Partilhar via

Tutorial: Proteger sua rede virtual de hub usando o Gerenciador de Firewall do Azure

  • Artigo

Quando liga a sua rede local a uma rede virtual do Azure para criar uma rede híbrida, a capacidade de controlar o acesso aos seus recursos de rede do Azure é uma parte importante de um plano de segurança global.

Usando o Gerenciador de Firewall do Azure, você pode criar uma rede virtual de hub para proteger o tráfego de rede híbrida destinado a endereços IP privados, PaaS do Azure e à Internet. Pode utilizar o Azure Firewall Manager para controlar o acesso à rede numa rede híbrida ao utilizar políticas que definem o tráfego de rede permitido e negado.

O Firewall Manager também suporta uma arquitetura de hub virtual segura. Para obter uma comparação dos tipos de arquitetura de rede virtual segura de hub e hub, consulte Quais são as opções de arquitetura do Azure Firewall Manager?

Para este tutorial, você cria três redes virtuais:

  • VNet-Hub - o firewall está nesta rede virtual.
  • VNet-Spoke - a rede virtual spoke representa a carga de trabalho localizada no Azure.
  • VNet-Onprem - A rede virtual local representa uma rede local. Em uma implantação real, ele pode ser conectado usando uma conexão VPN ou ExpressRoute. Para simplificar, este tutorial usa uma conexão de gateway VPN e uma rede virtual localizada no Azure é usada para representar uma rede local.

Diagrama de uma rede híbrida de hub do Gerenciador de Firewall do Azure.

Neste tutorial, irá aprender a:

  • Criar uma política de firewall
  • Criar as redes virtuais
  • Configurar e implementar a firewall
  • Criar e ligar os gateways de VPN
  • Peer o hub e redes virtuais spoke
  • Criar as rotas
  • Criar as máquinas virtuais
  • Testar a firewall

Pré-requisitos

Uma rede híbrida usa o modelo de arquitetura hub-and-spoke para rotear o tráfego entre as redes virtuais do Azure e as redes locais. A arquitetura hub-and-spoke tem os seguintes requisitos:

  • Para rotear o tráfego de sub-rede spoke através do firewall do hub, você precisa de uma rota definida pelo usuário (UDR) que aponte para o firewall com a configuração de propagação de rota do gateway de rede virtual desabilitada. Esta opção impede a distribuição de rotas para as sub-redes faladas. Isso evita que as rotas aprendidas entrem em conflito com seu UDR.
  • Configure um UDR na sub-rede do gateway de hub que aponte para o endereço IP do firewall como o próximo salto para as redes spoke. Nenhuma UDR é necessária na sub-rede do Firewall do Azure, pois ela aprende rotas do BGP.

Veja a secção Criar Rotas neste tutorial para perceber como estas rotas são criadas.

Nota

O Azure Firewall tem de ter conectividade Internet direta. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deverá substituí-la por uma UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

O Firewall do Azure pode ser configurado para dar suporte ao túnel forçado. Para obter mais informações, veja Túnel forçado do Azure Firewall.

Nota

O tráfego entre VNets emparelhadas diretamente é roteado diretamente, mesmo que um UDR aponte para o Firewall do Azure como o gateway padrão. Para enviar tráfego de sub-rede para sub-rede para o firewall nesse cenário, um UDR deve conter o prefixo de rede de sub-rede de destino explicitamente em ambas as sub-redes.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar uma política de firewall

  1. Inicie sessão no portal do Azure.

  2. Na barra de pesquisa do portal do Azure, digite Firewall Manager e pressione Enter.

  3. Na página Gerenciador de Firewall do Azure, em Segurança, selecione Políticas de Firewall do Azure.

    Captura de ecrã a mostrar a página principal do Firewall Manager.

  4. Selecione Criar Política de Firewall do Azure.

  5. Selecione sua assinatura e, para Grupo de recursos, selecione Criar novo e crie um grupo de recursos chamado FW-Hybrid-Test.

