Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La característica de captura de paquetes de Azure Firewall permite capturar y analizar el tráfico de red para solucionar problemas. En este artículo se muestra cómo configurar filtros, capturar tráfico y analizar resultados.
Prerrequisitos
- Una suscripción de Azure. Si no tiene una, cree una cuenta gratuita.
- Un Azure Firewall con NIC de administración habilitado. Consulte Implementación y configuración de Azure Firewall y directiva.
- La NIC de administración está habilitada de forma predeterminada en implementaciones básicas de SKU y Virtual WAN.
- Para SKU estándar o premium en una red virtual, consulte NIC de administración de Azure Firewall para habilitarlo.
Crear una cuenta de almacenamiento
Cree una cuenta de almacenamiento y obtenga una dirección URL de SAS para un contenedor donde se almacenan los paquetes capturados.
Configuración de la cuenta de almacenamiento
En Azure Portal, seleccione Crear un recurso, busque Cuentas de almacenamiento y seleccione Crear.
En la pestaña Aspectos básicos , escriba la información necesaria para la cuenta de almacenamiento.
En la pestaña Avanzadas , en Seguridad, seleccione Permitir habilitar el acceso anónimo en contenedores individuales. Deje el resto de los valores predeterminados.
Creación de un contenedor
Después de crear la cuenta de almacenamiento, vaya al recurso y seleccione Contenedores en Almacenamiento de datos.
Seleccione + Contenedor y proporcione un nombre para el nuevo contenedor.
En Nivel de acceso anónimo, seleccione Contenedor (acceso de lectura anónimo para contenedores y blobs).
Generación de una dirección URL de SAS
Después de crear el contenedor, seleccione ... (puntos suspensivos) junto a él y seleccione Generar SAS.
En la página Generar SAS , en Permisos, desactive el permiso Leer y seleccione Escribir.
Seleccione Generar token y dirección URL de SAS y copie la dirección URL de SAS generada.
Importante
Se produce un error en la captura de paquetes si la dirección URL de SAS de la cuenta de almacenamiento no está configurada correctamente. Siga todos los pasos con precisión:
- Habilitación del acceso anónimo en contenedores individuales
- Establecimiento del nivel de acceso anónimo en Contenedor
- Conceder solo permiso de escritura y deshabilitar lectura
Errores de configuración comunes:
- Faltan permisos de escritura en la dirección URL de SAS
- El acceso a nivel de contenedor no está habilitado
- Dirección URL de SAS que apunta a Blob Storage en lugar de a un contenedor
Configuración y ejecución de una captura de paquetes
Configure e inicie una captura de paquetes en el firewall.
Acceder a la captura de paquetes
- Vaya al firewall en Azure Portal.
- En Ayuda, seleccione Captura de paquetes.
Configuración de las opciones de captura
En la página Captura de paquetes, configure las opciones siguientes:
- Nombre de captura de paquetes: escriba un nombre único para los archivos de captura.
- Dirección URL de SAS de salida: pegue la dirección URL de SAS del contenedor de almacenamiento que creó.
Sugerencia
Use nombres de archivo únicos para cada captura para conservar los resultados anteriores. La ejecución de varias capturas con el mismo nombre de archivo en la misma dirección URL de SAS sobrescribe los archivos existentes.
Establezca los parámetros de captura básicos:
- Número máximo de paquetes: escriba un valor entre 100 y 90 000 paquetes.
- Límite de tiempo (segundos): escriba un valor entre 30 y 1800 segundos.
- Protocolo: seleccione el protocolo que se va a capturar: Any, TCP, UDP o ICMP.
- Marcas TCP: si seleccionó TCP o Cualquier protocolo, elija qué tipos de paquetes se van a capturar: FIN, SYN, RST, PSH, ACK o URG.
Nota:
Especifique un número máximo de paquetes y un límite de tiempo. La captura se detiene cuando se alcanza el primer límite.
Definición de filtros de captura
En la sección Filtrado , especifique qué paquetes se van a capturar:
- Direcciones IP de origen o subredes
- Direcciones IP de destino o subredes
- Puertos de destino
Nota:
- Se requiere al menos un filtro.
- La captura de paquetes registra el tráfico bidireccional que coincide con cada filtro.
- Use listas separadas por comas para varios valores (por ejemplo, 192.168.1.1, 192.168.2.1 o 192.168.1.0/24).
- Para capturar paquetes entrantes y salientes al usar SNAT, conectarse a Internet o procesar reglas de aplicación, incluya el
AzureFirewallSubnetespacio de direcciones en el campo de origen.
Iniciar la captura
En la sección Estado , seleccione Actualizar estado para comprobar que no se está ejecutando ninguna captura de paquetes.
- Si el firewall está listo, el estado muestra No hay captura de paquetes en curso. Puede iniciar una nueva captura de paquetes.
- Si una captura de paquetes ya está en curso, seleccione Detener captura de paquetes y, a continuación, actualice el estado para confirmar que se detuvo antes de iniciar una nueva captura.
Seleccione Iniciar captura de paquetes para empezar a capturar paquetes con los valores configurados.
Nota:
Azure informa de que una operación de captura de paquetes es correcta cuando las capturas se obtienen de al menos la mitad de las instancias de proceso subyacentes del firewall. El portal no muestra cuáles instancias proporcionaron capturas, por lo que el mensaje de estado es el indicador principal de éxito.
