Compartir vía

Tutorial: Protección de un centro virtual mediante Azure Firewall Manager

Mediante Azure Firewall Manager puede crear centros virtuales protegidos y así proteger el tráfico en la nube destinado a direcciones IP privadas, PaaS de Azure e Internet. El enrutamiento del tráfico al firewall es automático, por lo que no es necesario crear rutas definidas por el usuario (UDR).

Firewall Manager también admite una arquitectura de red virtual de centro. Para ver una comparación entre los tipos de arquitectura de red virtual de centro y centro virtual protegido, consulte ¿Cuáles son las opciones de arquitectura de Azure Firewall Manager?

En este tutorial, aprenderá a:

  • Crear la red virtual de tipo hub-and-spoke
  • Crear un centro virtual protegido
  • Conexión de las redes virtuales de tipo hub-and-spoke
  • Enrutamiento del tráfico al centro
  • Implementación de los servidores
  • Creación de una directiva de firewall y protección del centro
  • Probar el firewall

Importante

El procedimiento de este tutorial usa Azure Firewall Manager para crear un centro protegido de Azure Virtual WAN. Puede usar Firewall Manager para actualizar un centro de conectividad existente, pero no puede configurar Azure Availability Zones para Azure Firewall. También es posible convertir un centro existente en un centro protegido mediante Azure Portal, como se describe en Configuración de Azure Firewall en un centro de Conectividad de Virtual WAN. Pero al igual que Azure Firewall Manager, no se puede configurar Availability Zones. Para actualizar un centro de conectividad existente y especificar Availability Zones para Azure Firewall (recomendado), debe seguir el procedimiento de actualización de Tutorial: Protección del centro virtual mediante Azure PowerShell.

Diagrama que muestra la red en la nube segura.

Requisitos previos

Si no tiene una suscripción de Azure, cree una cuenta gratuita antes de empezar.

Creación de una arquitectura en estrella tipo hub-and-spoke

En primer lugar, cree redes virtuales de radio en las que pueda colocar los servidores.

Creación de dos redes virtuales de radio y subredes

Cada una de las dos redes virtuales tiene un servidor de carga de trabajo y se protege con el firewall.

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque Red virtual selecciónela y seleccione Crear.

  3. Cree una red virtual con la siguiente configuración:

    Configuración Value
    Suscripción Seleccione la suscripción
    Grupo de recursos Seleccione Crear nuevo y escriba fw-manager-rg para el nombre y seleccione Aceptar
    Nombre de la red virtual Spoke-01
    Region Este de EE. UU.

  4. Seleccione Siguiente y luego otra vez Siguiente.

  5. En la pestaña Redes , cree subredes con la siguiente configuración:

    Configuración Value
    Agregar espacio de direcciones IPv4: 10.0.0.0/16 (valor predeterminado)
    Subredes
    Subred de carga de trabajo
    Nombre Workload-01-SN
    Dirección inicial 10.0.1.0/24
    Subred bastión
    Nombre AzureBastionSubnet
    Dirección inicial 10.0.2.0/26

  6. Seleccione Guardar, Revisar y crear y después seleccione Crear.

Repita este procedimiento para crear otra red virtual similar en el grupo de recursos fw-manager-rg:

Configuración Value
Nombre Spoke-02
Espacio de direcciones 10.1.0.0/16
Nombre de subred Workload-02-SN
Dirección inicial 10.1.1.0/24

Creación del centro virtual protegido

Cree el centro virtual protegido con Firewall Manager.

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En el cuadro de búsqueda, escriba Firewall Manager y seleccione Firewall Manager.

  3. En la página Firewall Manager, en Implementaciones, seleccione Centros virtuales.

  4. En la página Firewall Manager | Centros virtuales, seleccione Crear un centro virtual protegido.

  5. En la página Crear un centro virtual protegido, escriba la siguiente información:

    Configuración Value
    Suscripción Seleccione la suscripción.
    Grupo de recursos Seleccione fw-manager-rg
    Region Este de EE. UU.
    Nombre del centro virtual protegido Hub-01
    Espacio de direcciones del concentrador 10.2.0.0/16

  6. Seleccione Nueva vWAN.

    Configuración Value
    Nuevo nombre de virtual WAN Vwan-01
    Tipo Estándar
    Incluir puerta de enlace de VPN para habilitar asociados de seguridad de confianza Deje desactivada la casilla.

