Implementación y configuración de Azure Firewall mediante Azure Portal

  • Artículo
  • Tiempo de lectura: 10 minutos

El control del acceso de red saliente es una parte importante de un plan de seguridad de red de ámbito general. Por ejemplo, es posible que desee limitar el acceso a sitios web. O bien, que desee limitar las direcciones IP de salida y los puertos a los que se puede acceder.

Una manera de controlar el acceso de red saliente desde una subred de Azure es con Azure Firewall. Con Azure Firewall, puede configurar:

  • Reglas de aplicación que definen los nombres de dominio completos (FQDN) a los que se puede acceder desde una subred.
  • Reglas de red que definen la dirección de origen, el protocolo, el puerto de destino y la dirección de destino.

El tráfico está sujeto a las reglas de firewall configuradas cuando enruta el tráfico al firewall como puerta de enlace predeterminada de la subred.

En este artículo, creará una red virtual única simplificada con dos subredes para facilitar la implementación.

Para las implementaciones de producción, se recomienda un modelo de concentrador y radio, en el que el firewall está en su propia red virtual. Los servidores de las cargas de trabajo están en redes virtuales emparejadas en la misma región con una o varias subredes.

  • AzureFirewallSubnet: el firewall está en esta subred.
  • Workload-SN: el servidor de carga de trabajo está en esta subred. El tráfico de red de esta subred va a través del firewall.

Infraestructura de red

En este artículo aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementar un firewall
  • Crear una ruta predeterminada
  • Configurar una regla de aplicación para permitir el acceso a www.google.com
  • Configuración de una regla de red para permitir el acceso a los servidores DNS externos
  • Configurar una regla NAT para permitir un escritorio remoto en el servidor de prueba
  • Probar el firewall

Nota

En este artículo se usan reglas de firewall clásicas para administrar el firewall. El método preferido es usar una directiva de firewall. Para completar este procedimiento con una directiva de firewall, consulte Tutorial: Implementación y configuración de Azure Firewall y una directiva con Azure Portal.

Si lo prefiere, puede realizar los pasos de este procedimiento mediante Azure PowerShell.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Configuración de la red

En primer lugar, cree un grupo de recursos para que contenga los recursos necesarios para implementar el firewall. A continuación, cree una red virtual, subredes y un servidor de prueba.

Crear un grupo de recursos

El grupo de recursos contiene todos los recursos que se utilizan en este procedimiento.

  1. Inicie sesión en Azure Portal en https://portal.azure.com.
  2. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos desde cualquier página. Seleccione Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Nombre del grupo de recursos, escriba Test-FW-RG.
  5. En Ubicación del grupo de recursos: seleccione una ubicación. Los demás recursos que cree deben estar en la misma ubicación.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Creación de una red virtual

Esta red virtual tendrá tres subredes.

Nota

El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Seleccione Redes>Red virtual.

  3. En Suscripción, seleccione la suscripción.

  4. En Grupo de recursos, seleccione Test-FW-RG.

  5. En Nombre, escriba Test-FW-VN.

  6. En Región, seleccione la misma ubicación que usó anteriormente.

  7. Seleccione Siguiente: Direcciones IP.

  8. En Espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.

  9. En Nombre de subred, seleccione predeterminada.

  10. En Nombre de subred, cámbielo por AzureFirewallSubnet. El firewall estará en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.

  11. En Intervalo de direcciones, cámbielo por 10.0.1.0/26.

  12. Seleccione Guardar.

    A continuación, cree una subred para el servidor de la carga de trabajo.

  13. Haga clic en Agregar subred.

  14. En Nombre de subred, escriba Workload-SN.

  15. En Intervalo de direcciones de subred, escriba 10.0.2.0/24.

  16. Seleccione Agregar.

  17. Seleccione Revisar + crear.

  18. Seleccione Crear.

Creación de una máquina virtual

Ahora cree la máquina virtual de la carga de trabajo y colóquela en la subred Workload-SN.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter.

  3. Especifique estos valores para la máquina virtual:

    Configuración Valor
    Resource group Test-FW-RG
    Nombre de la máquina virtual Srv-Work
    Region Igual que la anterior
    Imagen Windows Server 2019 Datacenter
    Nombre de usuario del administrador Escriba un nombre de usuario.
    Contraseña Escriba una contraseña.

  4. En Reglas de puerto de entrada, en Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los restantes valores predeterminados y seleccione Siguiente: Discos.

  6. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  7. Asegúrese de que Test-FW-VN está seleccionada como red virtual y que la subred es Workload-SN.

  8. En IP pública, seleccione Ninguno.

  9. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  10. En Diagnósticos de arranque, seleccione Deshabilitar para deshabilitar los diagnósticos de arranque. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  11. Revise la configuración en la página de resumen y seleccione Crear.

  12. Una vez completada la implementación, seleccione Srv-Work y anote la dirección IP privada que usará más adelante.

Nota

Azure proporciona una dirección IP de acceso de salida predeterminado para las máquinas virtuales que no tienen asignada una dirección IP pública o que se encuentran en el grupo de back-end de una instancia de Azure Load Balancer del nivel Básico interna. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La IP de acceso de salida predeterminada está deshabilitada cuando se asigna una IP pública a la máquina virtual, la máquina virtual se coloca en el grupo de back-end de un equilibrador de carga estándar (con o sin reglas de salida) o si se asigna un recurso de puerta de enlace de Azure Virtual Network NAT a la subred de la máquina virtual.

Las máquinas virtuales creadas por conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para obtener más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Implementación del firewall

Implemente el firewall en la red virtual.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Escriba firewall en el cuadro de búsqueda y presione Entrar.

  3. Seleccione Firewall y después Crear.

  4. En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:

    Configuración Valor
    Suscripción <su suscripción>
    Resource group Test-FW-RG
    Nombre Test-FW01
    Region Seleccione la misma ubicación que usó anteriormente.
    Nivel de firewall Estándar
    Administración del firewall Use reglas de firewall (clásicas) para administrar este firewall.
    Elegir una red virtual Usar existente: Test-FW-VN
    Dirección IP pública Agregar nueva
    Nombre: fw-pip

  5. Acepte los restantes valores predeterminados y, después, seleccione Revisar y crear.

  6. Revise el resumen y seleccione Crear para crear el firewall.

    La implementación tardará varios minutos.

  7. Una vez finalizada la implementación, vaya al grupo de recursos Test-FW-RG y seleccione el firewall Test-FW01.

  8. Anote las direcciones IP privadas y públicas del firewall. Usará estas direcciones más adelante.

Crear una ruta predeterminada

Al crear una ruta para la conectividad saliente y entrante a través del firewall, basta con una ruta predeterminada a 0.0.0.0/0 con la dirección IP privada de la aplicación virtual como próximo salto. Dicha ruta se encargará de las conexiones salientes y entrantes para pasar por el firewall. Por ejemplo, si el firewall cumple un protocolo de enlace TCP y responde a una solicitud entrante, la respuesta se dirige a la dirección IP que envió el tráfico. es así por diseño.

Como resultado, no es necesario crear una UDR adicional para incluir el intervalo IP AzureFirewallSubnet. Esto puede dar lugar a que se descarten conexiones. Con la ruta predeterminada original es suficiente.

En la subred Workload-SN, configure la ruta predeterminada de salida que pase por el firewall.

  1. En el menú de Azure Portal, seleccione Crear un recurso.
  2. En Redes, seleccione Tablas de rutas.
  3. En Suscripción, seleccione la suscripción.
  4. En Grupo de recursos, seleccione Test-FW-RG.
  5. En Región, seleccione la misma ubicación que usó anteriormente.
  6. En Nombre, escriba Firewall-route.
  7. Seleccione Revisar + crear.
  8. Seleccione Crear.

Una vez finalizada la implementación, seleccione Ir al recurso.

  1. En la página Ruta de firewall, seleccione Subredes y, luego, seleccione Asociar.

  2. Seleccione Red virtual>FW-Test-VN.

  3. En Subred, seleccione Workload-SN. Asegúrese de seleccionar únicamente la subred Workload-SN para esta ruta o el firewall no funcionará correctamente.

  4. Seleccione Aceptar.

  5. Seleccione Rutas y después Agregar.

  6. En Nombre de ruta, escriba fw-dg.

  7. Para Destino de prefijo de dirección, seleccione Direcciones IP.

  8. Para Intervalos de direcciones IP de destino y CIDR, escriba 0.0.0.0/0.

  9. En Tipo del próximo salto, seleccione Aplicación virtual.

    Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.

  10. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.

  11. Seleccione Agregar.

Configuración de una regla de aplicación

Esta es la regla de aplicación que permite el acceso de salida a www.google.com.

  1. Abra Test-FW-RGy seleccione el firewall Test-FW01.
  2. En la página Test-FW01, en Configuración, seleccione Reglas (clásicas) .
  3. Seleccione la pestaña Recopilación de reglas de aplicación.
  4. Seleccione Agregar una colección de reglas de aplicación.
  5. En Nombre, escriba App-Coll01.
  6. En Priority, escriba 200.
  7. En Acción, seleccione Permitir.
  8. En Reglas, FQDN de destino, como Nombre escriba Allow-Google.
  9. Como Tipo de origen, seleccione Dirección IP.
  10. Como Origen, escriba 10.0.2.0/24.
  11. En Protocolo:Puerto, escriba http, https.
  12. En FQDN de destino, escriba www.google.com.
  13. Seleccione Agregar.

Azure Firewall incluye una colección de reglas integradas para FQDN de infraestructura que están permitidos de forma predeterminada. Estos FQDN son específicos para la plataforma y no se pueden usar para otros fines. Para más información, consulte Nombres de dominio completos de infraestructura.

Configurar una regla de red

Se trata de la regla de red que permite el acceso saliente a dos direcciones IP en el puerto 53 (DNS).

  1. Seleccione la pestaña Recopilación de reglas de red.

  2. Seleccione Agregar una colección de reglas de red .

  3. En Nombre, escriba Net-Coll01.

  4. En Priority, escriba 200.

  5. En Acción, seleccione Permitir.

  6. En Reglas, Direcciones IP, como Nombre, escriba Allow-DNS.

  7. En Protocolo, seleccione UDP.

  8. Como Tipo de origen, seleccione Dirección IP.

  9. Como Origen, escriba 10.0.2.0/24.

  10. En Tipo de destino, seleccione Dirección IP.

  11. Como Dirección de destino, escriba 209.244.0.3,209.244.0.4.

    Estos son servidores DNS públicos que ofrece el Nivel 3.

  12. En Puertos de destino, escriba 53.

  13. Seleccione Agregar.

Configurar una regla de DNAT

Esta regla le permite conectar un escritorio remoto a la máquina virtual Srv-Work a través del firewall.

  1. Seleccione la pestaña Colección de reglas NAT.
  2. Seleccione Agregar una colección de reglas NAT.
  3. En Nombre, escriba rdp.
  4. En Priority, escriba 200.
  5. En Reglas, en Nombre, escriba rdp-nat.
  6. En Protocolo, seleccione TCP.
  7. Como Tipo de origen, seleccione Dirección IP.
  8. En Origen, escriba *.
  9. En Dirección de destino, escriba la dirección IP pública del firewall.
  10. En Puertos de destino, escriba 3389.
  11. En Dirección traducida, escriba la dirección IP privada de Srv-Work.
  12. En Puerto traducido, escriba 3389.
  13. Seleccione Agregar.

Cambio de la dirección DNS principal y secundaria para la interfaz de red Srv-Work

Con fines de prueba, configure las direcciones DNS principal y secundaria del servidor. Esto no es un requisito general de Azure Firewall.

  1. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos desde cualquier página. Seleccione el grupo de recursos Test-FW-RG.
  2. Seleccione la interfaz de red de la máquina virtual Srv-Work.
  3. En Configuración, seleccione Servidores DNS.
  4. En Servidores DNS, seleccione Personalizado.
  5. Escriba 209.244.0.3 en el cuadro de texto Agregar servidor DNS y 209.244.0.4 en el siguiente cuadro de texto.
  6. Seleccione Guardar.
  7. Reinicie la máquina virtual Srv-Work.

Probar el firewall

Ahora, pruebe el firewall para confirmar que funciona según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall e inicie sesión en la máquina virtual Srv-Work.

  2. Abra Internet Explorer y vaya a https://www.google.com.

  3. Seleccione Aceptar>Cerrar en las alertas de seguridad de Internet Explorer.

    Debería ver la página principal de Google.

  4. Vaya a https://www.microsoft.com.

    El firewall debería bloquearle.

Con ello, ha comprobado que las reglas de firewall funcionan:

  • Puede conectarse a la máquina virtual mediante RDP.
  • Puede navegar al FQDN permitido pero no a ningún otro.
  • Puede resolver nombres DNS con el servidor DNS externo configurado.

Limpieza de recursos

Puede conservar los recursos del firewall para continuar con las pruebas o, si ya no los necesita, eliminar el grupo de recursos Test-FW-RG para eliminarlos todos.

Pasos siguientes

Tutorial: Supervisión de los registros de Azure Firewall