Partilhar via

Implementar e configurar o Azure Firewall Básico e a política com o portal do Azure

  • Artigo

Azure Firewall Basic fornece a proteção essencial de que os clientes SMB precisam a um preço acessível. Esta solução é recomendada para ambientes de clientes SMB com menos de 250 requisitos de débito de Mbps. Recomenda-se implementar o SKU Standard para ambientes com mais de 250 requisitos de débito de Mbps e o SKU Premium para proteção avançada contra ameaças.

Filtrar tráfego de rede e aplicações é uma parte importante de um plano de segurança de rede global. Por exemplo, poderá querer limitar o acesso a sites. Em alternativa, poderá querer limitar os endereços IP de saída e as portas que podem ser acedidas.

Uma forma de controlar o acesso à rede de entrada e saída a partir de uma sub-rede do Azure é com Azure Firewall e a Política de Firewall. Com Azure Firewall e a Política de Firewall, pode configurar:

  • Regras da aplicação que definem nomes de domínio completamente qualificado (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede que definem o endereço de origem, o protocolo, a porta de destino e o endereço de destino.
  • Regras de DNAT para traduzir e filtrar o tráfego de entrada da Internet para as suas sub-redes.

O tráfego de rede está sujeito às regras de firewall configuradas quando encaminha o tráfego de rede para a firewall como o gateway padrão de sub-rede.

Para este procedimento, vai criar uma VNet única simplificada com três sub-redes para facilitar a implementação. O Firewall Basic tem um requisito obrigatório para ser configurado com uma NIC de gestão.

  • AzureFirewallSubnet - a firewall está nesta sub-rede.
  • AzureFirewallManagementSubnet – para tráfego de gestão de serviços.
  • Workload-SN - o servidor de carga de trabalho está nesta sub-rede. O tráfego de rede desta sub-rede passa pela firewall.

Nota

Uma vez que o Azure Firewall Básico tem tráfego limitado em comparação com o SKU Standard ou Premium Azure Firewall, requer que o AzureFirewallManagementSubnet separe o tráfego de cliente do tráfego de gestão da Microsoft para garantir que não existem interrupções no mesmo. Este tráfego de gestão é necessário para atualizações e comunicação de métricas de estado de funcionamento que ocorre automaticamente de e para a Microsoft. Não são permitidas outras ligações neste IP.

Para implementações de produção, é recomendado um modelo hub-and-spoke , onde a firewall está na sua própria VNet. Os servidores de carga de trabalho estão em VNets em modo de peering na mesma região com uma ou mais sub-redes.

Neste procedimento, irá aprender a:

  • Configurar um ambiente de rede de teste
  • Implementar uma firewall básica e uma política de firewall básica
  • Criar uma rota predefinida
  • Configurar uma regra de aplicação para permitir o acesso ao www.google.com
  • Configurar uma regra de rede para permitir o acesso aos servidores DNS externos
  • Configurar uma regra NAT para permitir um ambiente de trabalho remoto para o servidor de teste
  • Testar a firewall

Se preferir, pode concluir este procedimento com Azure PowerShell.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

O grupo de recursos contém todos os recursos para os procedimentos.

  1. Inicie sessão no portal do Azure.
  2. No menu portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos a partir de qualquer página. Em seguida, selecione Criar.
  3. Em Subscrição, selecione a sua subscrição.
  4. Para Nome do grupo de recursos, introduza Test-FW-RG.
  5. Em Região, selecione uma região. Todos os outros recursos que criar têm de estar na mesma região.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Implementar a firewall e a política

Implemente a firewall e crie uma infraestrutura de rede associada.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Escreva firewall na caixa de pesquisa e prima Enter.

  3. Selecione Firewall e, em seguida, selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Valor
    Subscrição <a sua subscrição>
    Grupo de recursos Test-FW-RG
    Name Test-FW01
    Region Selecionar a mesma localização que utilizou anteriormente
    Camada de Firewall Básica
    Gestão da firewall Utilizar uma Política de Firewall para gerir esta firewall
    Política de firewall Adicionar novo:
    fw-test-pol
    A sua região selecionada
    O escalão de política deve ser predefinido como Básico
    Escolher uma rede virtual Criar novo
    Nome: Test-FW-VN
    Espaço de endereços: 10.0.0.0/16
    Espaço de endereços da sub-rede: 10.0.0.0/26
    Endereço IP público Adicionar novo:
    Nome: fw-pip
    Gestão - Espaço de endereços da sub-rede 10.0.1.0/26
    Endereço IP público de gestão Adicionar novo
    fw-mgmt-pip

  5. Aceite os outros valores predefinidos e, em seguida, selecione Rever + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Este processo irá demorar alguns minutos a implementar.

  7. Após a conclusão da implementação, aceda ao grupo de recursos Test-FW-RG e selecione a firewall Test-FW01 .

  8. Tenha em atenção os endereços IP público e privado da firewall (fw-pip). Irá utilizar estes endereços mais tarde.

Criar uma sub-rede para o servidor de carga de trabalho

Em seguida, crie uma sub-rede para o servidor de carga de trabalho.

  1. Aceda ao grupo de recursos Test-FW-RG e selecione a rede virtual Test-FW-VN .
  2. Selecione Sub-redes.
  3. Selecione Sub-rede.
  4. Para Nome da sub-rede, escreva Workload-SN.
  5. Para Intervalo de endereços da Sub-rede, escreva 10.0.2.0/24.
  6. Selecione Guardar.

Criar uma máquina virtual

Agora, crie a máquina virtual da carga de trabalho e coloque-a na sub-rede Workload-SN .

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Selecione Windows Server 2019 Datacenter.

  3. Introduza estes valores para a máquina virtual:

    Definição Valor
    Grupo de recursos Test-FW-RG
    Nome da máquina virtual Srv-Work
    Region Igual ao anterior
    Imagem Windows Server 2019 Datacenter
    Nome de utilizador do administrador Escrever um nome de utilizador
    Palavra-passe Escrever uma palavra-passe

  4. Em Regras de porta de entrada, Portas de entrada públicas, selecione Nenhuma.

  5. Aceite as outras predefinições e selecione Seguinte: Discos.

  6. Aceite as predefinições do disco e selecione Seguinte: Rede.

  7. Certifique-se de que Test-FW-VN está selecionado para a rede virtual e que a sub-rede é Workload-SN.

  8. Para IP Público, selecione Nenhum.

  9. Aceite as outras predefinições e selecione Seguinte: Gestão.

  10. Selecione Seguinte: Monitorização.

  11. Selecione Desativar para desativar o diagnóstico de arranque. Aceite as outras predefinições e selecione Rever + criar.

  12. Reveja as definições na página de resumo e, em seguida, selecione Criar.

  13. Após a conclusão da implementação, selecione o recurso Srv-Work e anote o endereço IP privado para utilização posterior.

Criar uma rota predefinida

Na sub-rede Workload-SN, vai configurar a rota de saída predefinida para passar pela firewall.

  1. No menu portal do Azure, selecione Todos os serviços ou procure e selecione Todos os serviços em qualquer página.
  2. Em Rede, selecione Tabelas de rotas.
  3. Selecione Criar.
  4. Em Subscrição, selecione a sua subscrição.
  5. Em Grupo de recursos, selecione Test-FW-RG.
  6. Em Região, selecione a mesma localização que utilizou anteriormente.
  7. Em Nome, escreva Firewall-route.
  8. Selecione Rever + criar.
  9. Selecione Criar.

Após a conclusão da implementação, selecione Ir para recurso.

  1. Na página Firewall-route, selecione Sub-redes e, em seguida, selecione Associar.

  2. SelecioneTest-FW-VN darede> virtual.

  3. Em Sub-rede, selecione Workload-SN. Certifique-se de que seleciona apenas a sub-rede Workload-SN para esta rota, caso contrário, a firewall não funcionará corretamente.

  4. Selecione OK.

  5. Selecione Rotas e, em seguida, selecione Adicionar.

  6. Em Nome da rota, escreva fw-dg.

  7. Para Destino do prefixo de endereço, selecione Endereços IP.

  8. Para endereços IP de destino/intervalos CIDR, escreva 0.0.0.0/0.

  9. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  10. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  11. Selecione Adicionar.

Configurar uma regra de aplicação

Esta é a regra de aplicação que permite o acesso de saída ao www.google.com.