Análisis de la captura de paquetes
Una vez completada la captura de paquetes, el estado muestra Captura de paquetes completada correctamente. Listo para iniciar una nueva captura de paquetes.
Descargar y examinar los archivos de captura
Vaya al contenedor de almacenamiento en Azure Portal.
Los archivos de captura se guardan en la carpeta raíz del contenedor. Verá varios
pcaparchivos: uno para cada instancia de máquina virtual en el back-end del firewall.Descargue los
pcaparchivos.
Analice los archivos mediante una herramienta de análisis de paquetes como Wireshark.
Descripción de los patrones de flujo de paquetes
Cada captura de paquetes contiene pares de paquetes entrantes y salientes. Para cada paquete que procesa el firewall, usted verá un par correspondiente en la captura. En la tabla siguiente se describen cuatro patrones comunes de flujo de paquetes:
| Scenario | Paquete entrante | Paquete saliente |
|---|---|---|
| Conexión de red virtual a red virtual (sin SNAT) Red virtual a un entorno local (sin SNAT) |
Origen: Cliente Destino: Servidor |
Origen: Cliente Destino: Servidor Los encabezados de capa 2 difieren, pero la capa 3 y posteriores siguen siendo idénticas. |
| [De red virtual a red virtual (con SNAT) Red virtual al entorno local (con SNAT) Red virtual a la Internet |
Origen: Cliente Destino: Servidor |
Origen: Firewall Destino: Servidor Cambios de IP de origen de nivel 3 debido a SNAT. Las capas 4 y superiores permanecen sin cambios. |
| Flujos de reglas de aplicación | Origen: Cliente Destino: Servidor |
Origen: Firewall Destino: Servidor La capa 4 y las superiores son diferentes porque el firewall actúa como un proxy en la conexión y establece una nueva sesión en el destino. Use claves HTTP o TLS para que coincidan con los paquetes entrantes y salientes. La capa 7 sigue siendo la misma. |
| Flujos DNAT | Origen: Cliente Destino: Dirección IP pública del firewall |
Origen: Firewall Destino: IP privada DNATed La dirección IP de destino de nivel 3 difiere del paquete entrante debido a DNAT, mientras que la capa 4 sigue siendo la misma. |
Para obtener instrucciones detalladas sobre estos escenarios, consulte Uso de la captura de paquetes para solucionar problemas de flujos de Azure Firewall.
Preguntas más frecuentes
¿Puedo capturar el tráfico en todos los puertos estableciendo el puerto de destino en 0?
Debe especificar al menos un puerto de destino en cada filtro. No se admite la captura del tráfico en todos los puertos.
¿Puedo usar intervalos de direcciones IP en un filtro?
Los filtros admiten direcciones IP individuales o subredes, pero no intervalos de direcciones IP. Si necesita capturar un intervalo, use una subred que cubra esas direcciones. Limite sus filtros a no más de cinco direcciones IP o subredes.
¿Puedo dejar en blanco el límite máximo de paquetes o tiempo para capturar todo el tráfico?
Ambos valores son obligatorios. Establézcalos en los valores máximos permitidos si es necesario. La captura se detiene automáticamente cuando se alcanza cualquiera de los límites.
¿Puedo detener manualmente una captura de paquetes en ejecución?
Sí, seleccione el botón Detener captura de paquetes para finalizar la captura antes de alcanzar los límites configurados.
¿La captura de paquetes admite capturas continuas o cíclicas?
No se admiten capturas de paquetes cíclicas (continuas). Si necesita una captura extendida o repetida para solucionar problemas, abra una solicitud de soporte técnico de Azure. El soporte técnico de Microsoft puede ejecutar capturas más largas en su nombre.
¿Puedo establecer el destino en 0.0.0.0/0 para capturar todo el tráfico?
La captura de paquetes está diseñada para solucionar problemas de flujos específicos. Establecer el destino en 0.0.0.0/0 da como resultado capturas vacías y no captura todo el tráfico.
¿Puedo usar un FQDN en un filtro en lugar de direcciones IP?
Los filtros no admiten FQDN. Sin embargo, puede usar DNS para resolver el FQDN en direcciones IP y agregar esas direcciones IP al filtro.
¿Dejar las marcas TCP sin marcar es lo mismo que marcar todas las marcas?
Cuando no se seleccionan marcas TCP (el valor predeterminado), se capturan todos los tipos de paquetes. Seleccione marcas específicas solo cuando quiera capturar tipos de paquetes concretos.
¿Puedo capturar paquetes ICMP, TCP y UDP simultáneamente?
Sí, seleccione Cualquiera como protocolo para capturar todos los tipos de paquetes. El campo de protocolo está diseñado para filtrar los protocolos específicos cuando sea necesario.
¿Cómo sé si la captura de paquetes se realizó correctamente?
Azure reporta éxito cuando las capturas se obtienen de al menos la mitad de las instancias de computación subyacentes. Los archivos de captura vacíos indican que la operación se realizó correctamente, pero no se encontró ningún tráfico que coincida con los filtros. Amplíe los filtros y vuelva a ejecutar la captura.