  7. Seleccione Siguiente: Azure Firewall.

  8. Acepte el valor predeterminado Azure FirewallHabilitado.

  9. Para el nivel de Azure Firewall, seleccione Estándar.

  10. Seleccione la combinación deseada de Availability Zones.

    Importante

    Una red Virtual WAN es una colección de centros de conectividad y servicios que están disponibles en el centro de conectividad. Puede implementar tantas Virtual WAN como sea necesario. En un centro de conectividad de Virtual WAN existen varios servicios, como VPN y ExpressRoute, entre otros. Cada uno de estos servicios se implementa automáticamente en Availability Zones excepto Azure Firewall, siempre y cuando esta admita Availability Zones. Para alinearse con la resistencia de Azure Virtual WAN, debe seleccionar todas las zonas de disponibilidad disponibles.

  11. Escriba 1 en el cuadro de texto Especificar el número de direcciones IP públicas o asocie una dirección IP pública existente (versión preliminar) a este firewall.

  12. En Directiva de firewall asegúrese de que Directiva de denegación predeterminada está seleccionada. Puede refinar la configuración más adelante en este artículo.

  13. Seleccione Siguiente: Proveedores de seguridad asociados.

  14. Acepte el valor predeterminado Asociados de seguridad de confianzaDeshabilitado y seleccione Siguiente: Revisar y crear.

  15. Seleccione Crear.

Nota:

Puede tardar hasta 30 minutos en crear un centro virtual protegido.

Puede encontrar la dirección IP pública del firewall una vez completada la implementación.

  1. Abra Firewall Manager.
  2. Seleccione Concentradores virtuales.
  3. Seleccione hub-01.
  4. Seleccione AzureFirewall_Hub-01.
  5. Anote la dirección IP pública para usarla más tarde.

Conexión de las redes virtuales de tipo hub-and-spoke

Ahora, podrá emparejar las redes virtuales de tipo hub-and-spoke.

  1. Seleccione el grupo de recursos fw-manager.rg y, después, seleccione la WAN virtual Vwan-01.

  2. En Conectividad, seleccione Conexiones de red virtual.

    Configuración Value
    Nombre de conexión hub-spoke-01
    Concentradores Hub-01
    Grupo de recursos fw-manager-rg
    Red virtual Spoke-01

  3. Seleccione Crear.

  4. Repita los pasos anteriores para conectar la red virtual de Spoke-02 con la siguiente configuración:

    Configuración Value
    Nombre de conexión hub-spoke-02
    Concentradores Hub-01
    Grupo de recursos fw-manager-rg
    Red virtual Spoke-02

Implementación de los servidores

  1. En Azure Portal, seleccione Crear un recurso.

  2. Busque Ubuntu Server 22.04 LTS y selecciónelo.

  3. Seleccione Crear>máquina virtual.

  4. Especifique estos valores para la máquina virtual:

    Configuración Value
    Grupo de recursos fw-manager-rg
    Nombre de la máquina virtual Srv-workload-01
    Region (EE. UU.) Este de EE. UU.
    Imagen Ubuntu Server 22.04 LTS: x64 Gen2
    Tipo de autenticación Clave pública SSH
    Nombre de usuario azureuser
    Origen de la clave pública SSH Generar par de claves nuevo
    Nombre del par de claves srv-workload-01_key

  5. En Reglas de puerto de entrada, para Puertos de entrada públicos, seleccione Ninguno.

  6. Acepte los restantes valores predeterminados y seleccione Siguiente: Discos.

  7. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  8. Seleccione Spoke-01 para la red virtual y seleccione Workload-01-SN para la subred.

