Comparteix via

Implementación y configuración de Azure Firewall mediante Azure Portal

El control del acceso de red saliente es una parte importante de un plan de seguridad de red de ámbito general. Por ejemplo, puede que quiera limitar el acceso a sitios web. O bien, es posible que quiera limitar las direcciones IP de salida y los puertos a los que se puede acceder.

Una manera de controlar el acceso de red saliente desde una subred de Azure es con Azure Firewall. Con Azure Firewall, puede configurar:

  • Reglas de aplicación que definen los nombres de dominio completos (FQDN) a los que se puede acceder desde una subred.
  • Reglas de red que definen la dirección de origen, el protocolo, el puerto de destino y la dirección de destino.

El tráfico está sujeto a las reglas de firewall configuradas cuando enruta el tráfico al firewall como puerta de enlace predeterminada de la subred.

En este artículo, creará una red virtual simplificada con dos subredes para facilitar la implementación.

Para las implementaciones de producción, se recomienda un modelo Hub and Spoke, donde el firewall se encuentra en su propia red virtual. Los servidores de carga de trabajo se encuentran en redes virtuales emparejadas en Oeste de EE. UU. con una o varias subredes.

  • AzureFirewallSubnet: el firewall está en esta subred.
  • Carga de trabajo-SN: el servidor de carga de trabajo está en esta subred. El tráfico de red de esta subred va a través del firewall.

Diagrama de la infraestructura de red del firewall.

En este artículo aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementar un firewall
  • Crear una ruta predeterminada
  • Configurar una regla de aplicación para permitir el acceso a www.google.com
  • Configuración de una regla de red para permitir el acceso a los servidores DNS externos
  • Implementación de Azure Bastion para el acceso seguro a máquinas virtuales
  • Probar el firewall

Nota:

En este artículo se usan reglas de firewall clásicas para administrar el firewall. El método preferido es usar una directiva de firewall. Para completar este procedimiento con una directiva de firewall, consulte Tutorial: Implementación y configuración de Azure Firewall y una directiva con Azure Portal.

Si lo prefiere, puede realizar los pasos de este procedimiento mediante Azure PowerShell.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Configuración de la red

En primer lugar, cree un grupo de recursos para que contenga los recursos necesarios para implementar el firewall. A continuación, cree una red virtual, subredes y un servidor de prueba.

Crear un grupo de recursos

El grupo de recursos contiene todos los recursos que se utilizan en este procedimiento.

  1. Inicie sesión en Azure Portal.
  2. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos desde cualquier página. Seleccione Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En nombre del Grupo de recursos, escriba Test-FW-RG.
  5. En Región, seleccione Oeste de EE. UU. Todos los demás recursos que cree deben estar en Oeste de EE. UU.
  6. Selecciona Revisar + crear.
  7. Seleccione Crear.

Creación de una red virtual

Esta red virtual tiene dos subredes.

Nota:

El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  1. En el menú de Azure Portal o en la página Inicio , busque y seleccione Redes virtuales.

  2. Seleccione Crear.

  3. En la pestaña Información básica, configure los siguientes valores:

    Configuración Value
    Subscription Selecciona la suscripción
    Grupo de recursos Test-FW-RG
    Nombre de red virtual Test-FW-VN
    Region Oeste de EE. UU.

  4. Seleccione Siguiente.

  5. En la pestaña Seguridad , configure las opciones siguientes:

    Configuración Value
    Habilitación de Azure Firewall Seleccionado
    Nombre de Azure Firewall Test-FW01
    Nivel Standard
    Policy None (Usar reglas de firewall clásicas)
    Dirección IP pública de Azure Firewall Seleccione Crear una dirección IP pública, escriba fw-pip como nombre y seleccione Aceptar.

  6. Seleccione Siguiente.

  7. En la pestaña Direcciones IP , configure las opciones siguientes:

    Configuración Value
    Espacio de direcciones Acepte el valor predeterminado 10.0.0.0/16
    Subredes Seleccione el valor predeterminado, cambie Nombre a Workload-SN y establezca Dirección inicial en 10.0.2.0/24. Seleccione Guardar.

  8. Selecciona Revisar + crear.

  9. Seleccione Crear.

Nota:

Azure Firewall usa direcciones IP públicas según sea necesario en función de los puertos disponibles. Después de seleccionar aleatoriamente una dirección IP pública desde la que conectarse, solo usará la siguiente dirección IP pública disponible después de que no se puedan realizar más conexiones desde la dirección IP pública actual. En escenarios con un alto volumen de tráfico y rendimiento, se recomienda usar una puerta de enlace NAT para proporcionar conectividad saliente. Los puertos SNAT se asignan dinámicamente en todas las direcciones IP públicas asociadas a NAT Gateway. Para más información, consulte Escalado de puertos SNAT con Azure NAT Gateway.

