Como funciona o Azure Firewall Manager

  • 6 minutos

Nesta unidade, discutimos como o Firewall Manager funciona e quais tarefas você pode realizar usando-o. Também examinamos como as regras de política de firewall funcionam. Como descrito anteriormente, uma política é o bloco de construção fundamental do Firewall Manager. Você cria políticas e as associa a instâncias do Firewall do Azure em hubs virtuais seguros ou redes virtuais de hub.

O diagrama a seguir exibe uma configuração típica. Inclui um administrador empresarial que está a criar e a associar políticas ao nível superior. Essas políticas estão associadas a um hub virtual seguro e a duas redes virtuais de hub. Um administrador local também pode configurar e associar políticas a uma das redes virtuais do hub.

Diagrama mostrando uma configuração típica do Firewall Manager, com um administrador corporativo e local que está criando e associando propriedades conforme descrito anteriormente.

As políticas do Firewall do Azure consistem em regras e configurações que controlam o tráfego em recursos protegidos. Nesta unidade, você aprende sobre:

  • Políticas, regras e configurações de inteligência de ameaças do Firewall do Azure.
  • Processamento de regras.
  • Tarefas que pode executar com o Firewall Manager.

O que são regras de política do Firewall do Azure?

A tabela a seguir descreve as coleções e configurações de regras de política do Firewall do Azure.

Coleta ou configuração de regras Description
Configurações de Inteligência de Ameaças Habilita a filtragem de políticas do Firewall do Azure com base em informações sobre ameaças, alertando-o sobre tráfego potencialmente mal-intencionado. Ele também permite que você negue tráfego de e para endereços IP e domínios que são conhecidos por serem maliciosos.
Coleção de regras NAT Permite configurar regras de DNA (Tradução de Endereço de Rede de Destino) do Firewall do Azure. Essas regras traduzem e filtram o tráfego de entrada da Internet para suas sub-redes do Azure.
Recolha de regras de rede Gerencia o tráfego não-HTTP/S que flui através do firewall.
Coleção de regras de aplicativo Gerencia o tráfego HTTP/S que flui através do firewall.

Primeiro, você deve decidir quais regras você precisa para gerenciar seu tráfego. Em seguida, você usa o Gerenciador de Firewall para criar e configurar políticas de Firewall do Azure que contêm essas regras, como mostra o gráfico a seguir.

Captura de ecrã da folha Threat Intelligence no portal do Azure dentro de uma Política de Firewall.

Como as regras são processadas

Na realidade, uma regra NAT é uma regra de roteamento que direciona o tráfego de endereços IP públicos para privados em seus recursos do Azure. Quando um firewall processa as regras definidas de uma política, são as regras de rede e de aplicativo que determinam se o tráfego é permitido. O processo a seguir descreve como essas regras são processadas em relação ao tráfego:

  1. As regras de inteligência de ameaças são processadas antes das regras de NAT, rede ou aplicativo. Ao estabelecer essas regras, você pode configurar um dos dois comportamentos:

    • Alerta quando a regra é acionada (modo padrão).
    • Alertar e negar quando a regra for acionada.

  2. As regras NAT são processadas em seguida e determinam a conectividade de entrada para recursos especificados em suas redes virtuais.

Nota

Se uma correspondência for encontrada, uma regra de rede correspondente implícita para permitir o tráfego traduzido será adicionada.

  1. As regras de rede são aplicadas em seguida. Se uma regra de rede corresponder ao tráfego, essa regra será aplicada. Nenhuma outra regra é verificada.
  2. Se nenhuma regra de rede corresponder e o tráfego for HTTP/S, as regras de aplicativo serão aplicadas.
  3. Se nenhuma regra de aplicativo corresponder, o tráfego será comparado com a coleção de regras de infraestrutura.
  4. Se ainda não houver correspondência para o tráfego, o tráfego é implicitamente negado.

Nota

As coleções de regras de infraestrutura definem FQDNs (nomes de domínio totalmente qualificados) que são permitidos por padrão. Esses FQDNs são específicos do Azure.

Usar o Gerenciador de Firewall

O Firewall Manager permite-lhe:

  • Defina regras para filtragem de tráfego em várias instâncias do Firewall do Azure em hubs virtuais seguros e redes virtuais de hub.
  • Associe uma política de Firewall do Azure a redes virtuais novas ou existentes. Essa associação impõe políticas de firewall consistentes em várias redes virtuais de hub.
  • Associe uma política de Firewall do Azure ou um Provedor de Parceiro de Segurança a hubs virtuais novos ou existentes. Essa associação impõe políticas consistentes de segurança e roteamento em vários hubs.
  • Associe uma política de Firewall de Aplicativo Web a uma plataforma de entrega de aplicativos (Azure Front Door ou Azure Application Gateway).
  • Associe suas redes virtuais a um plano de proteção contra DDoS.

No gráfico a seguir, um administrador está implantando um firewall com uma diretiva de firewall para uma rede virtual existente.

Captura de ecrã da folha Redes virtuais no Gestor de Firewall. O administrador selecionou uma rede virtual existente.