Despliegue y configuración de Azure Firewall Básico y política mediante el Azure Portal

Azure Firewall Basic proporciona la protección esencial que los clientes de SMB necesitan a un precio asequible. Esta solución se recomienda para entornos de cliente SMB con menos de 250 Mbps de rendimiento. Implemente la SKU estándar para entornos con más de 250 Mbps de rendimiento y la SKU Premium para la protección contra amenazas avanzada.

El filtrado del tráfico de red y aplicación es una parte importante de un plan general de seguridad de red. Por ejemplo, es posible que quiera limitar el acceso a los sitios web. O bien, es posible que quiera limitar las direcciones IP de salida y los puertos a los que se puede acceder.

Una manera de controlar el acceso de red entrante y saliente desde una subred de Azure es con Azure Firewall y la directiva de firewall. Mediante Azure Firewall y la directiva de firewall, puede configurar:

  • Reglas de aplicación que definen los nombres de dominio completos (FQDN) a los que se puede acceder desde una subred.
  • Reglas de red que definen la dirección de origen, el protocolo, el puerto de destino y la dirección de destino.
  • Reglas DNAT para traducir y filtrar el tráfico de Internet entrante hacia tus subredes.

El tráfico está sujeto a las reglas de firewall configuradas cuando enruta el tráfico al firewall como puerta de enlace predeterminada de la subred.

En este artículo, creará una red virtual simplificada con tres subredes para facilitar la implementación. Firewall Basic tiene un requisito obligatorio para configurarse con una NIC de administración.

  • AzureFirewallSubnet: el firewall está en esta subred.
  • AzureFirewallManagementSubnet : para el tráfico de administración de servicios.
  • Workload-SN: el servidor de carga de trabajo está en esta subred. El tráfico de red de esta subred va a través del firewall.

Nota:

Como Azure Firewall Basic tiene un control limitado del tráfico en comparación con la SKU Estándar o Premium de Azure Firewall, requiere AzureFirewallManagementSubnet para separar el tráfico del cliente del tráfico de administración de Microsoft para garantizar que no se produzca ninguna interrupción. Este tráfico de administración es necesario para las actualizaciones y la comunicación de métricas de estado que se produce automáticamente a y desde Microsoft solo. No se permite ninguna otra conexión en esta dirección IP.

Para implementaciones de producción, use un modelo hub-and-spoke, donde el cortafuegos está en su propia red virtual. Los servidores de carga de trabajo están en redes virtuales emparejadas en la misma región con una o varias subredes.

En este artículo aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementación de un firewall básico y una directiva de firewall básica
  • Crear una ruta predeterminada
  • Configuración de una regla de aplicación para permitir el acceso a www.google.com
  • Configuración de una regla de red para permitir el acceso a los servidores DNS externos
  • Configuración de una regla NAT para permitir un escritorio remoto al servidor de prueba
  • Probar el firewall

Si lo prefiere, puede completar este procedimiento mediante Azure PowerShell.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de un grupo de recursos

El grupo de recursos contiene todos los recursos para la guía paso a paso.

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Grupos de recursos y, a continuación, seleccione Crear.

  3. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Subscription Selecciona tu suscripción.
    Nombre del grupo de recursos Escriba Test-FW-RG.
    Región Seleccione una región. Todos los demás recursos que cree deben estar en la misma región.

  4. Seleccione Revisar y crear y, luego, Crear.

Implementación del firewall y la directiva

Implemente el firewall y cree la infraestructura de red asociada.

  1. En el menú de Azure Portal o en el panel Inicio , seleccione Crear un recurso.

  2. Escriba firewall en el cuadro de búsqueda y presione Entrar.

  3. Seleccione Firewall y después Crear.

  4. En Crear un firewall, escriba o seleccione los valores siguientes:

    Configuración Importancia
    Subscription Selecciona tu suscripción.
    Grupo de recursos Seleccione Test-FW-RG.
    Nombre Escriba Test-FW01.
    Región Seleccione la misma ubicación que usó anteriormente.
    Nivel de firewall Basic
    Administración del firewall Uso de una directiva de firewall para administrar este firewall
    Directiva de firewall Seleccione Agregar nuevo. Escriba fw-test-pol, seleccione la región y confirme que el nivel de directiva tiene como valor predeterminado Básico.
    Elegir una red virtual Seleccione Crear nuevo. Escriba Test-FW-VN como nombre, 10.0.0.0/16 para el espacio de direcciones y 10.0.0.0/26 para el espacio de direcciones de subred.
    Dirección IP pública Seleccione Agregar nuevo y escriba fw-pip como nombre.
    Administración: espacio de direcciones de subred 10.0.1.0/26
    Dirección IP pública de administración Seleccione Agregar nuevo y escriba fw-mgmt-pip como nombre.