  1. Abra Test-FW-RG e selecione a política de firewall fw-test-pol .
  2. Selecione Regras da aplicação.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, escreva App-Coll01.
  5. Em Prioridade, escreva 200.
  6. Em Ação de coleção de regras, selecione Permitir.
  7. Em Regras, em Nome, escreva Allow-Google.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, escreva 10.0.2.0/24.
  10. Em Protocolo:porta, escreva http, https.
  11. Em Tipo de Destino, selecione FQDN.
  12. Em Destino, escreva www.google.com
  13. Selecione Adicionar.

O Azure Firewall inclui uma coleção de regras incorporadas para os FQDNs de infraestrutura que são permitidos por predefinição. Estes FQDNs são específicos da plataforma e não podem ser utilizados para outros fins. Para obter mais informações, veja FQDNs de Infraestrutura.

Configurar uma regra de rede

Esta é a regra de rede que permite acesso de saída aos dois endereços IP na porta 53 (DNS).

  1. Selecione Regras de rede.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, escreva Net-Coll01.
  4. Em Prioridade, escreva 200.
  5. Em Ação de coleção de regras, selecione Permitir.
  6. Em Grupo de coleção de regras, selecione DefaultNetworkRuleCollectionGroup.
  7. Em Regras, em Nome, escreva Allow-DNS.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Origem, escreva 10.0.2.0/24.
  10. Em Protocolo, selecione UDP.
  11. Em Portas de Destino, escreva 53.
  12. Em Tipo de destino , selecione Endereço IP.
  13. Em Destino, escreva 209.244.0.3,209.244.0.4.
    Estes são servidores DNS públicos operados pelo Level3.
  14. Selecione Adicionar.

Configurar uma regra DNAT

Esta regra permite-lhe ligar um ambiente de trabalho remoto à máquina virtual Srv-Work através da firewall.

  1. Selecione as regras DNAT.
  2. Selecione Adicionar uma coleção de regras.
  3. Em Nome, escreva rdp.
  4. Em Prioridade, escreva 200.
  5. Em Grupo de coleção de regras, selecione DefaultDnatRuleCollectionGroup.
  6. Em Regras, em Nome, escreva rdp-nat.
  7. Em Tipo de origem, selecione Endereço IP.
  8. Em Origem, escreva *.
  9. Em Protocolo, selecione TCP.
  10. Para Portas de Destino, escreva 3389.
  11. Para Tipo de Destino, selecione Endereço IP.
  12. Em Destino, escreva o endereço IP público da firewall (fw-pip).
  13. Para Endereço traduzido, escreva o endereço IP privado Srv-work .
  14. Em Porta traduzida, escreva 3389.
  15. Selecione Adicionar.

Alterar o endereço DNS primário e secundário para a interface de rede Srv-Work

Para fins de teste neste procedimento, configure os endereços DNS primários e secundários do servidor. Este não é um requisito de Azure Firewall geral.

  1. No menu portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos a partir de qualquer página. Selecione o grupo de recursos Test-FW-RG .
  2. Selecione a interface de rede da máquina virtual Srv-Work .
  3. Em Definições, selecione Servidores DNS.
  4. Em Servidores DNS, selecione Personalizado.
  5. Escreva 209.244.0.3 na caixa de texto Adicionar servidor DNS e 209.244.0.4 na caixa de texto seguinte.
  6. Selecione Guardar.
  7. Reinicie a máquina virtual Srv-Work.

Testar a firewall

Agora, teste a firewall para confirmar que funciona conforme esperado.

  1. Ligue um ambiente de trabalho remoto ao endereço IP público da firewall (fw-pip) e inicie sessão na máquina virtual Srv-Work .

  2. Abra o Internet Explorer e navegue até https://www.google.com.

  3. Selecione OK>Fechar nos alertas de segurança do Internet Explorer.

    Deverá ver a home page do Google.

  4. Navegue para http://www.microsoft.com.

    Deve estar bloqueado pela firewall.

Agora, verificou que as regras da firewall estão a funcionar:

  • Pode ligar um ambiente de trabalho remoto à máquina virtual Srv-Work.
  • Pode navegar para o único FQDN permitido, mas não para quaisquer outros.
  • Pode resolver nomes DNS com o servidor DNS externo configurado.

Limpar os recursos

Pode manter os recursos da firewall para testes adicionais ou, se já não for necessário, elimine o grupo de recursos Test-FW-RG para eliminar todos os recursos relacionados com a firewall.

Passos seguintes

Implementar e configurar Azure Firewall Premium