  6. Para o nome da política, digite Pol-Net01.

  7. Em Região, selecione Leste dos EUA.

  8. Selecione Avançar : Configurações de DNS.

  9. Selecione Próximo : Inspeção TLS

  10. Selecione Next:Rules.

  11. Selecione Adicionar uma coleção de regras.

  12. Em Nome, digite RCNet01.

  13. Em Tipo de coleção de regras, selecione Rede.

  14. Em Prioridade, digite 100.

  15. Em Ação, selecione Permitir.

  16. Em Regras, em Nome, digite AllowWeb.

  17. Para Source, digite 192.168.1.0/24.

  18. Em Protocolo, selecione TCP.

  19. Em Portas de destino, digite 80.

  20. Em Tipo de destino, selecione Endereço IP.

  21. Em Destino, digite 10.6.0.0/16.

  22. Na próxima linha da regra, insira as seguintes informações:

    Nome: tipo AllowRDP
    Fonte: tipo 192.168.1.0/24.
    Protocolo, selecione TCP
    Portas de destino, tipo 3389
    Tipo de destino, selecione Endereço IP
    Para Destino, digite 10.6.0.0/16

  23. Selecione Adicionar.

  24. Selecione Rever + Criar.

  25. Reveja os detalhes e, em seguida, selecione Criar.

Criar a rede virtual do hub de firewall

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Procure por Rede virtual e, em seguida, selecione Rede virtual.

  3. Selecione Criar.

  4. Para Subscrição, selecione a sua subscrição.

  5. Para Grupo de recursos, selecione FW-Hybrid-Test.

  6. Em Name, digite VNet-hub.

  7. Em Região, selecione Leste dos EUA.

  8. Selecione Seguinte.

  9. Em Segurança, selecione Avançar.

  10. Para espaço de endereçamento IPv4, digite 10.5.0.0/16.

  11. Em Sub-redes, selecione padrão.

  12. Para a finalidade da sub-rede, selecione Firewall do Azure.

  13. Para Endereço inicial, digite 10.5.0.0/26.

  14. Aceite as outras configurações padrão e selecione Salvar.

  15. Selecione Rever + criar.

  16. Selecione Criar.

Adicione outra sub-rede com uma finalidade de sub-rede definida como Virtual Network Gateway com um endereço inicial de 10.5.1.0/27. Essa sub-rede é usada para o gateway VPN.

Crie a rede virtual spoke

  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Procure por Rede virtual e, em seguida, selecione Rede virtual.
  3. Selecione Criar.
  4. Para Subscrição, selecione a sua subscrição.
  5. Para Grupo de recursos, selecione FW-Hybrid-Test.
  6. Em Nome, digite VNet-Spoke.
  7. Em Região, selecione Leste dos EUA.
  8. Selecione Seguinte.
  9. Na página Segurança, selecione Avançar.
  10. Selecione Next : Endereços IP.
  11. Para espaço de endereçamento IPv4, digite 10.6.0.0/16.
  12. Em Sub-redes, selecione padrão.
  13. Altere o nome para SN-Workload.
  14. Para Endereço inicial, digite 10.6.0.0/24.
  15. Aceite as outras configurações padrão e selecione Salvar.
  16. Selecione Rever + criar.
  17. Selecione Criar.

Criar a rede virtual local

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Procure por Rede virtual e, em seguida, selecione Rede virtual.

  3. Selecione Criar.

  4. Para Subscrição, selecione a sua subscrição.

  5. Para Grupo de recursos, selecione FW-Hybrid-Test.

  6. Em Nome da rede virtual, digite VNet-OnPrem.

  7. Em Região, selecione Leste dos EUA.

  8. Selecione Seguinte.

  9. Na página Segurança, selecione Avançar.

  10. Para espaço de endereçamento IPv4, digite 192.168.0.0/16.

  11. Em Sub-redes, selecione padrão.

  12. Altere o nome para SN-Corp.

  13. Para Endereço inicial, digite 192.168.1.0/24.

  14. Aceite as outras configurações padrão e selecione Salvar.

  15. Selecione Adicionar uma sub-rede.

  16. Para a finalidade da sub-rede, selecione Gateway de rede virtual.

  17. Para Endereço inicial, digite 192.168.2.0/27.

  18. Selecione Adicionar.

  19. Selecione Rever + criar.

  20. Selecione Criar.

Configurar e implementar a firewall

Quando as políticas de segurança são associadas a um hub, ele é chamado de rede virtual de hub.

Converta a rede virtual VNet-Hub em uma rede virtual de hub e proteja-a com o Firewall do Azure.

  1. Na barra de pesquisa do portal do Azure, digite Firewall Manager e pressione Enter.

  2. No painel direito, selecione Visão geral.

  3. Na página Gerenciador de Firewall do Azure, em Adicionar segurança a redes virtuais, selecione Exibir redes virtuais de hub.

  4. Em Redes Virtuais, marque a caixa de seleção VNet-hub.

  5. Selecione Gerir Segurança e, em seguida, selecione Implementar uma Política de Firewall com Firewall.

  6. Na página Converter redes virtuais, em Camada de Firewall do Azure, selecione Premium. Em Política de firewall, marque a caixa de seleção Pol-Net01.