  5. Acepte los demás valores predeterminados y, a continuación, seleccione Revisar y crear.

  6. Revise el resumen y, a continuación, seleccione Crear para crear el firewall.

    La implementación tarda unos minutos.

  7. Una vez finalizada la implementación, vaya al grupo de recursos Test-FW-RG y seleccione el firewall Test-FW01 .

  8. Tenga en cuenta las direcciones IP públicas y privadas del firewall (fw-pip). Estas direcciones se usan más adelante.

Creación de una subred para el servidor de cargas de trabajo

A continuación, cree una subred para el servidor de cargas de trabajo.

  1. Vaya al grupo de recursos Test-FW-RG y seleccione la red virtual Test-FW-VN .
  2. Seleccione Subredes y, después, + Subred.
  3. En Nombre de subred, escriba Workload-SN. Para Intervalo de direcciones de subred, escriba 10.0.2.0/24.
  4. Haga clic en Guardar.

Creación de una máquina virtual

Cree la máquina virtual de carga de trabajo y colóquela en la subred Workload-SN .

  1. En el menú de Azure Portal o Inicio, seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter.

  3. Escriba los valores siguientes para la máquina virtual:

    Configuración Importancia
    Grupo de recursos Test-FW-RG
    Nombre de la máquina virtual Srv-Work
    Región Igual que antes
    Imagen Windows Server 2019 Datacenter
    Nombre de usuario del administrador Escriba un nombre de usuario.
    Contraseña Escriba una contraseña

  4. En Reglas de puerto de entrada, para Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los valores predeterminados en la pestaña Discos y seleccione Siguiente: Redes.

  6. En Red virtual, seleccione Test-FW-VN. En Subred, seleccione Workload-SN. En Dirección IP pública, seleccione Ninguno.

  7. Acepte los valores predeterminados a través de Administración y, a continuación, en la pestaña Supervisión , seleccione Deshabilitar para diagnósticos de arranque. Seleccione Revisar y crear y, luego, Crear.

  8. Una vez finalizada la implementación, seleccione el recurso Srv-Work y anote la dirección IP privada para su uso posterior.

Crear una ruta predeterminada

Para la subred Workload-SN , configure la ruta predeterminada de salida para pasar por el firewall.

  1. Busque y seleccione Tablas de rutas y, a continuación, seleccione Crear.

  2. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Subscription Selecciona tu suscripción.
    Grupo de recursos Seleccione Test-FW-RG.
    Región Seleccione la misma ubicación que usó anteriormente.
    Nombre Escribe Firewall-route.

  3. Seleccione Revisar y crear y, luego, Crear. Cuando finalice la implementación, seleccione Go to resource (Ir al recurso).

  4. En la página Ruta de firewall , seleccione Subredes y, a continuación, seleccione Asociar.

  5. Seleccione Virtual network>Test-FW-VN. En Subred, seleccione Workload-SN.

    Importante

    Seleccione solo la subred Workload-SN para esta ruta; de lo contrario, el firewall no funciona correctamente.

  6. Selecciona Aceptar.

  7. Seleccione Rutas y después Agregar. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre de ruta fw-dg
    Destino del prefijo de dirección Direcciones IP
    Direcciones IP de destino/intervalos CIDR 0.0.0.0/0
    Tipo del próximo salto Aplicación virtual (Azure Firewall es un servicio administrado, pero la aplicación virtual funciona aquí).
    Dirección del próximo nodo Dirección IP privada del firewall que anotó anteriormente.

  8. Selecciona Agregar.

Configuración de una regla de aplicación

Esta regla de aplicación concede acceso saliente a www.google.com.

