Partilhar via

Tutorial: Filtrar o tráfego de entrada da Internet ou da intranet com o DNAT da política de Firewall do Azure usando o portal do Azure

  • Artigo

Você pode configurar a DNA (Tradução de Endereço de Rede de Destino) da política do Firewall do Azure para traduzir e filtrar o tráfego de entrada da Internet ou intranet (visualização) para suas sub-redes. Quando você configura o DNAT, a ação de coleta de regras é definida como DNAT. Cada regra na coleção de regras NAT pode ser usada para traduzir o endereço IP público ou privado do firewall e a porta para um endereço IP e uma porta privados. As regras DNAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego traduzido. Por razões de segurança, a abordagem recomendada é adicionar uma fonte específica para permitir o acesso DNAT à rede e evitar o uso de curingas. Para saber mais sobre a lógica de processamento de regras do Azure Firewall, veja Lógica de processamento de regras do Azure Firewall.

Neste tutorial, irá aprender a:

  • Configurar um ambiente de rede de teste
  • Implantar um firewall e uma política
  • Criar uma rota predefinida
  • Configurar uma regra DNAT
  • Testar a firewall

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

  1. Inicie sessão no portal do Azure.
  2. Na home page do portal do Azure, selecione Grupos de recursos e, em seguida, selecione Adicionar.
  3. Para Subscrição, selecione a sua subscrição.
  4. Em Nome do grupo de recursos, escreva RG-DNAT-Test.
  5. Em Região, selecione uma região. Todos os outros recursos criados devem estar na mesma região.
  6. Selecione Rever + criar.
  7. Selecione Criar.

Configurar o ambiente de rede

Neste tutorial, vai criar duas VNets em modo peering:

  • VNet-Hub - a firewall está nesta VNet.
  • VN-Spoke - o servidor de carga de trabalho está nesta VNet.

Em primeiro lugar, crie as VNets e, em seguida, configure o peering entre elas.

Criar a VNet Hub

  1. Na home page do portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Redes virtuais.

  3. Selecione Adicionar.

  4. Para Grupo de recursos, selecione RG-DNAT-Test.

  5. Em Nome, escreva VN-Hub.

  6. Em Região, selecione a mesma região que você usou antes.

  7. Selecione Next: Endereços IP.

  8. Para o espaço de endereçamento IPv4, aceite o padrão 10.0.0.0/16.

  9. Em Nome da sub-rede, selecione padrão.

  10. Edite o nome da sub-rede e digite AzureFirewallSubnet.

    A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.

    Nota

    O tamanho da sub-rede AzureFirewallSubnet é /26. Para obter mais informações sobre o tamanho da sub-rede, consulte Perguntas frequentes sobre o Firewall do Azure.

  11. Para Intervalo de endereços de sub-rede, digite 10.0.1.0/26.

  12. Selecione Guardar.

  13. Selecione Rever + criar.

  14. Selecione Criar.

Criar uma VNet spoke

  1. Na home page do portal do Azure, selecione Todos os serviços.
  2. Em Rede, selecione Redes virtuais.
  3. Selecione Adicionar.
  4. Para Grupo de recursos, selecione RG-DNAT-Test.
  5. Em Nome, escreva VN-Spoke.
  6. Em Região, selecione a mesma região que você usou antes.
  7. Selecione Next: Endereços IP.
  8. Para o espaço de endereçamento IPv4, edite o padrão e digite 192.168.0.0/16.
  9. Selecione Adicionar sub-rede.
  10. Para o nome da sub-rede, digite SN-Workload.
  11. Para Intervalo de endereços de sub-rede, digite 192.168.1.0/24.
  12. Selecione Adicionar.
  13. Selecione Rever + criar.
  14. Selecione Criar.

Configurar o peering entre as VNets

Agora, configure o peering entre as duas VNets.

  1. Selecione a rede virtual VN-Hub .
  2. Em Configurações, selecione Emparelhamentos.
  3. Selecione Adicionar.
  4. Em Esta rede virtual, para o nome do link de emparelhamento, digite Peer-HubSpoke.
  5. Em Rede virtual remota, para Nome do link de emparelhamento, digite Peer-SpokeHub.
  6. Selecione VN-Spoke para a rede virtual.
  7. Aceite todos os outros padrões e selecione Adicionar.

Criar uma máquina virtual

Crie uma máquina virtual de carga de trabalho e coloque-a na sub-rede SN-Workload.

  1. No menu do portal do Azure, selecione Criar um recurso.
  2. Em Popular, selecione Windows Server 2016 Datacenter.

Noções básicas

  1. Para Subscrição, selecione a sua subscrição.
  2. Para Grupo de recursos, selecione RG-DNAT-Test.
  3. Em Nome da máquina virtual, digite Srv-Workload.
  4. Em Região, selecione o mesmo local usado anteriormente.
  5. Escreva um nome de utilizador e uma palavra-passe.
  6. Selecione Next: Disks.

Discos

  1. Selecione Next: Networking.

Rede

  1. Em Rede virtual, selecione VN-Spoke.
  2. Em Sub-rede, selecione SN-Workload.
  3. Em IP público, selecione Nenhum.
  4. Para Portas de entrada públicas, selecione Nenhuma.
  5. Deixe as outras configurações padrão e selecione Avançar: Gerenciamento.

