Compartir a través de

Tutorial: Implementación de DNAT de IP privada de Azure Firewall para redes superpuestas y no enrutables

La función DNAT (traducción de direcciones de red de destino) de Azure Firewall le permite traducir y filtrar el tráfico entrante usando la dirección IP privada del firewall en lugar de su dirección IP pública. Esta funcionalidad es útil para escenarios que implican redes superpuestas o acceso a redes no enrutables donde el DNAT de IP pública tradicional no es adecuado.

EL DNAT de IP privada aborda dos escenarios clave:

  • Redes superpuestas: cuando varias redes comparten el mismo espacio de direcciones IP
  • Redes no enrutables: si necesita acceder a los recursos a través de redes que no se pueden enrutar directamente

En este tutorial, aprenderá a:

  • Descripción de los casos de uso de DNAT de IP privada
  • Desplegar Azure Firewall con la capacidad de DNAT de IP privada
  • Configuración de reglas DNAT para escenarios de red superpuestos
  • Configuración de reglas DNAT para el acceso a red no enrutable
  • Prueba la funcionalidad de DNAT de IP privada
  • Validación del flujo de tráfico y el procesamiento de reglas

Prerrequisitos

Importante

EL DNAT de IP privada solo está disponible en las SKU Estándar y Premium de Azure Firewall. La SKU básica no admite esta característica.

Información general sobre el escenario

En este tutorial se muestran dos escenarios comunes de DNAT de IP privada:

Escenario 1: Redes superpuestas

Tiene varias redes virtuales que usan el mismo espacio de direcciones IP (por ejemplo, 10.0.0.0/16) y necesitan acceder a los recursos de estas redes sin conflictos de IP.

Escenario 2: Acceso a red no enrutable

Debe proporcionar acceso a los recursos de las redes que no se pueden enrutar directamente desde el origen, como el acceso a los recursos locales a través de Azure Firewall.

Implementación del entorno

Use la plantilla de ARM proporcionada para crear el entorno de prueba con todos los componentes necesarios.

Descarga de la plantilla de implementación

  1. Descargue la plantilla de ARM desde el repositorio de GitHub de Seguridad de red de Azure.

  2. Guarde el archivo PrivateIpDnatArmTemplateV2.json en su equipo local.

Implementación mediante Azure Portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Crear un recurso>Implementación de plantillas (implementar mediante plantillas personalizadas).

  3. Seleccione Cree su propia plantilla en el editor.

  4. Elimine el contenido existente y pegue el contenido de la plantilla de ARM descargada.

  5. Haga clic en Guardar.

  6. Proporcione la siguiente información:

    • Suscripción: seleccione la suscripción de Azure.
    • Grupo de recursos: cree un nuevo grupo de recursos o seleccione uno existente.
    • Región: seleccione la región de Azure preferida.
    • Ubicación: este parámetro se rellena automáticamente en función de la región seleccionada.

  7. Revise los parámetros de plantilla y modifique según sea necesario.

  8. Seleccione Revisar y crear y, después, Crear para implementar la plantilla.

La implementación crea los siguientes recursos:

  • Redes virtuales para escenarios superpuestos y no enrutables
  • Azure Firewall con configuración de DNAT de IP privada
  • Máquinas virtuales para probar la conectividad
  • Grupos de seguridad de red y tablas de rutas
  • Todos los componentes de red necesarios

Nota:

La plantilla de ARM incluye reglas DNAT preconfiguradas para probar ambos escenarios. Puede examinar estas reglas después de la implementación o modificarlas según sea necesario para sus requisitos específicos.

Verificar las reglas de DNAT de IP privada

Una vez completada la implementación, compruebe que las reglas DNAT se crearon correctamente para ambos escenarios.

Comprobación de reglas para redes superpuestas

  1. En Azure Portal, vaya al recurso de Azure Firewall (azfw-hub-vnet-1).

  2. En Configuración, seleccione Directiva de firewall.

  3. Seleccione la directiva de firewall (fp-azfw-hub-vnet-1).

  4. En Configuración, seleccione Grupos de recopilación de reglas.

  5. Seleccione DefaultDnatRuleCollectionGroup esta opción para ver las reglas preconfiguradas.

Debería ver las siguientes reglas DNAT:

  • ToVM2-Http: traduce 10.10.0.4:8010.10.2.4:80 (acceso al firewall hub-vnet-2 desde spoke-vnet-1)
  • ToVM2-Rdp: traduce 10.10.0.4:5338810.10.2.4:3389 (acceso RDP)
  • ToVM3-Http: Traduce 10.10.0.4:8080172.16.0.4:80 (accediendo a branch-vnet-1 desde spoke-vnet-1)
  • ToVM3-Rdp: traduce 10.10.0.4:53389172.16.0.4:3389 (acceso RDP)

