Compartir vía

Filtrado del tráfico entrante de Internet con DNAT de Azure Firewall mediante Azure Portal

Puede configurar la traducción de direcciones de red de destino (DNAT) de Azure Firewall para traducir y filtrar el tráfico entrante de Internet a las subredes. Al configurar DNAT, la acción de colección de la regla NAT está establecida en DNAT. Cada regla de la colección de reglas NAT se puede usar para traducir la dirección IP pública o privada del firewall y el puerto a una dirección IP privada y un puerto. Las reglas DNAT agregan implícitamente una regla de red correspondiente implícita para permitir el tráfico traducido. Por motivos de seguridad, agregue un origen específico para permitir el acceso DNAT a la red y evitar el uso de caracteres comodín. Para más información acerca de la lógica de procesamiento de reglas Azure Firewall, consulte Lógica de procesamiento de reglas de Azure Firewall.

Nota:

En este artículo se usan reglas de firewall clásicas para administrar el firewall. El método preferido es usar una directiva de firewall. Para completar este procedimiento mediante la directiva de firewall, consulte Tutorial: Filtrado del tráfico entrante de Internet con DNAT de directivas de Azure Firewall mediante Azure Portal.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Crear un grupo de recursos

  1. Inicie sesión en Azure Portal.
  2. En la página principal de Azure Portal, seleccione Grupos de recursos y, después, Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Grupo de recursos, escriba RG-DNAT-Test.
  5. En Región, seleccione una región. Los demás recursos que cree deben estar en la misma región.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Configuración del entorno de red

En este artículo, creará dos redes virtuales emparejadas:

  • VN-Hub : el firewall está en esta red virtual.
  • VN-Spoke : el servidor de cargas de trabajo está en esta red virtual.

En primer lugar, cree las redes virtuales y, después, emparéjelas.

Creación de la red virtual del concentrador

  1. En la página principal de Azure Portal, seleccione Todos los servicios.
  2. En Redes, seleccione Redes virtuales.
  3. Seleccione Crear.
  4. En Grupo de recursos, seleccione RG-DNAT-Test.
  5. En Nombre, escriba VN-Hub.
  6. En Región, seleccione la misma región que usó antes.
  7. Seleccione Next (Siguiente).
  8. En la pestaña Seguridad, seleccione Siguiente.
  9. En Espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.
  10. En Subredes, seleccione Valor predeterminado.
  11. En Plantilla de subred, seleccione Azure Firewall.

El firewall está en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.

Nota:

El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  1. Seleccione Guardar.
  2. Seleccione Revisar + crear.
  3. Seleccione Crear.

Crear una red virtual de radio

  1. En la página principal de Azure Portal, seleccione Todos los servicios.
  2. En Redes, seleccione Redes virtuales.
  3. Seleccione Crear.
  4. En Grupo de recursos, seleccione RG-DNAT-Test.
  5. En Nombre, escriba VN-Spoke.
  6. En Región, seleccione la misma región que usó antes.
  7. Seleccione Next (Siguiente).
  8. En la pestaña Seguridad, seleccione Siguiente.
  9. En Espacio de direcciones IPv4, edite el valor predeterminado y escriba 192.168.0.0/16.
  10. En Subredes, seleccione Valor predeterminado.
  11. Para la subred Name, escriba SN-Workload.
  12. Para dirección de inicio, escriba 192.168.1.0.
  13. En Tamaño de subred, seleccione /24.
  14. Seleccione Guardar.
  15. Seleccione Revisar + crear.
  16. Seleccione Crear.

Emparejamiento de las redes virtuales

Ahora empareje las dos redes virtuales.

  1. Seleccione la red virtual VN-Hub.
  2. En Configuración, seleccione Emparejamientos.
  3. Seleccione Agregar.
  4. En Esta red virtual, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-HubSpoke.
  5. En Red virtual remota, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-SpokeHub.
  6. Seleccione VN-Spoke como red virtual.
  7. Acepte todos los demás valores predeterminados y seleccione Agregar.

Creación de una máquina virtual

Crear una máquina virtual de cargas de trabajo y colóquela en la subred SN-Workload.

  1. En el menú de Azure Portal, seleccione Crear un recurso.
  2. En Productos populares de Marketplace, seleccione Ubuntu Server 22.04 LTS.

Conceptos básicos

  1. En Suscripción, seleccione la suscripción.
  2. En Grupo de recursos, seleccione RG-DNAT-Test.
  3. En Nombre de máquina virtual, escriba Srv-Workload.
  4. En Región, seleccione la misma ubicación que usó anteriormente.
  5. En Imagen, seleccione Ubuntu Server 22.04 LTS - x64 Gen2.
  6. En Tamaño, seleccione Standard_B2s.
  7. En Tipo de autenticación, seleccione Clave pública SSH.
  8. En Nombre de usuario, escriba azureuser.
  9. En Origen de clave pública SSH, seleccione Generar nuevo par de claves.
  10. En el Nombre del par de claves, escriba Srv-Workload_key.
  11. Seleccione Siguiente: Discos.

Discos

  1. Seleccione Siguiente: redes.

Redes

  1. En Red virtual, seleccione VN-Spoke (Radio de VN).
  2. En Subred, seleccione SN-Workload.
  3. En IP pública, seleccione Ninguno.
  4. En Puertos de entrada públicos, seleccione Ninguno.
  5. Deje los demás valores predeterminados y seleccione Siguiente: Administración.

