Compartir a través de

Implementación y configuración de Azure Firewall Básico y política mediante el portal de Azure

Azure Firewall Basic proporciona la protección esencial que los clientes de SMB necesitan a un precio asequible. Esta solución se recomienda para entornos de cliente SMB con menos de 250 Mbps de rendimiento. Se recomienda implementar la SKU estándar para entornos con más de 250 Mbps de rendimiento y la SKU Premium para la protección contra amenazas avanzada.

El filtrado del tráfico de red y aplicación es una parte importante de un plan general de seguridad de red. Por ejemplo, es posible que desee limitar el acceso a sitios web. O bien, que desee limitar las direcciones IP de salida y los puertos a los que se puede acceder.

Una manera de controlar el acceso de red entrante y saliente desde una subred de Azure es con Azure Firewall y la directiva de firewall. Con Azure Firewall y la directiva de firewall, puede configurar:

  • Reglas de aplicación que definen los nombres de dominio completos (FQDN) a los que se puede acceder desde una subred.
  • Reglas de red que definen la dirección de origen, el protocolo, el puerto de destino y la dirección de destino.
  • Reglas DNAT para traducir y filtrar el tráfico de Internet entrante hacia tus subredes.

El tráfico está sujeto a las reglas de firewall configuradas cuando enruta el tráfico al firewall como puerta de enlace predeterminada de la subred.

Para este procedimiento, se crea una red virtual simplificada con tres subredes para facilitar la implementación. Firewall Basic tiene un requisito obligatorio para configurarse con una NIC de administración.

  • AzureFirewallSubnet: el firewall está en esta subred.
  • AzureFirewallManagementSubnet : para el tráfico de administración de servicios.
  • Workload-SN: el servidor de carga de trabajo está en esta subred. El tráfico de red de esta subred va a través del firewall.

Nota:

Dado que Azure Firewall Basic tiene tráfico limitado en comparación con la SKU Estándar o Premium de Azure Firewall, requiere AzureFirewallManagementSubnet para separar el tráfico del cliente del tráfico de administración de Microsoft para garantizar que no haya interrupciones en él. Este tráfico de administración es necesario para las actualizaciones y la comunicación de métricas de estado que se produce automáticamente a y desde Microsoft solo. No se permite ninguna otra conexión en esta dirección IP.

En el caso de las implementaciones de producción, se recomienda un modelo de hub-and-spoke, donde el firewall se encuentra en su propia red virtual. Los servidores de las cargas de trabajo están en redes virtuales emparejadas en la misma región con una o varias subredes.

En este procedimiento, aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementación de un firewall básico y una directiva de firewall básica
  • Crear una ruta predeterminada
  • Configuración de una regla de aplicación para permitir el acceso a www.google.com
  • Configuración de una regla de red para permitir el acceso a los servidores DNS externos
  • Configuración de una regla NAT para permitir un escritorio remoto al servidor de prueba
  • Probar el firewall

Si lo prefiere, puede realizar los pasos de este procedimiento mediante Azure PowerShell.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de un grupo de recursos

El grupo de recursos contiene todos los recursos para la guía paso a paso.

  1. Inicie sesión en Azure Portal.
  2. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos en cualquier página. A continuación, seleccione Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Nombre del grupo de recursos, escriba Test-FW-RG.
  5. En Región, seleccione una región. Todos los demás recursos que cree deben estar en la misma región.
  6. Selecciona Revisar + crear.
  7. Selecciona Crear.

Implementación del firewall y la directiva

Implemente el firewall y cree la infraestructura de red asociada.

  1. En el menú de Azure Portal o en la página Inicio , seleccione Crear un recurso.

  2. Escriba firewall en el cuadro de búsqueda y presione Entrar.

  3. Seleccione Firewall y después Crear.

  4. En la página Crear un firewall , use la tabla siguiente para configurar el firewall:

    Configuración Importancia
    Subscription <su suscripción>
    Grupo de recursos Test-FW-RG
    Nombre Test-FW01
    Región Seleccione la misma ubicación que usó anteriormente.
    Nivel de firewall Basic
    Administración del firewall Uso de una directiva de firewall para administrar este firewall
    Directiva de firewall Agregar nuevo:
    fw-test-pol
    La región seleccionada
    El nivel de directiva debe tener como valor predeterminado Básico
    Elegir una red virtual Crear nuevo
    Nombre: Test-FW-VN
    Espacio de direcciones: 10.0.0.0/16
    Espacio de direcciones de subred: 10.0.0.0/26
    Dirección IP pública Agregar nuevo:
    Nombre: fw-pip
    Administración: espacio de direcciones de subred 10.0.1.0/26
    Dirección IP pública de administración Agregar nuevo
    fw-mgmt-pip

  5. Acepte los otros valores predeterminados y seleccione Revisar y crear.

  6. Revise el resumen y, a continuación, seleccione Crear para crear el firewall.

    La implementación tardará varios minutos.

  7. Una vez completada la implementación, vaya al grupo de recursos Test-FW-RG y seleccione el firewall Test-FW01 .

  8. Tenga en cuenta las direcciones IP públicas y privadas del firewall (fw-pip). Utilizarás estas direcciones más adelante.

Creación de una subred para el servidor de cargas de trabajo

A continuación, cree una subred para el servidor de cargas de trabajo.

  1. Vaya al grupo de recursos Test-FW-RG y seleccione la red virtual Test-FW-VN .
  2. Seleccione Subredes.
  3. Seleccione Subred.
  4. En Nombre de subred, escriba Workload-SN.
  5. En Intervalo de direcciones de subred, escriba 10.0.2.0/24.
  6. Haga clic en Guardar.

Creación de una máquina virtual

Ahora cree la máquina virtual de carga de trabajo y colóquela en la subred Workload-SN .

  1. En el menú de Azure Portal o en la página Inicio , seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter.

  3. Especifique estos valores para la máquina virtual:

    Configuración Importancia
    Grupo de recursos Test-FW-RG
    Nombre de la máquina virtual Srv-Work
    Región Igual que antes
    Imagen Windows Server 2019 Datacenter
    Nombre de usuario del administrador Escriba un nombre de usuario.
    Contraseña Escriba una contraseña

  4. En Reglas de puerto de entrada, Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los demás valores predeterminados y seleccione Siguiente: Discos.

  6. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  7. Asegúrese de que Test-FW-VN está seleccionado para la red virtual y la subred es Workload-SN.

  8. En Dirección IP pública, seleccione Ninguno.

  9. Acepte los demás valores predeterminados y seleccione Siguiente: Administración.

  10. Seleccione Siguiente: Supervisión.

  11. Seleccione Deshabilitar para deshabilitar los diagnósticos de arranque. Acepte los demás valores predeterminados y seleccione Revisar y crear.

  12. Revise la configuración de la página de resumen y, a continuación, seleccione Crear.

  13. Una vez completada la implementación, seleccione el recurso Srv-Work y anote la dirección IP privada para su uso posterior.

Crear una ruta predeterminada

Para la subred Workload-SN , configure la ruta predeterminada de salida para pasar por el firewall.

  1. En el menú de Azure Portal, seleccione Todos los servicios o busque y seleccione Todos los servicios en cualquier página.
  2. En Redes, seleccione Tablas de rutas.
  3. Selecciona Crear.
  4. En Suscripción, seleccione la suscripción.
  5. En Grupo de recursos, seleccione Test-FW-RG.
  6. En Región, seleccione la misma ubicación que usó anteriormente.
  7. En Nombre, escriba Firewall-route.
  8. Selecciona Revisar + crear.
  9. Selecciona Crear.

Una vez completada la implementación, seleccione Ir al recurso.

  1. En la página Ruta de firewall, seleccione Subredes y, a continuación, seleccione Asociar.

  2. Seleccione Virtual network>Test-FW-VN.

  3. En Subred, seleccione Workload-SN. Asegúrese de seleccionar solo la subred Workload-SN para esta ruta; de lo contrario, el firewall no funcionará correctamente.

  4. Selecciona Aceptar.

  5. Seleccione Rutas y, a continuación, seleccione Agregar.

  6. En Nombre de ruta, escriba fw-dg.

  7. En Destino de prefijo de dirección, seleccione Direcciones IP.

  8. En Direcciones IP de destino/intervalos CIDR, escriba 0.0.0.0/0.

  9. En Tipo de próximo salto, seleccione Aplicación virtual.

    Azure Firewall es realmente un servicio administrado, pero la aplicación virtual funciona en esta situación.

  10. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.

  11. Selecciona Agregar.

Configuración de una regla de aplicación

Esta es la regla de aplicación que permite el acceso saliente a www.google.com.

  1. Abra Test-FW-RG y seleccione la directiva de firewall fw-test-pol .
  2. Seleccione Reglas de aplicación.
  3. Seleccione Agregar una colección de reglas.
  4. En Nombre, escriba App-Coll01.
  5. En Prioridad, escriba 200.
  6. En Acción de recopilación de reglas, seleccione Denegar.
  7. En Reglas, en Nombre, escriba Allow-Google.
  8. En Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba 10.0.2.0/24.
  10. En Protocol:port, escriba http, https.
  11. En Tipo de destino, seleccione FQDN.
  12. En Destino, escriba www.google.com
  13. Selecciona Agregar.

Azure Firewall incluye una colección de reglas integradas para FQDN de infraestructura que están permitidos de forma predeterminada. Estos FQDN son específicos para la plataforma y no se pueden usar para otros fines. Para más información, consulte Nombres de dominio completos de infraestructura.

Configurar una regla de red

Esta es la regla de red que permite el acceso saliente a dos direcciones IP en el puerto 53 (DNS).

  1. Seleccione Reglas de red.
  2. Seleccione Agregar una colección de reglas.
  3. En Nombre, escriba Net-Coll01.
  4. En Prioridad, escriba 200.
  5. En Acción de recopilación de reglas, seleccione Denegar.
  6. En Grupo de colección de reglas, seleccione DefaultNetworkRuleCollectionGroup.
  7. En Reglas, en Nombre, escriba Allow-DNS.
  8. En Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba 10.0.2.0/24.
  10. En Protocolo, seleccione UDP.
  11. En Puertos de destino, escriba 53.
  12. En Tipo de destino , seleccione Dirección IP.
  13. En Destino, escriba 209.244.0.3,209.244.0.4.
    Estos son servidores DNS públicos operados por Level3.
  14. Selecciona Agregar.

Configuración de una regla DNAT

Esta regla permite conectar un escritorio remoto a la máquina virtual Srv-Work a través del firewall.

  1. Seleccione las reglas DNAT.
  2. Seleccione Agregar una colección de reglas.
  3. En Nombre, escriba rdp.
  4. En Prioridad, escriba 200.
  5. En Grupo de colección de reglas, seleccione DefaultDnatRuleCollectionGroup.
  6. Dentro de Reglas, en Nombre, escriba rdp-nat.
  7. En Tipo de origen, seleccione Dirección IP.
  8. En Origen, escriba *.
  9. En Protocolo, seleccione TCP.
  10. En Puertos de destino, escriba 3389.
  11. En Tipo de destino, seleccione Dirección IP.
  12. En Destino, escriba la dirección IP pública del firewall (fw-pip).
  13. En Dirección traducida, escriba la dirección IP privada de Srv-work .
  14. En Puerto traducido, escriba 3389.
  15. Selecciona Agregar.

Cambiar la dirección DNS principal y secundaria de la interfaz de red Srv-Work

Con fines de prueba en este procedimiento, configure las direcciones DNS principal y secundaria del servidor. Este no es un requisito general de Azure Firewall.

  1. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos en cualquier página. Seleccione el grupo de recursos Test-FW-RG .
  2. Seleccione la interfaz de red de la máquina virtual Srv-Work .
  3. En Configuración, seleccione Servidores DNS.
  4. En Servidores DNS, seleccione Personalizado.
  5. Escriba 209.244.0.3 en el cuadro de texto Agregar servidor DNS y 209.244.0.4 en el cuadro de texto siguiente.
  6. Haga clic en Guardar.
  7. Reinicie la máquina virtual Srv-Work .

Probar el firewall

Ahora, pruebe el firewall para confirmar que funciona según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall (fw-pip) e inicie sesión en la máquina virtual Srv-Work .

  2. Abra Internet Explorer y vaya a https://www.google.com.

  3. Seleccione Aceptar>cerrar en las alertas de seguridad de Internet Explorer.

    Debería ver la página principal de Google.

  4. Vaya a http://www.microsoft.com.

    El firewall debería bloquearle.

Con ello, ha comprobado que las reglas de firewall funcionan:

  • Puede conectar un escritorio remoto a la máquina virtual Srv-Work.
  • Puede navegar al FQDN permitido pero no a ningún otro.
  • Puede resolver nombres DNS con el servidor DNS externo configurado.

Limpieza de recursos

Puede mantener los recursos del firewall para realizar más pruebas o, si ya no es necesario, eliminar el grupo de recursos Test-FW-RG para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes

Implementación y configuración de Azure Firewall Premium

  • Last updated on