  7. Selecione Seguinte : Rever + confirmar

  8. Reveja os detalhes e, em seguida, selecione Confirmar.

    Isso leva alguns minutos para ser implantado.

  9. Após a conclusão da implantação, vá para o grupo de recursos FW-Hybrid-Test e selecione o firewall.

  10. Observe o endereço IP privado do firewall na página Visão geral. Você pode usá-lo mais tarde quando você cria a rota padrão.

Criar e ligar os gateways de VPN

O hub e as redes virtuais locais são conectados por meio de gateways VPN.

Criar um gateway VPN para a rede virtual do hub

Agora crie o gateway VPN para a rede virtual do hub. As configurações de rede para rede exigem um RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.

  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual e pressione Enter.
  3. Selecione Gateway de rede virtual e selecione Criar.
  4. Em Nome, digite GW-hub.
  5. Em Região, selecione (EUA) Leste dos EUA.
  6. Para Tipo de gateway, selecione VPN.
  7. Para SKU, selecione VpnGw2.
  8. Em Geração, selecione Geração2.
  9. Em Rede virtual, selecione VNet-hub.
  10. Em Endereço IP público, selecione Criar novo e digite VNet-hub-GW-pip para o nome.
  11. Em Ativar modo ativo-ativo, selecione Desativado.
  12. Aceite os padrões restantes e selecione Revisar + criar.
  13. Reveja a configuração e, em seguida, selecione Criar.

Criar um gateway VPN para a rede virtual local

Agora crie o gateway VPN para a rede virtual local. As configurações de rede para rede exigem um RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.

  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual e pressione Enter.
  3. Selecione Gateway de rede virtual e selecione Criar.
  4. Em Name, digite GW-Onprem.
  5. Em Região, selecione (EUA) Leste dos EUA.
  6. Para Tipo de gateway, selecione VPN.
  7. Para SKU, selecione VpnGw2.
  8. Em Geração, selecione Geração2.
  9. Em Rede virtual, selecione VNet-Onprem.
  10. Em Endereço IP público, selecione Criar novo e digite VNet-Onprem-GW-pip para o nome.
  11. Em Ativar modo ativo-ativo, selecione Desativado.
  12. Aceite os padrões restantes e selecione Revisar + criar.
  13. Reveja a configuração e, em seguida, selecione Criar.

Criar as ligações VPN

Agora você pode criar as conexões VPN entre o hub e os gateways locais.

Nesta etapa, você cria a conexão da rede virtual do hub com a rede virtual local. Uma chave compartilhada é referenciada nos exemplos. Pode utilizar os seus próprios valores para a chave partilhada. Importante: a chave partilhada tem de corresponder a ambas as ligações. Leva algum tempo para criar a conexão.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-hub .
  2. Na coluna da esquerda, em Configurações, selecione Conexões.
  3. Selecione Adicionar.
  4. Para o nome da conexão, digite Hub-to-Onprem.
  5. Selecione VNet-to-VNet para Tipo de conexão.
  6. Selecione Avançar : Configurações.
  7. Para o Primeiro gateway de rede virtual, selecione GW-hub.
  8. Para o Segundo gateway de rede virtual, selecione GW-Onprem.
  9. Para Chave compartilhada (PSK), digite AzureA1b2C3.
  10. Selecione Rever + criar.
  11. Selecione Criar.

Crie a conexão de rede virtual local para hub. Esta etapa é semelhante à anterior, exceto que você cria a conexão de VNet-Onprem para VNet-hub. Verifique se as chaves partilhadas correspondem. Após alguns minutos, estará ligado.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-Onprem .
  2. Selecione Conexões na coluna da esquerda.
  3. Selecione Adicionar.
  4. Para o nome da conexão, digite Onprem-to-Hub.
  5. Selecione VNet-to-VNet para Tipo de conexão.
  6. Selecione Avançar : Configurações.
  7. Para o Primeiro gateway de rede virtual, selecione GW-Onprem.
  8. Para o Segundo gateway de rede virtual, selecione GW-hub.
  9. Para Chave compartilhada (PSK), digite AzureA1b2C3.
  10. Selecione OK.

Verificar a ligação

Após cerca de cinco minutos ou mais após a segunda conexão de rede ser implantada, o status de ambas as conexões deve ser Conectado.

Captura de tela mostrando as conexões do gateway vpn.

