Planeación de la implementación de Azure Firewall
Para poder implementar Azure Firewall, debe planear la topología de red, identificar las reglas de firewall que necesitará y conocer los pasos de implementación.
Topología de red recomendada
Recuerde que Azure Firewall se implementa mejor mediante una topología de red de concentrador y radio con las características siguientes:
- Una red virtual que actúa como el punto de conectividad central. Esta es la red virtual de concentrador.
- Una o varias redes virtuales que están emparejadas con el concentrador. Estos elementos del mismo nivel son las redes virtuales de radio y se usan para aprovisionar servidores de carga de trabajo.
Puede implementar la instancia del firewall en una subred de la red virtual central y, después, configurar todo el tráfico entrante y saliente para que pase por el firewall. Usará esta configuración al implementar Azure Firewall para proteger el grupo de hosts para Azure Virtual Desktop.
Reglas de Azure Firewall
Recuerde que, de forma predeterminada, el firewall deniega el acceso a todo. Su trabajo consiste en configurar el firewall con las condiciones en las que se permite el tráfico a través del firewall. Cada condición se denomina regla. Cada regla aplica una o más comprobaciones a los datos. Solo se permite el paso del tráfico que supera todas las comprobaciones en todas las reglas del firewall.
En la tabla siguiente se describen los tres tipos de reglas que puede crear para un firewall de Azure. Para permitir el tráfico de red adecuado para Azure Virtual Desktop, deberá usar reglas de aplicación y red.
| Tipo de regla | Descripción |
|---|---|
| Traducción de direcciones de red (NAT) | El tráfico entrante de Internet se convierte y filtra en función de la dirección IP pública del firewall y un número de puerto especificado. Por ejemplo, para habilitar una conexión de escritorio remoto a una máquina virtual (VM), podría usar una regla de NAT para convertir la dirección IP pública del firewall y el puerto 3389 en la dirección IP privada de la máquina virtual. |
| Application | Filtre el tráfico en función de un nombre de dominio completo (FQDN) o una etiqueta FQDN. Una etiqueta FQDN representa un grupo de FQDN asociados a servicios muy conocidos de Microsoft, como Azure Virtual Desktop. Por ejemplo, deberá usar una regla de aplicación para permitir el tráfico saliente para las máquinas virtuales de Azure Virtual Desktop mediante la etiqueta FQDN WindowsVirtualDesktop. |
| Red | El tráfico se filtra en función de uno o varios de los tres parámetros de red siguientes: Dirección IP, puerto y protocolo. Por ejemplo, usará una regla de red para permitir el tráfico desde una dirección IP privada de Active Directory Domain Server local hasta Azure para el puerto TCP y UDP 53. Si usa Microsoft Entra Domain Server, no es necesario crear una regla de red. Las consultas de DNS se reenvían a Azure DNS en la dirección 168.63.129.16. |
Azure Firewall aplica las reglas en orden de prioridad. Las reglas basadas en la inteligencia sobre amenazas siempre reciben la prioridad más alta y se procesan primero. Después, las reglas se aplican por tipo: reglas de NAT, después las reglas de red y luego las reglas de aplicación. Dentro de cada tipo, las reglas se procesan según los valores de prioridad que les asigne al crearlas, del valor más bajo al más alto.
Opciones de implementación
Recuerde que Azure Firewall ofrece muchas características diseñadas para facilitar la creación y la administración de reglas. Estas características se resumen en la tabla siguiente. Para permitir el tráfico de red para Azure Virtual Desktop, usará etiquetas FQDN, pero también podría usar estas otras opciones en su entorno.
| Característica | Descripción |
|---|---|
| FQDN | Un nombre de dominio de un host, o bien una o varias direcciones IP. La adición de un FQDN a una regla de aplicación permite el acceso a ese dominio. Cuando se usa un FQDN en una regla de aplicación, se pueden usar caracteres comodín, como *.google.com. |
| Etiqueta FQDN | Un grupo de FQDN conocidos de Microsoft. La adición de una etiqueta FQDN a una regla de aplicación permite el acceso de salida a los FQDN de la etiqueta. Por ejemplo, hay etiquetas FQDN para Windows Update, Azure Virtual Desktop, Diagnósticos de Windows y Azure Backup. Microsoft administra las etiquetas FQDN, que no se pueden modificar ni crear. |
| Etiqueta de servicio | Un grupo de prefijos de dirección IP relacionados con un servicio de Azure concreto. La adición de una etiqueta de servicio a una regla de red permite el acceso al servicio representado por la etiqueta. Hay etiquetas de servicio para multitud de servicios de Azure, como Azure Backup, Azure Cosmos DB y Azure Logic Apps. Microsoft administra las etiquetas de servicio, que no se pueden modificar ni crear. |
| Grupos de IP | Un grupo de direcciones IP, como 10.2.0.0/16 o 10.1.0.0-10.1.0.31. Puede usar un grupo de direcciones IP como la dirección de origen en una regla de NAT o de aplicación, o bien como la dirección de origen o de destino en una regla de red. |
| DNS personalizado | Un servidor DNS personalizado que resuelve los nombres de dominio en direcciones IP. Si usa un servidor DNS personalizado en lugar de Azure DNS, también debe configurar Azure Firewall como un proxy DNS. |
| Proxy DNS | Puede configurar Azure Firewall para que actúe como proxy DNS, lo que significa que todas las solicitudes DNS de cliente pasan por el firewall antes de ir al servidor DNS. |
Pasos necesarios para la implementación de Azure Firewall
En el ejercicio anterior, ha creado un grupo de hosts y una red virtual con una subred. Ha implementado una máquina virtual de host de sesión en esa subred y la ha registrado con el grupo de hosts. En los ejercicios siguientes, completará los pasos siguientes para implementar Azure Firewall con el fin de proteger el grupo de hosts.
Configuración de la red:
- Cree una red virtual de concentrador que incluya una subred para la implementación del firewall.
- Empareje las redes de concentrador y radio. En el ejercicio siguiente, emparejará la red virtual de centro con la red virtual que usa el grupo de hosts de Azure Virtual Desktop.
Implementación de Azure Firewall:
- Implemente Azure Firewall en una subred de la red virtual de centro.
- Para el tráfico saliente, cree una ruta predeterminada que envíe el tráfico de todas las subredes a la dirección IP privada del firewall.
Creación de reglas de Azure Firewall:
- Configure el firewall con reglas para filtrar el tráfico entrante y saliente.