Creación de una máquina virtual

Ahora cree la máquina virtual de la carga de trabajo y colóquela en la subred Workload-SN.

  1. En el menú de Azure Portal o en la página Inicio, seleccione Crear un recurso.

  2. Seleccione Ubuntu Server 22.04 LTS.

  3. Especifique estos valores para la máquina virtual:

    Configuración Value
    Grupo de recursos Test-FW-RG
    Nombre de la máquina virtual Srv-Work
    Region West US
    Imagen Ubuntu Server 22.04 LTS: x64 Gen2
    Tamaño Standard_B2s
    Tipo de autenticación Clave pública SSH.
    Nombre de usuario azureuser
    Origen de la clave pública SSH Se genera un par de claves nuevo
    Nombre del par de claves Srv-Work_key

  4. En la pestaña Redes , configure las opciones siguientes:

    Configuración Value
    Red de área virtual Test-FW-VN
    Subnet Workload-SN
    Dirección IP pública Ninguno

  5. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  6. Acepte los valores predeterminados y seleccione Siguiente: Supervisión.

  7. En Diagnósticos de arranque, seleccione Deshabilitar. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  8. Revise la configuración en la página de resumen y seleccione Crear.

  9. En el cuadro de diálogo Generar nuevo par de claves , seleccione Descargar clave privada y crear recurso. Guarde el archivo de clave como Srv-Work_key.pem.

  10. Una vez completada la implementación, seleccione Ir al recurso y anote la dirección IP privada de Srv-Work que usará más adelante.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo de back-end de un Standard Load Balancer, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Examen del firewall

  1. Vaya al grupo de recursos y seleccione el firewall.
  2. Anote las direcciones IP privadas y públicas del firewall. Estas direcciones se usan más adelante.

Crear una ruta predeterminada

Al crear una ruta para la conectividad saliente y entrante a través del firewall, una ruta predeterminada a 0.0.0.0/0 con la dirección IP privada del dispositivo virtual como próximo salto es suficiente. Esto dirige las conexiones salientes y entrantes a través del firewall. Por ejemplo, si el firewall cumple un protocolo de enlace TCP y responde a una solicitud entrante, la respuesta se dirige a la dirección IP que envió el tráfico. es así por diseño.

Como resultado, no es necesario crear otra ruta definida por el usuario para incluir el intervalo IP de AzureFirewallSubnet. Esto podría dar lugar a conexiones eliminadas. Con la ruta predeterminada original es suficiente.

En la subred Workload-SN, configure la ruta predeterminada de salida que pase por el firewall.

  1. En Azure Portal, busque y seleccione Tablas de rutas.

  2. Seleccione Crear.

  3. En la pestaña Información básica, configure los siguientes valores:

    Configuración Value
    Subscription Selecciona la suscripción
    Grupo de recursos Test-FW-RG
    Region Oeste de EE. UU.
    Nombre Firewall-route
    Propagar las rutas de la puerta de enlace Seleccione su preferencia.

  4. Selecciona Revisar + crear.

  5. Seleccione Crear.

Una vez finalizada la implementación, seleccione Ir al recurso.

  1. En la página Ruta de firewall, seleccione Subredes de configuración> y, a continuación, seleccione Asociar.

  2. En Red virtual, seleccione Test-FW-VN.

  3. En Subred, seleccione Workload-SN. Asegúrese de seleccionar únicamente la subred Workload-SN para esta ruta o el firewall no funcionará correctamente.

  4. Seleccione Aceptar.

  5. Seleccione Rutas y después Agregar.

  6. Configure la ruta con los valores siguientes:

    Configuración Value
    Nombre de ruta fw-dg
    Tipo de destino Direcciones IP
    Direcciones IP de destino/intervalos CIDR 0.0.0.0/0
    Tipo del próximo salto Aplicación virtual. Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.
    Dirección de próximo salto Dirección IP privada del firewall que anotó anteriormente

  7. Seleccione Agregar.

Configuración de una regla de aplicación

Esta es la regla de aplicación que permite el acceso de salida a www.google.com.

  1. Abra el grupo de recursos Test-FW-RG y seleccione el firewall Test-FW01 .

  2. En la página Test-FW01, en Configuración, seleccione Reglas (clásicas) .

  3. Seleccione la pestaña Recopilación de reglas de aplicación.

  4. Seleccione Agregar una colección de reglas de aplicación.

  5. Configure la colección de reglas con los valores siguientes:

    Configuración Value
    Nombre App-Coll01
    Priority 200
    Acción Permitir

  6. En Reglas, FQDN de destino, ajuste los valores siguientes:

    Configuración Value
    Nombre Allow-Google
    Tipo de origen Dirección IP
    Fuente 10.0.2.0/24
    Protocolo:puerto http, https
    FQDN de destino www.google.com

  7. Seleccione Agregar.

Azure Firewall incluye una colección de reglas integradas para FQDN de infraestructura que están permitidos de forma predeterminada. Estos FQDN son específicos para la plataforma y no se pueden usar para otros fines. Para más información, consulte Nombres de dominio completos de infraestructura.