Peer o hub e redes virtuais spoke

Agora peer o hub e spoke redes virtuais.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione a rede virtual do hub VNet.

  2. Na coluna da esquerda, selecione Emparelhamentos.

  3. Selecione Adicionar.

  4. Em Resumo da rede virtual remota:

    Nome da definição Value
    Nome do link de emparelhamento SpoketoHub
    Modelo de implantação de rede virtual Gestor de Recursos
    Subscrição <a sua subscrição>
    Rede virtual VNet-Spoke
    Permitir que 'VNet-Spoke' acesse 'VNet-hub' selecionadas
    Permitir que 'VNet-Spoke' receba tráfego encaminhado de 'VNet-Hub' selecionadas
    Permitir que o gateway ou o servidor de rotas em 'VNet-Spoke' encaminhe o tráfego para 'VNet-Hub' não selecionado
    Habilite o 'VNet-Spoke' para usar o gateway remoto ou o servidor de rotas do 'VNet-hub' selecionadas

  5. Em Resumo da rede virtual local:

    Nome da definição Value
    Nome do link de emparelhamento HubtoSpoke
    Permitir que 'VNet-hub' acesse 'VNet-Spoke' selecionadas
    Permitir que 'VNet-hub' receba tráfego encaminhado de 'VNet-Spoke' selecionadas
    Permitir que o gateway ou o servidor de rotas em 'VNet-Hub' encaminhe o tráfego para 'VNet-Spoke' selecionadas
    Habilite o 'VNet-hub' para usar o gateway remoto ou o servidor de rotas do 'VNet-Spoke' não selecionado

  6. Selecione Adicionar.

    Captura de tela mostrando o emparelhamento Vnet.

Criar as rotas

Em seguida, crie duas rotas:

  • Uma rota da sub-rede de gateway do hub para a sub-rede spoke através do endereço IP da firewall
  • Uma rota predefinida da sub-rede spoke através do endereço IP da firewall
  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
  3. Selecione Tabela de rotas.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Em Região, selecione Leste dos EUA.
  7. Para o nome, digite UDR-Hub-Spoke.
  8. Selecione Rever + Criar.
  9. Selecione Criar.
  10. Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
  11. Selecione Rotas na coluna da esquerda.
  12. Selecione Adicionar.
  13. Para o nome da rota, digite ToSpoke.
  14. Em Tipo de destino, selecione Endereços IP.
  15. Para endereços IP de destino/intervalos CIDR, digite 10.6.0.0/16.
  16. Para o próximo tipo de salto, selecione Dispositivo virtual.
  17. Para o endereço do próximo salto, digite o endereço IP privado do firewall que você anotou anteriormente.
  18. Selecione Adicionar.

Agora associe a rota à sub-rede.

  1. Na página UDR-Hub-Spoke - Rotas, selecione Sub-redes.
  2. Selecione Associar.
  3. Em Rede virtual, selecione VNet-hub.
  4. Em Sub-rede, selecione GatewaySubnet.
  5. Selecione OK.

Agora crie a rota padrão a partir da sub-rede falada.

  1. Na home page do portal do Azure, selecione Criar um recurso.
  2. Na caixa de texto de pesquisa, digite tabela de rotas e pressione Enter.
  3. Selecione Tabela de rotas.
  4. Selecione Criar.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.
  6. Em Região, selecione Leste dos EUA.
  7. Para o nome, digite UDR-DG.
  8. Em Propagar rotas de gateway, selecione Não.
  9. Selecione Rever + criar.
  10. Selecione Criar.
  11. Depois que a tabela de rotas for criada, selecione-a para abrir a página da tabela de rotas.
  12. Selecione Rotas na coluna da esquerda.
  13. Selecione Adicionar.
  14. Para o nome da rota, digite ToHub.
  15. Em Tipo de destino, selecione Endereços IP
  16. Para Endereços IP de destino/intervalos CIDR, digite 0.0.0.0/0.
  17. Para o próximo tipo de salto, selecione Dispositivo virtual.
  18. Para o endereço do próximo salto, digite o endereço IP privado do firewall que você anotou anteriormente.
  19. Selecione Adicionar.

Agora associe a rota à sub-rede.

  1. Na página UDR-DG - Rotas, selecione Sub-redes.
  2. Selecione Associar.
  3. Em Rede virtual, selecione VNet-spoke.
  4. Em Sub-rede, selecione SN-Workload.
  5. Selecione OK.

