Compartilhar via

Tutorial: filtrar o tráfego da Internet ou intranet de entrada com o DNAT da política de Firewall do Azure usando o portal do Azure

  • Artigo

Você pode configurar o DNAT (conversão de endereços de rede de destino) da política de Firewall do Azure para converter e filtrar o tráfego da Internet ou intranet de entrada para as sub-redes. Quando você configura o DNAT, a ação da coleção de regras é definida como DNAT. Cada regra na coleção de regras da NAT pode então ser usada para traduzir o endereço IP público ou privado do firewall e a porta para um endereço IP privado e uma porta. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego convertido. Por motivos de segurança, a abordagem recomendada é adicionar uma fonte específica para permitir o acesso da DNAT à rede e evitar o uso de curingas. Para saber mais sobre a lógica de processamento de regra do Firewall do Azure, confira Lógica de processamento de regra do Firewall no Azure.

Neste tutorial, você aprenderá como:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall e uma política
  • Criar uma rota padrão
  • Configurar uma regra de DNAT
  • Testar o firewall

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Entre no portal do Azure.
  2. Na Página Inicial do portal do Azure, selecione Grupos de recursos e, em seguida, Adicionar.
  3. Em Assinatura, selecione sua assinatura.
  4. Em Nome do grupo de recursos, digite RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os demais recursos criados devem estar na mesma região.
  6. Selecione Examinar + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Neste tutorial, você criará duas redes virtuais emparelhadas:

  • VN-Hub - o firewall está nessa rede virtual.
  • VN-Spoke - o servidor de carga de trabalho está nessa rede virtual.

Primeiro, crie as redes virtuais e, em seguida, emparelhe-as.

Criar a rede virtual do hub

  1. Na página inicial do portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Redes virtuais.

  3. Selecione Adicionar.

  4. Em Grupo de recursos, selecione RG-DNAT-Test.

  5. Em Nome, digite VN-Hub.

  6. Em Região, selecione a mesma região usada antes.

  7. Selecione Avançar: Endereços IP.

  8. Em Espaço de endereço IPv4, aceite o padrão 10.0.0.0/16.

  9. Em Nome da sub-rede, selecione padrão.

  10. Edite o nome da sub-rede e digite AzureFirewallSubnet.

    O firewall estará nessa sub-rede e o nome da sub-rede precisa ser AzureFirewallSubnet.

    Observação

    O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, confira Perguntas frequentes sobre o Firewall do Azure.

  11. Em Intervalo de endereços da sub-rede, digite 10.0.1.0/26.

  12. Clique em Salvar.

  13. Selecione Examinar + criar.

  14. Selecione Criar.

Criar uma rede virtual do spoke

  1. Na página inicial do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Adicionar.
  4. Em Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, digite VN-Spoke.
  6. Em Região, selecione a mesma região usada antes.
  7. Selecione Avançar: Endereços IP.
  8. Em Espaço de endereço IPv4, edite o padrão e digite 192.168.0.0/16.
  9. Selecione Adicionar sub-rede.
  10. Em Nome da sub-rede, digite SN-Workload.
  11. Em Intervalo de endereços da sub-rede, digite 192.168.1.0/24.
  12. Selecione Adicionar.
  13. Selecione Examinar + criar.
  14. Selecione Criar.

Emparelhar as redes virtuais

Agora, emparelhe as duas redes virtuais.

  1. Selecione a rede virtual VN-Hub.
  2. Em Configurações, selecione Emparelhamentos.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, em Nome do link de emparelhamento, digite Peer-HubSpoke.
  5. Em Rede virtual remota, em Nome do link de emparelhamento, digite Peer-SpokeHub.
  6. Escolha VN-Spoke para a rede virtual.
  7. Aceite todos os outros padrões e, em seguida, selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Popular, selecione Windows Server 2016 Datacenter.

Noções básicas

  1. Em Assinatura, selecione sua assinatura.
  2. Em Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, digite Srv-Workload.
  4. Em Região, selecione a mesma localização usada anteriormente.
  5. Digite um nome de usuário e uma senha.
  6. Selecione Avançar: Discos.

Discos

  1. Selecione Avançar: Rede.

Rede

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, escolha SN-Workload.
  3. Em IP Público, selecione Nenhum.
  4. Em Portas de entrada públicas, selecione Nenhuma.
  5. Mantenha as outras configurações padrão e selecione Avançar: Gerenciamento.

