Solucionar problemas do Firewall do Azure
Solucionar problemas de regras de aplicativo do Firewall do Azure
O Firewall do Azure ajuda você a controlar o acesso à rede de saída por meio de uma sub-rede do Azure. Com o Firewall do Azure, você pode configurar:
Regras de aplicativo que definem nomes de domínio totalmente qualificados (FQDNs) que podem ser acessados de uma sub-rede.
Regras de rede que definem endereço de origem, protocolo, porta de destino e endereço de destino.
Um modelo hub e spoke é recomendado para implantações de produção, em que o firewall está na própria VNet. Os servidores de carga de trabalho estão em VNets emparelhadas na mesma região, com uma ou mais sub-redes.
AzureFirewallSubnet ‒ o firewall está nessa sub-rede.
Workload-SN ‒ o servidor de carga de trabalho está nessa sub-rede. O tráfego de rede dessa sub-rede passa pelo firewall.
O seguinte artigo Implantar e configurar o Firewall do Azure usando o portal do Azure pode ajudar você a aprender a:
Configurar um ambiente de rede de teste.
Implantar um firewall.
Criar uma rota padrão.
Configurar uma regra de aplicativo para permitir o acesso a www.google.com.
Configurar uma regra de rede para permitir o acesso a servidores DNS externos.
Configurar uma regra NAT para permitir que uma área de trabalho remota teste o servidor.
Testar o firewall.
Monitorar métricas e logs do Firewall do Azure
Os logs de firewall permitem monitorar o Firewall do Azure. Você também pode considerar usar os logs de atividades para auditar os recursos do Firewall do Azure. Para exibir contadores de desempenho no portal, use métricas.
Os logs podem ser enviados para logs, Armazenamento e Hubs de Eventos do Azure Monitor. Eles podem ser analisados nos logs do Azure Monitor ou usando o Excel e o Power BI.
Exibir e analisar o log de atividades
Você pode exibir e analisar dados do log de atividades usando qualquer um dos seguintes métodos:
Ferramentas do Azure: por meio do Azure PowerShell, da CLI do Azure, da API REST do Azure ou do portal do Azure, você pode recuperar informações do log de atividades.
Power BI: usando o pacote de conteúdo dos Logs de Atividades do Azure para Power BI, você pode analisar seus dados com painéis pré-configurados que podem ser usados no estado em que se encontram ou ser personalizados.
Microsoft Sentinel: conectando os logs do Firewall do Azure ao Microsoft Sentinel, você pode ver os dados de log em pastas de trabalho, usá-los para criar alertas personalizados e incorporá-los para aprimorar a investigação.
Assista a este vídeo para saber mais sobre as habilidades de monitoramento do Firewall do Azure:
Exibir e analisar os logs de regras de rede e de aplicativo
A Pasta de Trabalho do Firewall do Azure no portal do Azure é uma plataforma em que você pode usar a análise de dados do Firewall do Azure de modo interativo. Por exemplo, para criar relatórios visuais, combine vários firewalls implantados no Azure e assim por diante.
Para logs de acesso e desempenho, você pode se conectar à sua conta de armazenamento e recuperar as entradas de log JSON. Depois de baixar os arquivos JSON, você pode convertê-los em CSV e exibi-los no Excel, no Power BI ou em qualquer outra ferramenta de visualização de dados.
Para saber mais, confira Monitorar logs usando a Pasta de Trabalho do Firewall do Azure.
Solucionar problemas com regras de rede do Firewall do Azure
O Firewall do Azure nega todo o tráfego por padrão. Você precisa configurar manualmente as regras para permitir o tráfego. Você pode configurar regras da NAT, regras de rede e regras de aplicativos no Firewall do Azure usando regras clássicas ou Política de Firewall.
Processamento de regras usando regras clássicas
As coleções de regras são processadas de acordo com a ordem de prioridade de um tipo de regra, de números menores para maiores, de 100 a 65.000. Um nome de coleção de regras pode ter apenas letras, números, sublinhados, pontos ou hifens. Elas devem começar com uma letra ou número e terminar com uma letra, um número ou um sublinhado. O tamanho máximo do nome é de 80 caracteres.
Para ter espaço para adicionar mais coleções de regras, se necessário, é recomendável espaçar inicialmente os números de prioridade da coleção de regras em incrementos de 100 (100, 200, 300 e assim por diante).
