Permitir acesso à rede de saída para a Área de Trabalho Virtual do Azure
Ao planejar uma implantação do Firewall do Azure para proteger uma carga de trabalho como a Área de Trabalho Virtual do Azure, você precisa saber quais regras implantar para permitir o tráfego de rede apropriado.
No exemplo da empresa de contabilidade, lembre-se de que você não pode ter nenhum tráfego de rede não autorizado em seu ambiente de Área de Trabalho Virtual do Azure. Você deseja limitar o tráfego de rede de saída para a Área de Trabalho Virtual do Azure usando o Firewall do Azure.
Para que a Área de Trabalho Virtual do Azure funcione, o pool de hosts precisa de acesso de saída à Internet para o serviço de Área de Trabalho Virtual do Azure. O pool de hosts também pode precisar de acesso de saída à Internet para seus usuários.
Criar regras de firewall
Para permitir o tráfego de rede apropriado para a Área de Trabalho Virtual do Azure, você precisará criar regras de firewall de aplicativo e rede. Você precisa permitir o acesso à rede de saída do pool de hosts à Área de Trabalho Virtual do Azure e aos serviços de suporte. Dependendo das necessidades da sua organização, convém habilitar o acesso seguro e de saída à Internet para seus usuários finais.
Configurar regras de aplicação
Para permitir o acesso de rede de saída do pool de hosts à Área de Trabalho Virtual do Azure, crie uma coleção de regras de aplicativo com as duas regras a seguir:
| Regra | Description |
|---|---|
| Permitir Área de Trabalho Virtual do Azure | Use a marca FQDN WindowsVirtualDesktop para permitir o tráfego da rede virtual do pool de hosts. |
| Permitir contas de armazenamento e barramento de serviço | Use FQDNs de destino para permitir o acesso da rede virtual do pool de hosts ao conjunto de contas de armazenamento e barramento de serviço usadas pelo pool de hosts. Use FQDNs curinga para habilitar o acesso necessário ou, para ser mais restritivo, adicione os FQDNs exatos. |
A tabela a seguir mostra as opções de destino que você pode usar para criar uma regra que permita contas de armazenamento e barramento de serviço:
| Opções | FQDNs a utilizar |
|---|---|
| FQDN curinga | *xt.blob.core.windows.net, *eh.servicebus.windows.net |
| FQDNs exatos | Use a seguinte consulta do Log Analytics nos Logs do Azure Monitor para listar os FQDNs necessários exatos usados pelo pool de hosts. |
AzureDiagnostics
| where Category == "AzureFirewallApplicationRule"
| search "Deny"
| search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
| parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
| project TimeGenerated,Protocol,FQDN
Quando você adiciona ambas as regras, sua coleção de regras será semelhante à captura de tela a seguir:
Você percorrerá as etapas específicas para criar a coleção de regras de aplicativo no próximo exercício.
Configurar regras de rede
Para permitir que a Área de Trabalho Virtual do Azure funcione, você precisa adicionar regras do Firewall do Azure para DNS e o serviço de ativação do Windows.
Crie uma coleção de regras de rede e adicione as seguintes regras:
| Regra | Description |
|---|---|
| Permitir DNS | Permita o tráfego do seu endereço IP privado do Servidor de Domínio Ative Directory para * para as portas TCP e UDP 53. Algumas implantações podem não precisar de regras de DNS. Por exemplo, o Microsoft Entra Domain Services encaminha consultas DNS para o DNS do Azure em 168.63.129.16. |
| Permitir KMS | Permita o tráfego de suas VMs de Área de Trabalho Virtual do Azure para a porta TCP 1688 do serviço de ativação do Windows. |
Quando você adiciona ambas as regras de rede, sua coleção de regras será semelhante à captura de tela a seguir:
Você percorrerá as etapas específicas para criar uma coleção de regras de rede no próximo exercício.
Permitir acesso seguro à Internet de saída para os seus utilizadores
Talvez seja necessário criar mais regras de rede e aplicativos do Firewall do Azure quando quiser permitir que os usuários tenham acesso de saída à Internet.
Se você tiver uma lista bem definida de destinos permitidos, como o Microsoft 365, use o aplicativo do Firewall do Azure e as regras de rede para rotear o tráfego do usuário final diretamente para os destinos. Para obter informações sobre o endereço IP do Office 365 e o serviço Web URL, consulte os recursos listados na seção Resumo deste módulo.
Talvez você queira filtrar o tráfego de saída da Internet do usuário usando um gateway da Web existente, local e seguro. Para fazer isso, você pode configurar navegadores da Web ou outros aplicativos executados no pool de hosts da Área de Trabalho Virtual do Azure com uma configuração de proxy explícita. Por exemplo, você pode usar as opções de linha de comando do Microsoft Edge para definir as configurações de proxy. Essas configurações de proxy só influenciam o acesso à Internet para seus usuários e permitem o tráfego de saída do serviço de Área de Trabalho Virtual do Azure diretamente por meio do Firewall do Azure. Para obter mais informações, consulte os recursos listados na seção Resumo deste módulo.