  1. Abra Test-FW-RG y seleccione la directiva de firewall fw-test-pol .

  2. Seleccione Reglas de aplicación y, a continuación, seleccione Agregar una colección de reglas.

  3. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre App-Coll01
    Priority 200
    Acción de colección de reglas Permitir

  4. En Reglas, escriba o seleccione los valores siguientes:

    Configuración Importancia
    Nombre Allow-Google
    Tipo de origen Dirección IP
    Fuente 10.0.2.0/24
    Protocolo:puerto http, https
    Tipo de destino FQDN
    Destino www.google.com

  5. Selecciona Agregar.

Azure Firewall incluye una colección de reglas integradas para FQDN de infraestructura que están permitidos de forma predeterminada. Estos FQDN son específicos de la plataforma y no se pueden usar para otros fines. Para más información, consulte Nombres de dominio completos de infraestructura.

Configurar una regla de red

Esta regla de red concede acceso saliente a dos direcciones IP en el puerto 53 (DNS).

  1. Seleccione Reglas de red y, a continuación, seleccione Agregar una colección de reglas.

  2. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre Net-Coll01
    Priority 200
    Acción de colección de reglas Permitir
    Grupo de colección de reglas DefaultNetworkRuleCollectionGroup

  3. En Reglas, escriba o seleccione los valores siguientes:

    Configuración Importancia
    Nombre Allow-DNS
    Tipo de origen Dirección IP
    Fuente 10.0.2.0/24
    Protocolo UDP
    Puertos de destino 53
    Tipo de destino Dirección IP
    Destino 209.244.0.3,209.244.0.4 (servidores DNS públicos operados por Level3)

  4. Selecciona Agregar.

Configuración de una regla DNAT

Esta regla conecta un escritorio remoto a la máquina virtual Srv-Work a través del firewall.

  1. Seleccione Reglas DNAT y, a continuación, seleccione Agregar una colección de reglas.

  2. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre rdp
    Priority 200
    Grupo de colección de reglas DefaultDnatRuleCollectionGroup

  3. En Reglas, escriba o seleccione los valores siguientes:

    Configuración Importancia
    Nombre rdp-nat
    Tipo de origen Dirección IP
    Fuente *
    Protocolo TCP
    Puertos de destino 3389
    Tipo de destino Dirección IP
    Destino La dirección IP pública del firewall (fw-pip)
    Dirección traducida La dirección IP privada de Srv-Work
    Puerto traducido 3389

  4. Selecciona Agregar.

Cambiar la dirección DNS principal y secundaria de la interfaz de red Srv-Work

Para realizar pruebas en este artículo, configure las direcciones DNS principal y secundaria del servidor. Esta configuración no es un requisito general de Azure Firewall.

  1. En Azure Portal, vaya a Grupos de recursos, ya sea en el menú o buscando y, a continuación, seleccione Test-FW-RG.
  2. Seleccione la interfaz de red de la máquina virtual Srv-Work .
  3. En Configuración, seleccione Servidores DNS.
  4. En Servidores DNS, seleccione Personalizado.
  5. Escriba 209.244.0.3 en el cuadro de texto Agregar servidor DNS y 209.244.0.4 en el cuadro de texto siguiente.
  6. Haga clic en Guardar.
  7. Reinicie la máquina virtual Srv-Work .

Probar el firewall

Ahora, pruebe el firewall para confirmar que funciona según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall (fw-pip) e inicie sesión en la máquina virtual Srv-Work .

  2. Abra Microsoft Edge y vaya a https://www.google.com. Verá la página principal de Google.

  3. Vaya a http://www.microsoft.com.

    El firewall le bloquea.

Ahora ha comprobado que las reglas de firewall funcionan:

  • Puede conectar un escritorio remoto a la máquina virtual Srv-Work.
  • Puede navegar al FQDN permitido pero no a ningún otro.
  • Puede resolver nombres DNS mediante el servidor DNS externo configurado.

Limpieza de recursos

Puede mantener los recursos del firewall para realizar más pruebas. Si ya no los necesita, elimine el grupo de recursos Test-FW-RG para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes

Implementación y configuración de Azure Firewall Premium

  • Last updated on