Gerenciamento

  1. Em Diagnóstico de inicialização, selecione Desabilitar.
  2. Selecione Examinar + criar.

Examinar + Criar

Examine o resumo e, em seguida, selecione Criar. Isso levará alguns minutos para ser concluído.

Após a conclusão da implantação, observe o endereço IP privado da máquina virtual. Ele será usado mais tarde ao configurar o firewall. Selecione o nome da máquina virtual e, em Configurações, selecione Rede para encontrar o endereço IP privado.

Implantar o firewall e a política

  1. Na página inicial do portal, selecione Criar um recurso.

  2. Pesquise Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar um Firewall, use a tabela abaixo para configurar o firewall:

    Configuração Valor
    Subscription <sua assinatura>
    Resource group Selecione RG-DNAT-Test
    Name FW-DNAT-test
    Região Selecionar o mesmo local usado anteriormente
    Gerenciamento do firewall Usar uma política de firewall para gerenciar este firewall
    Política de firewall Adicionar nova:
    fw-dnat-pol
    a região selecionada
    Escolher uma rede virtual Usar existente: VN-Hub
    Endereço IP público Adicionar novo, Nome: fw-pip.

  5. Aceite os outros padrões e selecione Revisar + criar.

  6. Examine o resumo e selecione Criar para criar o firewall.

    Isso leva alguns minutos para ser implantado.

  7. Depois que a implantação for concluída, acesse o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test.

  8. Anote os endereços IP públicos e privados do firewall. Você os usará posteriormente quando criar a regra padrão de rota e NAT.

Criar uma rota padrão

Para a sub-rede SN-Workload, configure a rota de saída padrão para atravessar o firewall.

Importante

Você não precisa configurar uma rota explícita de volta para o firewall na sub-rede de destino. O Firewall do Azure é um serviço com estado e lida com os pacotes e sessões automaticamente. Se você criar essa rota, criará um ambiente de roteamento assimétrico que interrompe a lógica de sessão com estado e resulta em conexões e pacotes removidos.

  1. Na página inicial do portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Tabelas de rotas.

  3. Selecione Adicionar.

  4. Em Assinatura, selecione sua assinatura.

  5. Em Grupo de recursos, selecione RG-DNAT-Test.

  6. Em Região, selecione a mesma região usada anteriormente.

  7. Em Nome, digite RT-FW-route.

  8. Selecione Examinar + criar.

  9. Selecione Criar.

  10. Selecione Ir para o recurso.

  11. Selecione Sub-redes e, em seguida, Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, escolha SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, Adicionar.

  16. Para Nome da rota, digite fw-dg.

  17. Em Prefixo de endereço, digite 0.0.0.0/0.

  18. Em Tipo do próximo salto, selecione Solução de virtualização .

    O Firewall do Azure é, na verdade, um serviço gerenciado, mas a solução de virtualização funciona nessa situação.

  19. Em endereço do próximo salto, digite o endereço IP privado do firewall anotado anteriormente.

  20. Selecione OK.

Configurar uma regra NAT

Essa regra permite que você conecte uma área de trabalho remota à máquina virtual Srv-Workload por meio do firewall.

  1. Abra o grupo de recursos RG-DNAT-Test e selecione o a política de firewall fw-dnat-pol.
  2. Em Configurações, selecione Regras DNAT.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, digite rdp.
  5. Digite 200 em Prioridade.
  6. Em Grupo de coleta de regra, selecione DefaultDnatRuleCollectionGroup.
  7. Em Regras, para Nome, digite rdp-nat.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, digite *.
  10. Em Protocolo, selecione TCP.
  11. Em Portas de Destino, digite 3389.
  12. Para Tipo de Destino, selecione Endereço IP.
  13. Em Destino, digite o endereço IP público ou privado do firewall.
  14. Em Endereço convertido, digite o endereço IP privado do Srv-Workload.
  15. Para Porta traduzida, digite 3389.
  16. Selecione Adicionar.

Testar o firewall

  1. Conecte uma área de trabalho remota ao endereço IP público do firewall. Você deve estar conectado à máquina virtual Srv-Workload.
  2. Feche a área de trabalho remota.

Limpar recursos

Você pode manter seus recursos de firewall para o próximo tutorial ou, se não forem mais necessários, exclua o grupo de recursos RG-DNAT-Test para excluir todos os recursos relacionados ao firewall.

Próximas etapas

Implantar e configurar o Firewall do Azure Premium