Planeación de la implementación de Azure Firewall
Para poder implementar Azure Firewall, debe planear la topología de red, identificar las reglas de firewall que necesitará y comprender los pasos de implementación.
Topología de red recomendada
Recuerde que Azure Firewall se implementa mejor mediante una topología de red tipo hub-and-spoke con las siguientes características:
- Una red virtual que actúa como el punto de conectividad central. Esta red es la red virtual del concentrador.
- Una o varias redes virtuales que están emparejadas con el concentrador. Estos elementos del mismo nivel son las redes virtuales de radio y se usan para aprovisionar servidores de carga de trabajo.
Puede implementar la instancia de firewall en una subred de la red virtual del concentrador y, a continuación, configurar todo el tráfico entrante y saliente para pasar por el firewall. Usará esta configuración al implementar Azure Firewall para proteger el grupo de hosts para Azure Virtual Desktop.
Reglas de Azure Firewall
Recuerde que, de forma predeterminada, el firewall deniega el acceso a todo. Su trabajo consiste en configurar el firewall con las condiciones en las que se permite el tráfico a través del firewall. Cada condición se denomina regla. Cada regla aplica una o varias comprobaciones de los datos. Solo se permite el paso del tráfico que supera todas las comprobaciones en todas las reglas del firewall.
En la tabla siguiente se describen los tres tipos de reglas que puede crear para un firewall de Azure. Para permitir el tráfico de red adecuado para Azure Virtual Desktop, deberá usar reglas de aplicación y red.
| Tipo de regla | Descripción |
|---|---|
| Traducción de direcciones de red (NAT) | El tráfico entrante de Internet se convierte y filtra en función de la dirección IP pública del firewall y un número de puerto especificado. Por ejemplo, para habilitar una conexión de Escritorio remoto a una máquina virtual , puede usar una regla NAT para traducir la dirección IP pública del firewall y el puerto 3389 a la dirección IP privada de la máquina virtual. |
| Aplicación | Filtre el tráfico en función de un nombre de dominio completo (FQDN) o una etiqueta FQDN. Una etiqueta FQDN representa un grupo de FQDN asociados a servicios conocidos de Microsoft, como Azure Virtual Desktop. Por ejemplo, usará una regla de aplicación para permitir el tráfico saliente para las máquinas virtuales de Azure Virtual Desktop mediante la etiqueta FQDN WindowsVirtualDesktop. |
| Red | Filtre el tráfico en función de uno o varios de los tres parámetros de red siguientes: dirección IP, puerto y protocolo. Por ejemplo, use una regla de red para permitir el tráfico desde una dirección IP privada del servidor de dominio de Active Directory local a Azure para el puerto TCP y UDP 53. Si usa Microsoft Entra Domain Server, no es necesario crear una regla de red. Las consultas DNS son enviadas a Azure DNS en 168.63.129.16. |
Azure Firewall aplica las reglas en orden de prioridad. Las reglas basadas en la inteligencia sobre amenazas siempre reciben la prioridad más alta y se procesan primero. Después, las reglas se aplican por tipo: reglas NAT, reglas de red y reglas de aplicación. Dentro de cada tipo, las reglas se procesan según los valores de prioridad que les asigne al crearlas, del valor más bajo al más alto.
Opciones de implementación
Recuerde que Azure Firewall ofrece muchas características diseñadas para facilitar la creación y administración de reglas. Estas características se resumen en la tabla siguiente. Para permitir el tráfico de red para Azure Virtual Desktop, usará etiquetas FQDN, pero también podría usar estas otras opciones en su entorno.
| Característica | Descripción |
|---|---|
| FQDN | Un nombre de dominio de un host, o bien una o varias direcciones IP. La adición de un FQDN a una regla de aplicación permite el acceso a ese dominio. Al usar un FQDN en una regla de aplicación, puede usar caracteres comodín, como *.google.com. |
| FQDN tag | Un grupo de FQDN conocidos de Microsoft. La adición de una etiqueta FQDN a una regla de aplicación permite el acceso de salida a los FQDN de la etiqueta. Por ejemplo, hay etiquetas FQDN para Windows Update, Azure Virtual Desktop, diagnósticos de Windows y Azure Backup. Microsoft administra etiquetas FQDN y no puede modificarlas ni crearlas. |
| Etiqueta de servicio | Un grupo de prefijos de dirección IP relacionados con un servicio de Azure concreto. La adición de una etiqueta de servicio a una regla de red permite el acceso al servicio representado por la etiqueta. Hay etiquetas de servicio para docenas de servicios de Azure, como Azure Backup, Azure Cosmos DB y Azure Logic Apps. Microsoft administra etiquetas de servicio y no puede modificarlas ni crearlas. |
| Grupos de IP | Un grupo de direcciones IP, como 10.2.0.0/16 o 10.1.0.0-10.1.0.31. Puede usar un grupo de direcciones IP como la dirección de origen en una regla de NAT o de aplicación, o bien como la dirección de origen o de destino en una regla de red. |
| DNS personalizado | Un servidor DNS personalizado que resuelve los nombres de dominio en direcciones IP. Si usa un servidor DNS personalizado en lugar de Azure DNS, también debe configurar Azure Firewall como un proxy DNS. |
| Proxy DNS | Puede configurar Azure Firewall para que actúe como proxy DNS, lo que significa que todas las solicitudes DNS de cliente pasan por el firewall antes de ir al servidor DNS. |
Pasos de implementación para Azure Firewall
En el ejercicio anterior, creó un grupo de hosts y una red virtual con una subred. Ha implementado una máquina virtual de host de sesión en esa subred y la ha registrado con el grupo de hosts. En los ejercicios siguientes, completará los pasos siguientes para implementar Azure Firewall para proteger el grupo de hosts.
Configuración de la red:
- Cree una red virtual de concentrador que incluya una subred para la implementación del firewall.
- Empareje las redes de concentrador y radio. En el ejercicio siguiente, emparejará la red virtual de centro con la red virtual que usa el grupo de hosts de Azure Virtual Desktop.
Implementación de Azure Firewall:
- Implemente Azure Firewall en una subred de la red virtual del centro de conectividad.
- Para el tráfico saliente, cree una ruta predeterminada que envíe el tráfico de todas las subredes a la dirección IP privada del firewall.
Creación de reglas de Azure Firewall:
- Configure el firewall con reglas para filtrar el tráfico entrante y saliente.