  9. En IP pública, seleccione Ninguno.

  10. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  11. Seleccione Next: Monitoring (Siguiente: Supervisión).

  12. Seleccione Deshabilitar para deshabilitar los diagnósticos de arranque.

  13. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  14. Revise la configuración en la página de resumen y seleccione Crear.

  15. Cuando se le solicite, descargue y guarde el archivo de clave privada (por ejemplo, srv-workload-01_key.pem).

Use la información de la tabla siguiente para configurar otra máquina virtual llamada Srv-Workload-02. El resto de la configuración es el mismo que la máquina virtual Srv-workload-01 , pero usa un nombre de par de claves diferente, como srv-workload-02_key.

Configuración Value
Red virtual Spoke-02
Subnet Workload-02-SN

Una vez implementados los servidores, seleccione un recurso de servidor y en Redes tenga en cuenta la dirección IP privada de cada servidor.

Instalación de Nginx en los servidores

Una vez implementadas las máquinas virtuales, instale Nginx en ambos servidores para comprobar la conectividad web más adelante.

  1. En Azure Portal, vaya a la máquina virtual Srv-workload-01 .

  2. Seleccione Ejecutar comando>RunShellScript.

  3. Ejecute el siguiente comando:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html

  4. Repita los mismos pasos para Srv-workload-02 y reemplace el nombre de host en el comando echo:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html

Implementación de Azure Bastion

Implemente Azure Bastion en la red virtual Spoke-01 para conectarse de forma segura a las máquinas virtuales.

  1. En Azure Portal, busque Bastions y selecciónelo.

  2. Seleccione Crear.

  3. Configure Bastion con los valores siguientes:

    Configuración Value
    Suscripción Seleccione la suscripción
    Grupo de recursos fw-manager-rg
    Nombre Bastión-01
    Region Este de EE. UU.
    Nivel Desarrollador
    Red virtual Spoke-01
    Subnet AzureBastionSubnet (10.0.2.0/26)

  4. Seleccione Revisar y crear y, luego, Crear.

Nota:

La implementación de Azure Bastion puede tardar aproximadamente 10 minutos en completarse.

Creación de una directiva de firewall y protección del centro

Una directiva de firewall define colecciones de reglas para dirigir el tráfico en uno o varios centros virtuales protegidos. Cree la directiva de firewall y, a continuación, proteja el centro.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.

  2. Seleccione Crear una directiva de Azure Firewall.

  3. En Grupo de recursos, seleccione fw-manager-rg.

  4. En Detalles de la directiva, como Nombre escriba Policy-01 y como Región seleccione Este de EE. UU.

  5. Como nivel de directiva, seleccione Estándar.

  6. Seleccione Siguiente: Configuración DNS.

  7. Seleccione Siguiente: Inspección de TLS.

  8. Seleccione Siguiente: Reglas.

  9. En la pestaña Reglas, seleccione Agregar una colección de reglas.

  10. En la página Agregar una colección de reglas, escriba la siguiente información.

    Configuración Value
    Nombre App-RC-01
    Tipo de colección de reglas Aplicación
    Prioridad 100
    Acción de colección de reglas Permitir
    Nombre de la regla Allow-msft
    Tipo de origen Dirección IP
    Fuente *
    Protocolo http,https
    Tipo de destino FQDN
    Destination *.microsoft.com

  11. Seleccione Agregar.

  12. Agregue una regla de red para permitir el tráfico SSH y HTTP entre las redes virtuales de radio.

  13. Seleccione Agregar una colección de reglas y escriba la siguiente información.

    Configuración Value
    Nombre Acceso a la red virtual
    Tipo de colección de reglas Red
    Prioridad 100
    Acción de colección de reglas Permitir
    Nombre de la regla Allow-SSH-HTTP
    Tipo de origen Dirección IP
    Fuente 10.0.0.0/16,10.1.0.0/16
    Protocolo TCP
    Puertos de destino 22,80
    Tipo de destino Dirección IP
    Destination 10.0.0.0/16,10.1.0.0/16

  14. Seleccione Agregar y luego seleccione Siguiente: IDPS.

  15. En la página IDPS, seleccione Next: Threat Intelligence (Siguiente: Inteligencia sobre amenazas).

  16. En la página Inteligencia sobre amenazas, acepte los valores predeterminados y seleccione Revisar y crear:

  17. Revise para confirmar la selección y, luego, seleccione Crear.

Asociación de directiva

Asocie la directiva de firewall con el concentrador.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.
  2. Active la casilla de Policy-01.
  3. Seleccione Administrar asociaciones, Asociar centros.
  4. Seleccione hub-01.
  5. Seleccione Agregar.

