mesmas propriedades que o endereço IP público do firewall existente: SKU, Camada e Localização.

    Captura de tela mostrando a criação do endereço IP público.

  3. Parar o firewall

    Use as informações em Perguntas frequentes sobre o Firewall do Azure para parar o firewall:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

  4. Iniciar o firewall com o endereço IP público de gerenciamento e a sub-rede.

    Iniciar um firewall com um endereço IP público e um endereço IP público de gerenciamento:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall

    Iniciar um firewall com dois endereços IP público e um endereço IP público de gerenciamento:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall

    Observação

    Você deve realocar um firewall e o IP público ao grupo de recursos e à assinatura originais. Quando a parada/início é realizada, o endereço de IP privado do firewall pode mudar para um endereço de IP diferente na sub-rede. Isso pode afetar a conectividade das tabelas de rotas configuradas anteriormente.

Agora, ao exibir o firewall no portal do Azure, você verá o endereço IP público de gerenciamento atribuído:

Captura de tela mostrando o firewall com um endereço IP de gerenciamento.

Observação

Se você remover todas as outras configurações de endereço IP no firewall, a configuração de endereço IP de gerenciamento também será removida e o firewall será desalocado. O endereço IP público atribuído à configuração de endereço IP de gerenciamento não pode ser removido, mas você pode atribuir um endereço IP público diferente.

Implantar um Novo Firewall do Azure com NIC de Gerenciamento para Túnel Forçado

Se você preferir implantar um novo Firewall do Azure em vez do método Parar/Iniciar, inclua uma NIC de Gerenciamento e uma Sub-rede de Gerenciamento como parte de sua configuração.

Observação importante

  • Firewall Único por Rede Virtual (VNET): como dois firewalls não podem existir na mesma rede virtual, é recomendável excluir o firewall antigo antes de iniciar a nova implantação se você planeja reutilizar a mesma VNET.
  • Pré-criar Sub-rede: verifique se o AzureFirewallManagementSubnet foi criado com antecedência para evitar problemas de implantação ao usar uma VNET existente.

Pré-requisitos

  • Crie o AzureFirewallManagementSubnet:
    • Tamanho mínimo da sub-rede: /26
    • Exemplo: 10.0.1.0/26

Etapas de Implantação

  1. Acesse Criar um Recurso no Portal do Azure.
  2. Pesquise Firewall e selecione Criar.
  3. Na página Criar um Firewall, configure o seguinte:
    • Assinatura: Selecione sua assinatura.
    • Grupo de Recursos: selecione ou crie um novo grupo de recursos.
    • Nome: insira um nome para o firewall.
    • Região: escolha sua região.
    • SKU do Firewall: selecione Básico, Standard ou Premium.
    • Rede Virtual: crie uma rede virtual nova ou use uma existente.
      • Espaço de endereço: por exemplo, 10.0.0.0/16
      • Sub-rede para AzureFirewallSubnet: por exemplo, 10.0.0.0/26
    • Endereço Público: adicione um novo endereço público
      • Nome: por exemplo, FW-PIP
  4. NIC de Gerenciamento do Firewall
    • Selecione Habilitar NIC de Gerenciamento do Firewall
      • Sub-rede para AzureFirewallManagementSubnet: por exemplo, 10.0.1.0/24
      • Criar endereço IP público de gerenciamento: por exemplo, Mgmt-PIP
  5. Selecione Examinar + Criar para validar e implantar o firewall. Isso leva alguns minutos para ser implantado.

Conteúdo relacionado