Processamento de regras usando a Política de Firewall
As regras são organizadas dentro de Coleções de Regras e Grupos de Coleções de Regras ao usar a Política de Firewall. Os grupos de coleção de regras contêm zero ou mais coleções de regras. As Coleções de Regras são dos tipos NAT, de Rede ou de Aplicativos. Você pode definir vários tipos de coleção de regras em um único grupo de regras. Você pode especificar zero ou mais Regras em uma Coleção de Regras. As regras em uma coleção de regras devem ser do mesmo tipo (NAT, Rede ou Aplicativo).
As regras são processadas com base na prioridade do Grupo de Coleções de Regras e da Coleção de Regras. Elas podem ter qualquer número entre 100 (prioridade mais alta) a 65.000 (prioridade mais baixa).
Se uma Política de Firewall for herdada de uma política pai, os Grupos de Coleções de Regras na política pai sempre terão precedência, independentemente da prioridade de uma política filho.
Aqui está um exemplo de Política de Firewall:
| Nome | Tipo | Prioridade | Regras | Herdado de |
|---|---|---|---|---|
| BaseRCG1 | Grupo da Coleção de Regras | 200 | 8 | Política pai |
| DNATRC1 | Coleção de Regras DNAT | 600 | 7 | Política pai |
| DNATRC3 | Coleção de Regras DNAT | 600 | 7 | Política pai |
| NetworkRc1 | Coleção de Regras de Rede | 800 | 1 | Política pai |
| BaseRCG2 | Grupo da Coleção de Regras | 300 | 3 | Política pai |
| AppRCG2 | Coleção de Regras de Aplicativo | 1.200 | 2 | Política pai |
| NetworkRC2 | Coleção de Regras de Rede | 1.300 | 1 | Política pai |
| ChildRCG1 | Grupo da Coleção de Regras | 300 | 5 | - |
| ChAppRC1 | Coleção de Regras de Aplicativo | 700 | 3 | - |
| ChNetRC1 | Coleção de Regras de Rede | 900 | 2 | - |
| ChildRCG2 | Grupo da Coleção de Regras | 650 | 9 | - |
| ChNetRC2 | Coleção de Regras de Rede | 1.100 | 2 | - |
| ChAppRC2 | Coleção de Regras de Aplicativo | 2000 | 7 | - |
| ChDNATRC3 | Coleção de Regras DNAT | 3000 | 2 | - |
O processamento de regras ocorrerá na seguinte ordem: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.
Para obter mais informações sobre os conjuntos de regras da Política de Firewall, confira Conjuntos de regras da Política de Firewall do Azure.
Observação
As regras de aplicativo sempre são processadas após as regras de rede, que são processadas após as regras DNAT, independentemente da herança de política e da prioridade do Grupo de Coleções de Regras ou da Coleção de Regras.
Se você habilitar a filtragem baseada em inteligência contra ameaças, essas regras terão prioridade mais alta e sempre serão processadas primeiro. Para obter mais informações, confira Filtragem baseada em inteligência contra ameaças do Firewall do Azure.
IDPS
Quando o IDPS é configurado no modo de Alerta, ele gera alertas para assinaturas correspondentes para fluxos de entrada e de saída. Para uma correspondência de assinatura IDPS, um alerta é registrado nos logs de firewall. No entanto, ainda pode haver outra entrada de log gerada para o tráfego negado/permitido pelas regras de aplicativo/rede. Isso ocorre porque o mecanismo IDPS funciona em paralelo ao mecanismo de processamento de regra.
Solucionar problemas de regras de infraestrutura do Firewall do Azure
Há uma coleção de regras internas para FQDNs (Nomes de Domínio Totalmente Qualificados) de infraestrutura por padrão no Firewall do Azure. Esses FQDNs usados para a plataforma não podem ser usados para outras finalidades.
A coleção de regras internas é composta pelos seguintes serviços:
Acesso de computação ao Repositório de Imagens da Plataforma (PIR) do armazenamento.
Acesso ao armazenamento de status de discos gerenciados.
MDS (Diagnóstico e Log do Azure).
Predominante
Com o recurso de substituição, você pode criar uma coleção de regras para negar todos os aplicativos que é processada por último. Ela substituirá a coleção de regras de infraestrutura interna e sempre será processada antes dela. Qualquer coisa que não esteja na coleção de regras de infraestrutura é negada por padrão.