Administración

  1. Seleccione Siguiente: Supervisión.

Supervisión

  1. En Diagnósticos de arranque, seleccione Deshabilitar.
  2. Seleccione Revisar + crear.

Revisar y crear

Revise el resumen y luego seleccione Crear. Este proceso tarda unos minutos en completarse.

  1. En el cuadro de diálogo Generar nuevo par de claves , seleccione Descargar clave privada y crear recurso. Guarde el archivo de clave como Srv-Workload_key.pem.

Una vez finalizada la implementación, anote la dirección IP privada de la máquina virtual. Necesitará esta dirección IP más adelante al configurar el firewall. Seleccione el nombre de la máquina virtual, vaya a Información general y, en Redes, anote la dirección IP privada.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual (VM) se coloca en el grupo de back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para obtener más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Instalación del servidor web

Use la característica Ejecutar comando de Azure Portal para instalar un servidor web en la máquina virtual.

  1. Vaya a la máquina virtual Srv-Workload en Azure Portal.

  2. En Operaciones, seleccione Ejecutar comando.

  3. Seleccione Run Shell Script.

  4. En la ventana Ejecutar script de comandos , pegue el siguiente script:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Seleccione Ejecutar.

  6. Espere a que se complete el script. La salida debe mostrar la instalación correcta de Nginx.

Implementación del firewall

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque Firewall y, a continuación, seleccione Firewall.

  3. Seleccione Crear.

  4. En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:

    Configuración Valor
    Suscripción <su suscripción>
    Grupo de recursos Seleccione RG-DNAT-test.
    Nombre FW-DNAT-test
    Región Seleccione la misma ubicación usada anteriormente.
    SKU del firewall Estándar
    Administración del firewall Use reglas de firewall (clásicas) para administrar este firewall.
    Elegir una red virtual Usar existente: VN-Hub
    Dirección IP pública Agregar nuevo, Nombre: fw-pip

  5. Acepte los demás valores predeterminados y, después, seleccione Revisar y crear.

  6. Revise el resumen y, a continuación, seleccione Crear para implementar el firewall.

    Este proceso tarda unos minutos en completarse.

  7. Una vez completada la implementación, vaya al grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test .

  8. Anote las direcciones IP privadas y públicas del firewall. Los usará más adelante al crear la ruta predeterminada y la regla NAT.

Crear una ruta predeterminada

Para la subred SN-Workload , configure la ruta predeterminada de salida para pasar por el firewall.

Importante

No es necesario volver a configurar una ruta explícita al firewall en la subred de destino. Azure Firewall es un servicio con estado y controla automáticamente los paquetes y sesiones. La creación de esta ruta daría lugar a un entorno de enrutamiento asimétrico, interrumpiendo la lógica de sesión con estado y causando paquetes y conexiones descartados.

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque tabla de rutas y selecciónelo.

  3. Seleccione Crear.

  4. En Suscripción, seleccione la suscripción.

  5. En Grupo de recursos, seleccione RG-DNAT-Test.

  6. En Región, seleccione la misma región usada anteriormente.

  7. En Nombre, escriba RT-FWroute.

  8. Seleccione Revisar + crear.

  9. Seleccione Crear.

  10. Haga clic en Go to resource (Ir al recurso).

  11. Seleccione Subredes y, después, seleccione Asociar.

  12. En Red virtual, seleccione VN-Spoke (Radio de VN).

  13. En Subred, seleccione SN-Workload.

  14. Seleccione Aceptar.

  15. Seleccione Rutas y después Agregar.

  16. En Nombre de ruta, escriba FW-DG.

  17. Para Tipo de destino, seleccione direcciones IP.

  18. Para Intervalos de direcciones IP de destino y CIDR, escriba 0.0.0.0/0.

  19. En Tipo del próximo salto, seleccione Aplicación virtual.

    Azure Firewall es un servicio administrado, pero la selección de una aplicación virtual funciona en esta situación.

  20. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.

  21. Seleccione Agregar.

Configuración de una regla DNAT

Esta regla permite que el tráfico HTTP entrante desde Internet llegue al servidor web a través del firewall.

  1. Abra el grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.
  2. En la página FW-DNAT-test, en Configuración, seleccione Reglas (clásicas).
  3. Seleccione la pestaña Colección de reglas NAT.
  4. Seleccione Agregar una colección de reglas NAT.
  5. En Nombre, escriba web-access.
  6. En Priority, escriba 200.
  7. En Reglas, en Nombre, escriba http-dnat.
  8. En Protocolo, seleccione TCP.
  9. Como Tipo de origen, seleccione Dirección IP.
  10. En Origen, escriba * para permitir el tráfico desde cualquier origen.
  11. En Direcciones de destino, escriba la dirección IP pública del firewall.
  12. En Puertos de destino, escriba 80.
  13. En Dirección traducida, escriba la dirección IP privada de Srv-Workload.
  14. En Puerto traducido, escriba 80.
  15. Seleccione Agregar.

Probar el firewall

  1. Abra un explorador web y vaya a la dirección IP pública del firewall:

    http://<firewall-public-ip>

    Debería ver la página web en la que se muestra "Demostración de DNAT de Azure Firewall: Srv-Workload".

  2. Este procedimiento confirma que la regla DNAT traduce correctamente el tráfico HTTP entrante en la dirección IP pública del firewall a la dirección IP privada del servidor web.

Limpieza de recursos

Puede conservar los recursos de firewall para probarlos más a fondo o, si ya no los necesita, eliminar el grupo de recursos RG-DNAT-Test para eliminarlos todos.

Pasos siguientes

A continuación, puede supervisar los registros de Azure Firewall.

Tutorial: Supervisión de los registros de Azure Firewall

  • Last updated on