Configurar una regla de red

Se trata de la regla de red que permite el acceso saliente a dos direcciones IP en el puerto 53 (DNS).

  1. Seleccione la pestaña Recopilación de reglas de red.

  2. Seleccione Agregar una colección de reglas de red .

  3. Configure la colección de reglas con los valores siguientes:

    Configuración Value
    Nombre Net-Coll01
    Priority 200
    Acción Permitir

  4. En Reglas, direcciones IP, configure las opciones siguientes:

    Configuración Value
    Nombre Allow-DNS
    Protocolo UDP
    Tipo de origen Dirección IP
    Fuente 10.0.2.0/24
    Tipo de destino Dirección IP
    Dirección de destino 209.244.0.3,209.244.0.4 (servidores DNS públicos operados por Level3)
    Puertos de destino 53

  5. Seleccione Agregar.

Implementación de Azure Bastion

Ahora implemente Azure Bastion para proporcionar acceso seguro a la máquina virtual.

  1. En el menú de Azure Portal, seleccione Crear un recurso.

  2. En el cuadro de búsqueda, escriba Bastion y selecciónelo en los resultados.

  3. Seleccione Crear.

  4. En la pestaña Información básica, configure los siguientes valores:

    Configuración Value
    Subscription Selecciona la suscripción
    Grupo de recursos Test-FW-RG
    Nombre Test-Bastion
    Region Oeste de EE. UU.
    Nivel Desarrollador
    Red de área virtual Test-FW-VN
    Subnet Seleccione Editar subred

  5. En la página Editar subred, ajuste los siguientes valores:

    Configuración Value
    Dirección inicial 10.0.4.0/26
    Tamaño /26

  6. Seleccione Guardar y cierre la página subredes.

  7. Selecciona Revisar + crear.

  8. Una vez pasada la validación, seleccione Crear.

Nota:

La implementación de Bastion tarda aproximadamente 10 minutos en completarse. El nivel Desarrollador está pensado para fines de prueba y evaluación. Para las implementaciones de producción, revise las opciones de SKU de Azure Bastion en la comparación de SKU de Azure Bastion.

Cambio de la dirección DNS principal y secundaria para la interfaz de red Srv-Work

Con fines de prueba, configure las direcciones DNS principal y secundaria del servidor. Esto no es un requisito general de Azure Firewall.

  1. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos desde cualquier página. Seleccione el grupo de recursos Test-FW-RG.

  2. Seleccione la interfaz de red de la máquina virtual Srv-Work.

  3. En Configuración, seleccione Servidores DNS.

  4. En Servidores DNS, seleccione Personalizado.

  5. Configure los siguientes servidores DNS:

    DNS server Value
    Primary 209.244.0.3
    Secondary 209.244.0.4

  6. Seleccione Guardar.

  7. Reinicie la máquina virtual Srv-Work.

Probar el firewall

Ahora, pruebe el firewall para confirmar que funciona según lo previsto.

  1. En Azure Portal, vaya a la máquina virtual Srv-Work .

  2. Seleccione Conectar y, a continuación, seleccione Conectar a través de Bastion.

  3. Seleccione Usar clave privada SSH en archivo local.

  4. En Nombre de usuario, escriba azureuser.

  5. Seleccione el icono de carpeta y vaya al archivo Srv-Work_key.pem que descargó anteriormente.

  6. Seleccione Conectar.

  7. En el símbolo del sistema de Bash, ejecute los siguientes comandos para probar la resolución DNS:

    nslookup www.google.com
nslookup www.microsoft.com

    Ambos comandos deben devolver respuestas en las que se muestre que sus consultas de DNS están pasando por el firewall.

  8. Ejecute los comandos siguientes para probar la regla de aplicación:

    curl https://www.google.com
curl https://www.microsoft.com

    La www.google.com solicitud debe tener éxito y debería recibir la respuesta HTML.

    La solicitud www.microsoft.com debería fallar, mostrando que el firewall está bloqueando dicha solicitud.

Por lo tanto, ahora ha comprobado que las reglas de firewall funcionan:

  • Puede conectarse a la máquina virtual mediante Bastion y SSH.
  • Puede navegar al FQDN permitido pero no a ningún otro.
  • Puede resolver nombres DNS con el servidor DNS externo configurado.

Limpieza de recursos

Puede conservar los recursos del firewall para continuar con las pruebas o, si ya no los necesita, eliminar el grupo de recursos Test-FW-RG para eliminarlos todos.

Pasos siguientes

  • Last updated on