Comprobación de reglas para redes no enrutables

  1. Vaya al segundo recurso de Azure Firewall (azfw-hub-vnet-2).

  2. En Configuración, seleccione Directiva de firewall.

  3. Seleccione la directiva de firewall (fp-azfw-hub-vnet-2).

  4. En Configuración, seleccione Grupos de recopilación de reglas.

  5. Seleccione DefaultDnatRuleCollectionGroup esta opción para ver las reglas del segundo escenario.

Debería ver las siguientes reglas DNAT:

  • ToVM2-Http: traduce 10.10.2.4:80192.168.0.4:80 (acceso a spoke-vnet-2 desde la subred de firewall hub-vnet-1)
  • ToVM2-Rdp: traduce 10.10.2.4:3389192.168.0.4:3389 (acceso RDP a spoke-vnet-2)

Estas reglas muestran el escenario de red superpuesto en el que ambas redes spoke usan el mismo espacio IP (192.168.0.0/24).

Configuración de máquinas virtuales

Complete la configuración de la máquina virtual mediante la ejecución de los scripts de PowerShell proporcionados.

Configuración de la máquina virtual en el escenario 1 (red superpuesta)

  1. Conéctese a la máquina win-vm-2 virtual mediante Azure Bastion o RDP.

  2. Abra PowerShell como administrador.

  3. Descargue y ejecute el script de configuración:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

Configuración de la máquina virtual en el escenario 2 (red no enrutable)

  1. Conéctese a la máquina win-vm-3 virtual mediante Azure Bastion o RDP.

  2. Abra PowerShell como administrador.

  3. Descargue y ejecute el script de configuración:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

Prueba la funcionalidad de DNAT de IP privada

Compruebe que la configuración de DNAT de IP privada funciona correctamente en ambos escenarios.

Prueba del escenario de red superpuesta

  1. Desde una máquina cliente de la red de origen, intente conectarse a la dirección IP privada de Azure Firewall mediante el puerto configurado.

  2. Compruebe que la conexión se traduce correctamente a la máquina virtual de destino en la red superpuesta.

  3. Compruebe Azure Firewall registros para confirmar las coincidencias de regla y la traducción correcta.

Prueba del escenario de red no enrutable

  1. Desde la red de origen adecuada, conéctese a la dirección IP privada de Azure Firewall.

  2. Compruebe el acceso a los recursos de la red no enrutable a través del firewall.

  3. Para garantizar el procesamiento de reglas y el flujo de tráfico adecuados, supervise los registros del firewall.

Supervisión y solución de problemas

Para supervisar el rendimiento de DNAT de IP privada, use Azure Firewall métricas y registros de diagnóstico.

Activación del registro de diagnóstico

  1. En Azure Portal, vaya al recurso de Azure Firewall.

  2. Seleccione Configuración de diagnóstico>+ Agregar configuración de diagnóstico.

  3. Configura los registros para:

    • Registro de reglas de aplicación de Azure Firewall
    • Registro de reglas de red de Azure Firewall
    • Registro de reglas NAT de Azure Firewall

  4. Elija su destino preferido (área de trabajo de Log Analytics, cuenta de almacenamiento o Event Hubs).

Métricas clave para supervisar

Para garantizar un rendimiento óptimo, supervise estas métricas:

  • Datos procesados: cantidad total de datos procesados por el firewall
  • Recuento de coincidencias en reglas de red: número de reglas de red coincidentes
  • Número de llamadas de reglas NAT: número de reglas DNAT coincidentes
  • Rendimiento: rendimiento del firewall

procedimientos recomendados

Siga estos procedimientos recomendados al implementar EL DNAT de IP privado:

  • Ordenación de reglas: para garantizar un orden de procesamiento correcto, coloque reglas más específicas con números de prioridad más baja.
  • Especificación de la fuente: Utilice rangos IP específicos de origen en lugar de caracteres comodín para mejorar la seguridad.
  • Segmentación de red: para aislar las redes superpuestas, implemente la segmentación de red adecuada.
  • Supervisión: para identificar problemas de rendimiento, supervise periódicamente los registros y las métricas del firewall.
  • Pruebas: para garantizar la confiabilidad en producción, pruebe exhaustivamente todas las reglas DNAT antes de implementar

Limpieza de recursos

Cuando ya no necesite el entorno de prueba, elimine el grupo de recursos para quitar todos los recursos creados en este tutorial.

  1. En Azure Portal, vaya a su grupo de recursos.

  2. Seleccione Eliminar grupo de recursos.

  3. Escriba el nombre del grupo de recursos para confirmar la eliminación.

  4. Seleccione Eliminar para quitar todos los recursos.

Pasos siguientes

En este tutorial, ha aprendido a implementar y configurar el DNAT de IP privada de Azure Firewall para escenarios de redes superpuestas y no enrutables. Ha implementado el entorno de prueba, configurado las reglas DNAT y validado la funcionalidad.

Para más información sobre las funcionalidades de DNAT de Azure Firewall:

  • Last updated on