Solucionar problemas com regras de NAT (conversão de endereços de rede) do Firewall do Azure
As regras de rede permitem ou negam o tráfego de entrada, saída e leste-oeste com base na camada de rede (L3) e na camada de transporte (L4). Uma regra de rede facilita a filtragem de tráfego com base em endereços IP, portas e protocolos.
Quando você configura o DNAT, a ação da coleção de regras NAT é definida como DNAT. Cada regra na coleção de regras da NAT pode então ser usada para traduzir o endereço IP e a porta públicos do firewall para um endereço IP e uma porta privados.
O Tutorial: Filtrar o tráfego da Internet de entrada com a política de DNAT do Firewall do Azure usando o portal pode ajudar você a aprender a:
Configurar um ambiente de rede de teste.
Implantar um firewall.
Criar uma rota padrão.
Configurar uma regra de DNAT.
Testar o firewall.
Solucionar problemas com regras de DNAT (conversão de endereços de rede distribuída) do Firewall do Azure
O DNAT (conversão de endereços de rede de destino) do Firewall do Azure converte e filtra o tráfego de Internet de entrada para suas sub-redes. Ele permite ou nega o tráfego de entrada dos endereços IP públicos do firewall. Uma regra de DNAT converte um endereço IP público em um endereço IP privado.
É recomendável adicionar uma fonte específica de Internet para permitir o acesso DNAT à rede e evitar o uso de caracteres curinga por motivos de segurança.
Solucionar problemas de proteção no nível da rede, incluindo firewalls
Adicionar camadas de segurança às redes de VM (máquina virtual) protege fluxos de entrada e saída, de e para os usuários. Você pode usar a Política de Firewall para gerenciar conjuntos de regras usadas pelo Firewall do Azure para filtrar o tráfego.
Conectividade de saída
Regras de rede e regras de aplicativos
As regras de rede são aplicadas em ordem de prioridade antes das regras do aplicativo. Isso significa que, se uma correspondência for encontrada em uma regra de rede, nenhuma outra regra será processada. O IDPS pode alertar e/ou bloquear o tráfego suspeito.
Caso não haja nenhuma correspondência da regra de rede e se o protocolo for HTTP, HTTPS ou MSSQL, o pacote será avaliado pelas regras de aplicativo em ordem de prioridade.
Para HTTP, o Firewall do Azure procura uma regra de aplicativo correspondente de acordo com o cabeçalho do host. Para HTTPS, o Firewall do Azure procura uma correspondência de regra de aplicativo somente de acordo com o SNI.
Em casos com HTTPS inspecionado por HTTP e TLS, o firewall usa o endereço IP resolvido pelo DNS do cabeçalho de host em vez do endereço IP de destino do pacote. Se o firewall não receber o número da porta no cabeçalho de host, ele presumirá que é a porta padrão 80. Caso haja incompatibilidade de porta entre a porta TCP real e a porta no cabeçalho do host, o tráfego será removido. A resolução DNS é feita pelo DNS do Azure ou por um DNS personalizado se configurado no firewall.
Conexões de entrada
Regras de DNAT e regras de rede
A conectividade de Internet de entrada é habilitada configurando a DNAT (conversão de endereços de rede de destino). As regras da NAT são aplicadas prioritariamente, antes das regras de rede.
Se uma correspondência for encontrada, será adicionada uma regra de rede correspondente para permitir o tráfego convertido.
Para filtrar o tráfego HTTP/S de entrada, você deve usar o WAF (Firewall de Aplicativo Web), pois as regras de aplicativo não são aplicadas para conexões de entrada.
Para exibir os resultados de algumas das combinações de regra, consulte Lógica de processamento de regras do Firewall do Azure.
Solucionar problemas de configuração incorreta do Gerenciador de Firewall do Azure
O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança. Use-o para criar hubs virtuais seguros para proteger o tráfego de rede de nuvem destinado a endereços IP privados, PaaS do Azure e a Internet.
| Hub virtual seguro |
|---|
|
O Tutorial: Proteger seu hub virtual usando o Gerenciador de Firewall do Azure pode ajudar você a aprender a:
Criar a rede virtual spoke.
Criar um hub virtual seguro.
Conectar as redes virtuais hub e spoke.
Rotear o tráfego para seu hub.
Implantar os servidores.
Criar uma política de firewall e proteger seu hub.
Testar o firewall.