Gestão

  1. Para Diagnóstico de inicialização, selecione Desabilitar.
  2. Selecione Rever + Criar.

Rever + Criar

Reveja o resumo e, em seguida, selecione Criar. Este processo irá demorar alguns minutos a concluir.

Após a conclusão da implementação, tome nota do endereço IP privado para a máquina virtual. Será utilizado mais tarde quando configurar a firewall. Selecione o nome da máquina virtual e, em Configurações, selecione Rede para localizar o endereço IP privado.

Implantar o firewall e a política

  1. Na página inicial do portal, selecione Criar um recurso.

  2. Procure Firewall e, em seguida, selecione Firewall.

  3. Selecione Criar.

  4. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

    Definição Value
    Subscrição <a sua subscrição>
    Grupo de recursos Selecione RG-DNAT-Test
    Nome Teste FW-DNAT
    País/Região Selecionar a mesma localização que utilizou anteriormente
    Gestão de firewall Usar uma política de firewall para gerenciar esse firewall
    Política de firewall Adicionar novo:
    FW-DNAT-POL
    A sua região selecionada
    Escolher uma rede virtual Utilizar existente: VN-Hub
    Endereço IP público Adicionar novo, Nome: fw-pip.

  5. Aceite os outros padrões e selecione Revisar + criar.

  6. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

    Isso leva alguns minutos para ser implantado.

  7. Após a conclusão da implantação, vá para o grupo de recursos RG-DNAT-Test e selecione o firewall FW-DNAT-test .

  8. Observe os endereços IP públicos e privados do firewall. Você os usará mais tarde quando criar a rota padrão e a regra NAT.

Criar uma rota predefinida

Na sub-rede SN-Workload, vai configurar a rota de saída predefinida para passar pela firewall.

Importante

Não é necessário configurar uma rota explícita de volta ao firewall na sub-rede de destino. O Firewall do Azure é um serviço com monitoração de estado e lida com os pacotes e sessões automaticamente. Se você criar essa rota, criará um ambiente de roteamento assimétrico que interrompe a lógica de sessão com monitoração de estado e resulta em pacotes e conexões descartados.

  1. Na home page do portal do Azure, selecione Todos os serviços.

  2. Em Rede, selecione Tabelas de rotas.

  3. Selecione Adicionar.

  4. Para Subscrição, selecione a sua subscrição.

  5. Para Grupo de recursos, selecione RG-DNAT-Test.

  6. Em Região, selecione a mesma região que você usou anteriormente.

  7. Em Nome, digite RT-FW-route.

  8. Selecione Rever + criar.

  9. Selecione Criar.

  10. Selecione Ir para recurso.

  11. Selecione Sub-redes e, em seguida, selecione Associar.

  12. Em Rede virtual, selecione VN-Spoke.

  13. Em Sub-rede, selecione SN-Workload.

  14. Selecione OK.

  15. Selecione Rotas e, em seguida, selecione Adicionar.

  16. Em Nome da rota, digite fw-dg.

  17. Em Prefixo de endereço, escreva 0.0.0.0/0.

  18. Em Tipo de salto seguinte, selecione Aplicação virtual.

    O Azure Firewall é, de facto, um serviço gerido, mas a aplicação virtual funciona nesta situação.

  19. Em Endereço do próximo salto, escreva o endereço IP privado para a firewall, que anotou anteriormente.

  20. Selecione OK.

Configurar uma regra NAT

Esta regra permite conectar uma área de trabalho remota à máquina virtual Srv-Workload através do firewall.

  1. Abra o grupo de recursos RG-DNAT-Test e selecione a diretiva de firewall fw-dnat-pol .
  2. Em Configurações, selecione Regras DNAT.
  3. Selecione Adicionar uma coleção de regras.
  4. Em Nome, digite rdp.
  5. Em Prioridade, escreva 200.
  6. Para o grupo de coleta de regras, selecione DefaultDnatRuleCollectionGroup.
  7. Em Regras, em Nome, digite rdp-nat.
  8. Em Tipo de origem, selecione Endereço IP.
  9. Em Source, digite *.
  10. Em Protocolo, selecione TCP.
  11. Para Portas de destino, digite 3389.
  12. Em Tipo de destino, selecione Endereço IP.
  13. Em Destino, digite o endereço IP público ou privado do firewall.
  14. Em Endereço traduzido, digite o endereço IP privado Srv-Workload .
  15. Em Porta traduzida, escreva 3389.
  16. Selecione Adicionar.

Testar a firewall

  1. Ligue uma área de trabalho remota ao endereço IP público da firewall. Deverá estar ligado à máquina virtual Srv-Workload.
  2. Feche o ambiente de trabalho remoto.

Clean up resources (Limpar recursos)

Pode manter os recursos da firewall para o próximo tutorial. Se já não precisar dos mesmos, elimine o grupo de recursos RG-DNAT-Test para eliminar todos os recursos relacionados com a firewall.

Próximos passos

Implantar e configurar o Firewall Premium do Azure