Exercício – Trace a rota do tráfego de rede pelo Firewall do Azure
No exercício anterior, você implantou o Firewall do Azure. Agora você precisa traçar a rota de todo o tráfego de rede pelo firewall e filtrar o tráfego usando as regras de firewall. Ao terminar, o Firewall do Azure protegerá o tráfego de rede de saída para a Área de Trabalho Virtual do Azure.
Traçar a rota de todo o tráfego pelo firewall
Para a sub-rede que o pool de host usa, configure a rota de saída padrão para percorrer o firewall. Você concluirá as três etapas seguintes:
- Crie uma tabela de rotas no mesmo grupo de recursos que as VMs e o firewall do pool de host.
- Associe a tabela de rotas à sub-rede usada por suas VMs do pool de host.
- Na tabela de rotas, adicione a rota para o firewall.
Depois de concluir essas etapas, todo o tráfego será roteado para o Firewall do Azure.
Criar tabela de rotas
Primeiro, você criará uma tabela de rotas chamada firewall-route.
No portal do Azure, pesquise e selecione Tabelas de rotas.
Selecione + Criar.
Use os seguintes valores:
Campo Valor Subscription Sua assinatura Resource group learn-firewall-rg Região Selecione o mesmo local que você usou anteriormente. Nome firewall-route 
Selecione Examinar + criar>Criar.
Após a implantação ser concluída, selecione Ir para o recurso.
Associar a tabela de rotas à sub-rede da carga de trabalho
Agora, você associará a firewall-route à sub-rede do pool de host.
Em firewall-route, em Configurações, selecione Sub-redes.
Selecione + Associar.
Selecione os seguintes valores:
Campo Valor Rede virtual hostVNet Sub-rede hostSubnet Selecione OK e aguarde até que a associação seja adicionada.
Adicionar rota à tabela de rotas
A última etapa é adicionar uma rota à tabela de rotas do Firewall do Azure. Depois de concluir esta etapa, todo o tráfego de rede da rede virtual do pool de host será roteado para atravessar o Firewall do Azure.
Em Configurações, selecione Rotas.
Selecione + Adicionar.
Insira os valores a seguir:
Campo Valor Nome da rota fw-rt Tipo de destino Endereços IP Intervalos de CIDR /endereço IP de destino 0.0.0.0/0 Tipo do próximo salto Solução de virtualização Endereço do próximo salto Cole o endereço IP privado do Firewall da unidade de exercícios anterior. Isso pode ser encontrado na página do seu Firewall, listado como IP privado do Firewall. 
Selecione Adicionar.
Criar uma coleção de regras de aplicativo
Por padrão, o firewall nega o acesso a tudo, ou seja, você precisa configurar as condições sob as quais o tráfego é permitido por meio do firewall.
Crie uma coleção de regras de aplicativo com regras para permitir o acesso da Área de Trabalho Virtual do Azure a vários FQDNs (nomes de domínio totalmente qualificados).
No portal do Azure, pesquise e selecione Firewalls.
Selecione o firewall learn-fw.
Em Configurações, selecione Regras (clássico).
Selecione a guia Coleção de regras de aplicativo e escolha Adicionar coleção de regras de aplicativo.
Insira as seguintes informações:
Campo Valor Nome app-coll01 Prioridade 200 Ação Allow Em Regras, na seção marcas FQDNs, insira as seguintes informações:
Campo Valor Nome allow-virtual-desktop Tipo de origem Endereço IP Fonte Espaço de endereço para hostVNet, como 10.0.0.0/16 Marcas de FQDN Área de Trabalho Virtual do Windows Em Regras, na seção FQDNs de destino, insira as seguintes informações:
Campo Valor Nome allow-storage-service-bus-accounts Tipo de origem Endereço IP Fonte Espaço de endereço para hostVNet, como 10.0.0.0/16 Protocolo:Porta HTTPS FQDNs de destino *xt.blob.core.windows.net,*eh.servicebus.windows.net,*xt.table.core.windows.netAo terminar, o formulário estará parecido com a seguinte imagem:
Selecione Adicionar.
Criar uma coleção de regras de rede
Digamos que o nosso cenário use o Microsoft Entra Domain Services (Microsoft Entra Domain Services), portanto você não precisa criar uma regra de rede para permitir o DNS. No entanto, você precisa criar uma regra para permitir o tráfego das suas VMs da Área de Trabalho Virtual do Azure para o serviço de ativação do Windows. Para que a nossa regra de rede permita KMS (Serviços de Gerenciamento de Chaves), use o endereço IP de destino do servidor KMS para a nuvem global do Azure.
Em learn-fw>Regras (clássicas), selecione Coleção de regras de rede.
Selecione a guia Coleção de regras de rede e escolha Adicionar coleção de regras de rede.
Insira as seguintes informações:
Campo Valor Nome net-coll01 Prioridade 200 Ação Allow Em Regras, na seção Endereços IP, insira as seguintes informações:
Campo Valor Nome allow-kms Protocolo TCP Tipo de origem Endereço IP Fonte Espaço de endereço para hostVNet, como 10.0.0.0/16 Tipo de destino Endereço IP Endereço de destino 23.102.135.246 Portas de destino 1688 Ao terminar, o formulário estará parecido com a seguinte imagem:
Selecione Adicionar.
Verificar seu trabalho
Neste ponto, você já roteou todo o tráfego de rede para a Área de Trabalho Virtual do Azure pelo firewall. Vamos verificar se o firewall está funcionando conforme o esperado. O tráfego de rede de saída do pool de host deve passar pelo filtro do firewall até chegar no serviço da Área de Trabalho Virtual do Azure. Você pode verificar se o firewall permite tráfego pelo serviço verificando o status dos componentes de serviço.
No Azure Cloud Shell, execute o seguinte comando:
"rdgateway", "rdbroker","rdweb"|% ` {Invoke-RestMethod -Method:Get ` -Uri https://$_.wvd.microsoft.com/api/health}|ft ` -Property Health,TimeStamp,ClusterUrlVocê obterá algo semelhante aos seguintes resultados, em que os três serviços de componentes estão listados como íntegros:
Health TimeStamp ClusterUrl ------ --------- ---------- RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/ RDBroker is Healthy 7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/ RDWeb is Healthy 7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/Se um ou mais dos componentes não estiverem íntegros, significa que o firewall não estará funcionando conforme o esperado.