Enrutamiento del tráfico al centro

Ahora debe asegurarse de que el tráfico de red se enruta a través del firewall.

  1. En Firewall Manager, seleccione Concentradores virtuales.

  2. Seleccione Hub-01.

  3. En Ajustes, seleccione Configuración de seguridad.

  4. En Tráfico de Internet, seleccione Azure Firewall.

  5. En Private traffic (Tráfico privado), seleccione Send via Azure Firewall (Enviar a través de Azure Firewall).

    Nota:

    Si usa intervalos de direcciones IP públicas para redes privadas en una red virtual o una rama local, debe especificar explícitamente estos prefijos de dirección IP. Seleccione la sección Prefijos de tráfico privado y, a continuación, agréguelos junto con los prefijos de dirección RFC1918.

  6. En Inter-hub, seleccione Habilitado para habilitar la característica de intención de enrutamiento de Virtual WAN. La intención de enrutamiento es el mecanismo mediante el que puede configurar Virtual WAN para enrutar el tráfico de rama a rama (local a local) a través de Azure Firewall implementado en el centro de Virtual WAN. Para obtener más información sobre los requisitos previos y las consideraciones asociadas a la característica de intención de enrutamiento, consulte la documentación sobre la intención de enrutamiento.

  7. Seleccione Guardar.

  8. En el cuadro de diálogo de Advertencia, seleccione Aceptar.

  9. Seleccione Aceptar en el cuadro de diálogo Migrar para usar el centro de conectividad.

    Nota:

    Se tarda unos minutos en actualizar las tablas de rutas.

  10. Compruebe que las dos conexiones muestran que Azure Firewall protege el tráfico de Internet y el privado.

Probar el firewall

Para probar las reglas de firewall, use Azure Bastion para conectarse a Srv-Workload-01 y comprobar que las reglas de aplicación y red funcionan.

Prueba de la regla de aplicación

Ahora, pruebe las reglas de firewall para confirmar que funcionan según lo previsto.

  1. En Azure Portal, vaya a la máquina virtual Srv-workload-01 .

  2. Seleccione Conectar>a través de Bastion.

  3. Proporcione el nombre de usuario azureuser y cargue el archivo de clave .pem privada que descargó al crear la máquina virtual.

  4. Seleccione Conectar para abrir una sesión SSH.

  5. En la sesión SSH, ejecute el siguiente comando para probar el acceso a Microsoft:

    curl https://www.microsoft.com

    Debería ver el contenido HTML devuelto, confirmando que se permite el acceso.

  6. Prueba del acceso a Google (que debe bloquearse):

    curl https://www.google.com

    La solicitud debe tener tiempo de espera o producir un error, lo que muestra que el firewall está bloqueando este sitio.

Con ello, ha comprobado que la regla de aplicación de firewall funciona:

  • Puede navegar al FQDN permitido pero no a ningún otro.

Prueba de la regla de red

Ahora pruebe la regla de red mediante la conexión desde Srv-Workload-01 a Srv-Workload-02 mediante HTTP.

  1. Pruebe la conectividad HTTP con el servidor web Nginx en Srv-Workload-02:

    curl http://<Srv-Workload-02-private-IP>

    Deberías ver el estado devuelto por el servidor web.

Limpieza de recursos

Cuando haya terminado de probar los recursos de firewall, elimine el grupo de recursos fw-manager-rg para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes

Más información sobre los asociados de seguridad de confianza

  • Last updated on