Criar máquinas virtuais

Agora, crie a carga de trabalho spoke e as máquinas virtuais locais e coloque-as nas sub-redes apropriadas.

Criar a máquina virtual de carga de trabalho

Crie uma máquina virtual na rede virtual falada, executando o IIS, sem endereço IP público.

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Em Produtos populares do Marketplace, selecione Windows Server 2019 Datacenter.

  3. Introduza estes valores para a máquina virtual:

    • Grupo de recursos - Selecione FW-Hybrid-Test
    • Nome da máquina virtual: VM-Spoke-01
    • Região - (EUA) Leste dos EUA
    • Nome de usuário: digite um nome de usuário
    • Senha: digite uma senha

  4. Para Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, selecione HTTP (80) e RDP (3389)

  5. Selecione Next:Disks.

  6. Aceite os padrões e selecione Avançar: Rede.

  7. Selecione VNet-Spoke para a rede virtual e a sub-rede é SN-Workload.

  8. Selecione Next:Management.

  9. Selecione Avançar : Monitoramento.

  10. Para Diagnóstico de inicialização, selecione Desativar.

  11. Selecione Rever + Criar, reveja as definições na página de resumo e, em seguida, selecione Criar.

Instalar o IIS

  1. No portal do Azure, abra o Cloud Shell e verifique se ele está definido como PowerShell.

  2. Execute o seguinte comando para instalar o IIS na máquina virtual e alterar o local, se necessário:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Criar a máquina virtual local

Esta é uma máquina virtual que você usa para se conectar usando a Área de Trabalho Remota ao endereço IP público. A partir daí, você se conecta ao servidor local por meio do firewall.

  1. Na home page do portal do Azure, selecione Criar um recurso.

  2. Em Popular, selecione Windows Server 2019 Datacenter.

  3. Introduza estes valores para a máquina virtual:

    • Grupo de recursos - Selecione existente e, em seguida, selecione FW-Hybrid-Test
    • Nome - da máquina virtual VM-Onprem
    • Região - (EUA) Leste dos EUA
    • Nome de usuário: digite um nome de usuário
    • Palavra-passe: introduza a sua palavra-passe

  4. Para Portas de entrada públicas, selecione Permitir portas selecionadas e, em seguida, selecione RDP (3389)

  5. Selecione Next:Disks.

  6. Aceite os padrões e selecione Next:Networking.

  7. Selecione VNet-Onprem para rede virtual e verifique se a sub-rede é SN-Corp.

  8. Selecione Next:Management.

  9. Selecione Avançar : Monitoramento.

  10. Para Diagnóstico de inicialização, selecione Desabilitar.

  11. Selecione Rever + Criar, reveja as definições na página de resumo e, em seguida, selecione Criar.

Testar a firewall

  1. Primeiro, observe o endereço IP privado da máquina virtual VM-Spoke-01 na página Visão geral do VM-Spoke-01.

  2. No portal do Azure, ligue à máquina virtual VM-Onprem.

  1. Abra um navegador da Web no VM-Onprem e navegue até http://< VM-spoke-01 private IP>.

    Você deve ver a página da Web VM-spoke-01 : Captura de tela mostrando a página da Web vm-spoke-01.

  2. Na máquina virtual VM-Onprem, abra uma área de trabalho remota para VM-spoke-01 no endereço IP privado.

    Sua conexão deve ser bem-sucedida e você deve ser capaz de entrar.

Então, agora você verificou que as regras de firewall estão funcionando:

  • Você pode navegar no servidor web na rede virtual spoke.
  • Você pode se conectar ao servidor na rede virtual spoke usando RDP.

Em seguida, altere a ação das coleções de regras de rede da firewall para Negar, para verificar se as regras de firewall funcionam conforme esperado.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione a diretiva de firewall Pol-Net01 .
  2. Em Configurações, selecione Coleções de regras.
  3. Selecione a coleção de regras RCNet01 .
  4. Para Ação de coleta de regras, selecione Negar.
  5. Selecione Guardar.

Feche todas as áreas de trabalho remotas e navegadores existentes no VM-Onprem antes de testar as regras alteradas. Depois que a atualização da coleção de regras for concluída, execute os testes novamente. Todos eles devem falhar em se conectar desta vez.

Clean up resources (Limpar recursos)

Você pode manter seus recursos de firewall para investigação adicional ou, se não for mais necessário, excluir o grupo de recursos FW-Hybrid-Test para excluir todos os recursos relacionados ao firewall.

Próximos passos

Tutorial: Proteger sua WAN virtual usando o Gerenciador de Firewall do Azure