Planejar a implantação do Firewall do Azure
Antes de implantar o Firewall do Azure, você precisa planejar sua topologia de rede, identificar as regras de firewall necessárias e entender as etapas de implantação.
Topologia de rede recomendada
Lembre-se de que o Firewall do Azure é melhor implantado usando uma topologia de rede hub-and-spoke com as seguintes características:
- Uma rede virtual que atua como o ponto de conectividade central. Esta rede é a rede virtual do hub.
- Uma ou mais redes virtuais emparelhadas ao hub. Esses pares são as redes virtuais faladas e são usados para provisionar servidores de carga de trabalho.
Você pode implantar a instância de firewall em uma sub-rede da rede virtual do hub e, em seguida, configurar todo o tráfego de entrada e saída para passar pelo firewall. Você usará essa configuração ao implantar o Firewall do Azure para proteger o pool de hosts da Área de Trabalho Virtual do Azure.
Regras do Firewall do Azure
Lembre-se de que, por padrão, o firewall nega acesso a tudo. Seu trabalho é configurar o firewall com as condições sob as quais o tráfego é permitido através do firewall. Cada condição é chamada de regra. Cada regra aplica uma ou mais verificações nos dados. Apenas o tráfego que passa por todas as verificações em todas as regras do firewall é permitido passar.
A tabela a seguir descreve os três tipos de regras que você pode criar para um firewall do Azure. Para permitir o tráfego de rede apropriado para a Área de Trabalho Virtual do Azure, você usará regras de aplicativo e rede.
| Tipo de regra | Description |
|---|---|
| Tradução de endereços de rede (NAT) | Traduza e filtre o tráfego de entrada da Internet com base no endereço IP público do seu firewall e num número de porta especificado. Por exemplo, para habilitar uma conexão de área de trabalho remota com uma máquina virtual (VM), você pode usar uma regra NAT para traduzir o endereço IP público do firewall e a porta 3389 para o endereço IP privado da VM. |
| Aplicação | Filtre o tráfego com base em um nome de domínio totalmente qualificado (FQDN) ou marca FQDN. Uma marca FQDN representa um grupo de FQDNs associados a serviços conhecidos da Microsoft, como a Área de Trabalho Virtual do Azure. Por exemplo, você usará uma regra de aplicativo para permitir o tráfego de saída para as VMs da Área de Trabalho Virtual do Azure usando a marca FQDN WindowsVirtualDesktop. |
| Rede | Filtre o tráfego com base em um ou mais dos três parâmetros de rede a seguir: endereço IP, porta e protocolo. Por exemplo, use uma regra de rede para permitir o tráfego de um endereço IP privado do Servidor de Domínio Ative Directory local para o Azure para a porta TCP e UDP 53. Se você estiver usando o Microsoft Entra Domain Server, não precisará criar uma regra de rede. As consultas DNS são encaminhadas para o DNS do Azure em 168.63.129.16. |
O Firewall do Azure aplica regras em ordem de prioridade. As regras baseadas em informações sobre ameaças recebem sempre a mais alta prioridade e são processadas primeiro. Depois disso, as regras são aplicadas por tipo: regras NAT, depois regras de rede e, em seguida, regras de aplicação. Dentro de cada tipo, as regras são processadas de acordo com os valores de prioridade atribuídos quando você cria a regra, do menor valor ao maior valor.
Opções de implementação
Lembre-se de que o Firewall do Azure oferece muitos recursos projetados para facilitar a criação e o gerenciamento de regras. A tabela a seguir resume esses recursos. Para permitir o tráfego de rede para a Área de Trabalho Virtual do Azure, você usará marcas FQDN, mas também poderá usar essas outras opções em seu ambiente.
| Funcionalidade | Description |
|---|---|
| FQDN | Um nome de domínio de um host ou um ou mais endereços IP. Adicionar um FQDN a uma regra de aplicativo permite o acesso a esse domínio. Ao usar um FQDN em uma regra de aplicativo, você pode usar curingas, como *.google.com. |
| Tag FQDN | Um grupo de FQDNs da Microsoft bem conhecidos. Adicionar uma tag FQDN a uma regra de aplicativo permite o acesso de saída aos FQDNs da tag. Por exemplo, há marcas FQDN para Windows Update, Área de Trabalho Virtual do Azure, diagnóstico do Windows e Backup do Azure. A Microsoft gerencia marcas FQDN e você não pode modificá-las ou criá-las. |
| Etiqueta de serviço | Um grupo de prefixos de endereço IP relacionados a um serviço específico do Azure. Adicionar uma etiqueta de serviço a uma regra de rede permite o acesso ao serviço representado pela etiqueta. Há marcas de serviço para dezenas de serviços do Azure, incluindo o Backup do Azure, o Azure Cosmos DB e os Aplicativos Lógicos do Azure. A Microsoft gerencia marcas de serviço e você não pode modificá-las ou criá-las. |
| Grupos de IP | Um grupo de endereços IP, como 10.2.0.0/16 ou 10.1.0.0-10.1.0.31. Você pode usar um grupo IP como o endereço de origem em uma regra de NAT ou aplicativo, ou como o endereço de origem ou destino em uma regra de rede. |
| DNS Personalizado | Um servidor DNS personalizado que resolve nomes de domínio para endereços IP. Se você usar um servidor DNS personalizado em vez do DNS do Azure, também deverá configurar o Firewall do Azure como um proxy DNS. |
| Proxy DNS | Você pode configurar o Firewall do Azure para atuar como um proxy DNS, o que significa que todas as solicitações DNS do cliente passam pelo firewall antes de ir para o servidor DNS. |
Etapas de implantação do Firewall do Azure
No exercício anterior, você criou um pool de hosts e uma rede virtual com uma sub-rede. Você implantou uma VM de host de sessão nessa sub-rede e a registrou no pool de hosts. Nos próximos exercícios, você concluirá as etapas a seguir para implantar o Firewall do Azure para proteger o pool de hosts.
Configure a rede:
- Crie uma rede virtual de hub que inclua uma sub-rede para a implantação do firewall.
- Peer o hub e redes faladas. No próximo exercício, você emparelhará a rede virtual do hub com a rede virtual usada pelo pool de hosts da Área de Trabalho Virtual do Azure.
Implantar o Firewall do Azure:
- Implante o Firewall do Azure em uma sub-rede na rede virtual do hub.
- Para tráfego de saída, crie uma rota padrão que envie tráfego de todas as sub-redes para o endereço IP privado do firewall.
Crie regras do Firewall do Azure:
- Configure o firewall com regras para filtrar o tráfego de entrada e saída.