Configurando o Azure Firewall

A Microsoft liberou nessa semana o Azure Firewall, um serviço de Firewall sem dependência de máquina virtual, ou seja como PaaS, nesse artigo vou mostrar como configurar o Azure Firewall.

Algumas informações sobre o Azure Firewall:

Mais detalhes do produto podem ser acessados aqui.

Se tentarmos criar o Azure Firewall por se tratar de versão Preview ele pode mostrar a seguinte mensagem:

Register your subscription for the Azure Firewall preview to create a firewall.Learn more.

Então é necessário liberar para testar, para isso é necessário acessar o AzureRM por Powershell, nesse artigo, mostro como é feito o acesso.

Liberando o Public Preview do Azure Firewall

Após acessar o Azure por PowerShell devemos executar os seguintes comandos em Powershell:

Register-AzureRmProviderFeature -FeatureName AllowRegionalGatewayManagerForSecureGateway -ProviderNamespace Microsoft.Network

Register-AzureRmProviderFeature -FeatureName AllowAzureFirewall -ProviderNamespace Microsoft.Network

Ele ficara com o status “Resgistering” por uns 30 minutos, para acompanhar podemos executar os comandos:

Get-AzureRmProviderFeature -FeatureName AllowRegionalGatewayManagerForSecureGateway -ProviderNamespace Microsoft.Network

Get-AzureRmProviderFeature -FeatureName AllowAzureFirewall -ProviderNamespace Microsoft.Network

Quando finalizado o status mudara para “Registered” conforme imagem:
Então executamos, o seguinte comando:
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Pronto! Com isso estamos com o Azure Firewall Public Preview liberado em nosso tentant.
Criando o Azure Firewall
Azure VNet:
No primeiro passo, precisamos alguns requisitos de rede, no meu caso criei a VNet Test-FW-VN, e as seguintes Subnets:
  • AzureFirewallSubnet – Subnet onde ficará o Azure Firewall. (Essse nome de subnet é obrigatório para o Azure Firewall)
  • Workload-SN – Subnet onde ficará meu serviço protegido pelo Azure Firewall.
  • Jump-SN – A Subnet “Jump” irei utilizar para acessar o recurso da subnet Workload (RDP) via IP público, visto que não tenho VPN com o ambiente criado. Essa rede não irá passar pelo Azure Firewall.

Ficando assim as subnets:

Agora já podemos criar o Azure Firewall:

Após criado devemos salvar o IP privado, nesse caso o 10.1.1.4.

E então criar a tabela de Roteamento, essa tabela que será responsável por rotear todo o tráfego dos recursos da subnet Workload-SN para o Azure Firewall.

Associamos a subnet Workload-SN a tabela de roteamento criada:

Após isso criar a regra de roteamento:

Address Prefix: 0.0.0.0/0 ou seja, roteia todo tráfego para o Azure Firewall.

Next hop Type: Virtual appliance

Next hop address: IP privado do Azure Firewall, nesse caso 10.1.1.4.

Pronto! Agora podemos começar a testar as regras.

Como não possuo VPN nesse ambiente, criei uma máquina virtual com IP Público na subnet “Jump-SN” e acesso RDP chamada “Srv-Jump“, com essa VM consigo acessar via rede interna a VM “Srv-Work” que está na subnet “Worload-SN“.

Network Rule Collection

A primeira regra que criei, é de liberar ICMP (ping), como origem o “Srv-Work” (10.1.2.4), e destino 8.8.8.8.

E também fiz uma Application rule Collection, fazendo somente a liberação da URL do Facebook, nos protocolos http e https.

Ao tentar acessar qualquer site que não seja o Facebook, recebo a seguinte mensagem:

Bacana né? E muito fácil de configurar!

No próximo post vou mostrar como monitorar os logs do Azure Firewal!!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *