Filtrado del tráfico de entrada de Internet con la DNAT de Azure Firewall mediante Azure Portal

  • Artículo

La traducción de direcciones de red de destino (DNAT) de Azure Firewall se puede configurar para traducir y filtrar el tráfico de Internet que entra a las subredes. Al configurar DNAT, en la acción de colección de la regla NAT se selecciona DNAT. Luego, todas las reglas de la colección de reglas NAT pueden usarse para traducir la dirección IP y el puerto públicos del firewall a una dirección IP y puerto privados. Las reglas DNAT agregan implícitamente una regla de red correspondiente implícita para permitir el tráfico traducido. Por motivos de seguridad, se recomienda agregar un origen de Internet específico para permitir el acceso de DNAT a la red y evitar el uso de caracteres comodín. Para más información acerca de la lógica de procesamiento de reglas Azure Firewall, consulte Lógica de procesamiento de reglas de Azure Firewall.

Nota:

En este artículo se usan reglas de firewall clásicas para administrar el firewall. El método preferido es usar una directiva de firewall. Para completar este procedimiento mediante la directiva de firewall, consulte Tutorial: Filtrado del tráfico entrante de Internet con DNAT de la directiva de Azure Firewall mediante Azure Portal.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Crear un grupo de recursos

  1. Inicie sesión en Azure Portal.
  2. En la página principal de Azure Portal, seleccione Grupos de recursos y, después, Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Grupo de recursos, escriba RG-DNAT-Test.
  5. En Región, seleccione una región. Los demás recursos que cree deben estar en la misma región.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Configuración del entorno de red

En este artículo, se crean dos redes virtuales emparejadas:

  • VN-Hub: el firewall está en esta red virtual.
  • VN-Spoke: el servidor de carga de trabajo está en esta red virtual.

En primer lugar, cree las redes virtuales y, después, emparéjelas.

Creación de la red virtual Hub

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En Redes, seleccione Redes virtuales.

  3. Seleccione Crear.

  4. En Grupo de recursos, seleccione RG-DNAT-Test.

  5. En Nombre, escriba VN-Hub.

  6. En Región, seleccione la misma región que usó antes.

  7. Seleccione Siguiente.

  8. En la pestaña Seguridad, seleccione Siguiente.

  9. En Espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.

  10. En Subredes, seleccione Valor predeterminado.

  11. En Plantilla de subred, seleccione Azure Firewall.

    El firewall estará en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.

    Nota

    El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  12. Seleccione Guardar.

  13. Seleccione Revisar + crear.

  14. Seleccione Crear.

Creación de la red virtual Spoke

  1. En la página principal de Azure Portal, seleccione Todos los servicios.
  2. En Redes, seleccione Redes virtuales.
  3. Seleccione Crear.
  4. En Grupo de recursos, seleccione RG-DNAT-Test.
  5. En Nombre, escriba VN-Spoke.
  6. En Región, seleccione la misma región que usó antes.
  7. Seleccione Siguiente.
  8. En la pestaña Seguridad, seleccione Siguiente.
  9. En Espacio de direcciones IPv4, edite el valor predeterminado y escriba 192.168.0.0/16.
  10. En Subredes, seleccione Valor predeterminado.
  11. En el Nombre de subred, escriba SN-Workload.
  12. Para dirección de inicio, escriba 192.168.1.0.
  13. En Tamaño de subred, seleccione /24.
  14. Seleccione Guardar.
  15. Seleccione Revisar + crear.
  16. Seleccione Crear.

Emparejamiento de las redes virtuales

Ahora empareje las dos redes virtuales.

  1. Seleccione la red virtual VN-Hub.
  2. En Configuración, seleccione Emparejamientos.
  3. Seleccione Agregar.
  4. En Esta red virtual, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-HubSpoke.
  5. En Red virtual remota, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-SpokeHub.
  6. Seleccione VN-Spoke como red virtual.
  7. Acepte todos los demás valores predeterminados y seleccione Agregar.

Creación de una máquina virtual

Crear una máquina virtual de cargas de trabajo y colóquela en la subred SN-Workload.

  1. En el menú de Azure Portal, seleccione Crear un recurso.
  2. En Productos populares del Marketplace, seleccione Windows Server 2019 Datacenter.

Conceptos básicos

  1. En Suscripción, seleccione la suscripción.
  2. En Grupo de recursos, seleccione RG-DNAT-Test.
  3. En Nombre de máquina virtual, escriba Srv-Workload.
  4. En Región, seleccione la misma ubicación que usó anteriormente.
  5. Escriba un nombre de usuario y una contraseña.
  6. Seleccione Siguiente: Discos.

Discos

  1. Seleccione Siguiente: Redes.

Redes

  1. En Red virtual, seleccione VN-Spoke (Radio de VN).
  2. En Subred, seleccione SN-Workload.
  3. En IP pública, seleccione Ninguno.
  4. En Puertos de entrada públicos, seleccione Ninguno.
  5. Deje los demás valores predeterminados y seleccione Siguiente: Administración.

Administración

  1. Seleccione Siguiente: Supervisión.

Supervisión

  1. En Diagnósticos de arranque, seleccione Deshabilitar.
  2. Seleccione Revisar + crear.

Revisar y crear

Revise el resumen y luego seleccione Crear. Este procedimiento tarda unos minutos en completarse.

Al finalizar la implementación, anote la dirección IP privada de la máquina virtual, Se usa más adelante al configurar el firewall. Seleccione el nombre de la máquina virtual. Seleccione Información generaly, en Redes anote la dirección IP privada.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la sub red de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Implementación del firewall

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque Firewall y, a continuación, seleccione Firewall.

  3. Seleccione Crear.

  4. En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:

    Configuración Valor
    Suscripción <su suscripción>
    Resource group Seleccione RG-DNAT-test.
    Nombre FW-DNAT-test
    Region Seleccione la misma ubicación que usó anteriormente.
    SKU del firewall Estándar
    Administración del firewall Use reglas de firewall (clásicas) para administrar este firewall.
    Elegir una red virtual Usar existente: VN-Hub
    Dirección IP pública Agregue nuevo, nombre: fw-pip.

  5. Acepte los demás valores predeterminados y, después, seleccione Revisar y crear.

  6. Revise el resumen y seleccione Crear para crear el firewall.

    Esto tarda unos minutos en implementarse.

  7. Tras finalizar la implementación, vaya al grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.

  8. Anote las direcciones IP privadas y públicas del firewall. Las usará más adelante cuando cree la ruta predeterminada y la regla NAT.

Crear una ruta predeterminada

En la subred SN-Workload, configure la ruta predeterminada de salida para que cruce el firewall.

Importante

No es necesario volver a configurar una ruta explícita de vuelta al firewall en la subred de destino. Azure Firewall es un servicio con estado y controla automáticamente los paquetes y sesiones. Si crea esta ruta, creará un entorno de enrutamiento asimétrico que interrumpa la lógica de sesión con estado y genere paquetes y conexiones descartados.

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque tabla de rutas y selecciónelo.

  3. Seleccione Crear.

  4. En Suscripción, seleccione la suscripción.

  5. En Grupo de recursos, seleccione RG-DNAT-Test.

  6. En Región, seleccione la misma región que usó anteriormente.

  7. En Nombre, escriba RT-FWroute.

  8. Seleccione Revisar + crear.

  9. Seleccione Crear.

  10. Haga clic en Go to resource (Ir al recurso).

  11. Seleccione Subredes y, después, seleccione Asociar.

  12. En Red virtual, seleccione VN-Spoke (Radio de VN).

  13. En Subred, seleccione SN-Workload.

  14. Seleccione Aceptar.

  15. Seleccione Rutas y después Agregar.

  16. En Nombre de ruta, escriba FW-DG.

  17. Para Tipo de destino, seleccione direcciones IP.

  18. Para Intervalos de direcciones IP de destino y CIDR, escriba 0.0.0.0/0.

  19. En Tipo del próximo salto, seleccione Aplicación virtual.

    Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.

  20. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.

  21. Seleccione Agregar.

Configuración de una regla de NAT

  1. Abra el grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.
  2. En la página FW-DNAT-test, en Configuración, seleccione Reglas (clásicas) .
  3. Seleccione Agregar una colección de reglas NAT.
  4. En Nombre, escriba RC-DNAT-01.
  5. En Priority, escriba 200.
  6. En Reglas, en Nombre, escriba RL-01.
  7. En Protocolo, seleccione TCP.
  8. Como Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba *.
  10. En Direcciones de destino, escriba la dirección IP pública del firewall.
  11. En Puertos de destino, escriba 3389.
  12. En Dirección traducida, escriba la dirección IP privada de la máquina virtual Srv-Workload.
  13. En Puerto traducido, escriba 3389.
  14. Seleccione Agregar.

Este procedimiento tarda unos minutos en completarse.

Probar el firewall

  1. Conecte un Escritorio remoto a la dirección IP pública del firewall. Debe estar conectado a la máquina virtual Srv-Workload.
  2. Cierre el Escritorio remoto.

Limpieza de recursos

Puede conservar los recursos de firewall para probarlos más a fondo o, si ya no los necesita, eliminar el grupo de recursos RG-DNAT-Test para eliminarlos todos.

Pasos siguientes

A continuación, puede supervisar los registros de Azure Firewall.

Tutorial: Supervisión de los registros de Azure Firewall