Tutorial: Filtrado del tráfico entrante de Internet o intranet con DNAT de directiva de Azure Firewall mediante Azure Portal
Puede configurar la directiva de Azure Firewall Traducción de direcciones de red de destino (DNAT) para traducir y filtrar el tráfico entrante de Internet o intranet (versión preliminar) a las subredes. Al configurar DNAT, la acción de recopilación de reglas se establece en DNAT. Cada regla de la colección de reglas NAT se puede usar para traducir la dirección IP pública o privada del firewall y el puerto a una dirección IP privada y un puerto. Las reglas DNAT agregan implícitamente una regla de red correspondiente implícita para permitir el tráfico traducido. Por motivos de seguridad, el enfoque recomendado es agregar un origen específico para permitir el acceso DNAT a la red y evitar el uso de caracteres comodín. Para más información acerca de la lógica de procesamiento de reglas Azure Firewall, consulte Lógica de procesamiento de reglas de Azure Firewall.
En este tutorial, aprenderá a:
- Configurar un entorno de red de prueba
- Implementar un firewall y una directiva
- Crear una ruta predeterminada
- Configurar una regla de DNAT
- Probar el firewall
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Crear un grupo de recursos
- Inicie sesión en Azure Portal.
- En la página principal de Azure Portal, seleccione Grupos de recursos y, después, Agregar.
- En Suscripción, seleccione la suscripción.
- En Nombre del grupo de recursos, escriba RG-DNAT-Test.
- En Región, seleccione una región. Los demás recursos que cree deben estar en la misma región.
- Seleccione Revisar + crear.
- Seleccione Crear.
Configuración del entorno de red
En este tutorial se crearán dos redes virtuales emparejadas:
- VN-Hub: el firewall está en esta red virtual.
- VN-Spoke: el servidor de carga de trabajo está en esta red virtual.
En primer lugar, cree las redes virtuales y, después, emparéjelas.
Creación de la red virtual Hub
En la página principal de Azure Portal, seleccione Todos los servicios.
En Redes, seleccione Redes virtuales.
Seleccione Agregar.
En Grupo de recursos, seleccione RG-DNAT-Test.
En Nombre, escriba VN-Hub.
En Región, seleccione la misma región que usó antes.
Seleccione Siguiente: Direcciones IP.
En Espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.
En Nombre de subred, seleccione predeterminada.
Edite el Nombre de subred y escriba AzureFirewallSubnet.
El firewall estará en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.
Nota
El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.
En Intervalo de direcciones de subred, escriba 10.0.1.0/26.
Seleccione Guardar.
Seleccione Revisar + crear.
Seleccione Crear.
Creación de la red virtual Spoke
- En la página principal de Azure Portal, seleccione Todos los servicios.
- En Redes, seleccione Redes virtuales.
- Seleccione Agregar.
- En Grupo de recursos, seleccione RG-DNAT-Test.
- En Nombre, escriba VN-Spoke.
- En Región, seleccione la misma región que usó antes.
- Seleccione Siguiente: Direcciones IP.
- En Espacio de direcciones IPv4, edite el valor predeterminado y escriba 192.168.0.0/16.
- Haga clic en Agregar subred.
- En el Nombre de subred, escriba SN-Workload.
- En Intervalo de direcciones de subred, escriba 192.168.1.0/24.
- Seleccione Agregar.
- Seleccione Revisar + crear.
- Seleccione Crear.
Emparejamiento de las redes virtuales
Ahora empareje las dos redes virtuales.
- Seleccione la red virtual VN-Hub.
- En Configuración, seleccione Emparejamientos.
- Seleccione Agregar.
- En Esta red virtual, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-HubSpoke.
- En Red virtual remota, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-SpokeHub.
- Seleccione VN-Spoke como red virtual.
- Acepte todos los demás valores predeterminados y seleccione Agregar.
Creación de una máquina virtual
Crear una máquina virtual de cargas de trabajo y colóquela en la subred SN-Workload.
- En el menú de Azure Portal, seleccione Crear un recurso.
- En la página Popular, seleccione Windows Server 2016 Datacenter.
Conceptos básicos
- En Suscripción, seleccione la suscripción.
- En Grupo de recursos, seleccione RG-DNAT-Test.
- En Nombre de máquina virtual, escriba Srv-Workload.
- En Región, seleccione la misma ubicación que usó anteriormente.
- Escriba un nombre de usuario y una contraseña.
- Seleccione Siguiente: Discos.
Discos
- Seleccione Siguiente: Redes.
Redes
- En Red virtual, seleccione VN-Spoke (Radio de VN).
- En Subred, seleccione SN-Workload.
- En IP pública, seleccione Ninguno.
- En Puertos de entrada públicos, seleccione Ninguno.
- Deje los demás valores predeterminados y seleccione Siguiente: Administración.
Administración
- En Diagnósticos de arranque, seleccione Deshabilitar.
- Seleccione Revisar + crear.
Revisar y crear
Revise el resumen y luego seleccione Crear. Esta operación tardará algunos minutos en completarse.
Al finalizar la implementación, anote la dirección IP privada de la máquina virtual, ya que tendrá que usarla más adelante, al configurar el firewall. Seleccione el nombre de la máquina virtual y, en Configuración, seleccione Redes para buscar la dirección IP privada.
Implementación del firewall y la directiva
En la página principal de Azure Portal, seleccione Crear un recurso.
Busque Firewall y, a continuación, seleccione Firewall.
Seleccione Crear.
En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:
Configuración Valor Suscripción <su suscripción> Resource group Seleccione RG-DNAT-test. Nombre FW-DNAT-test Region Seleccione la misma ubicación que usó anteriormente. Administración del firewall Usar una directiva de firewall para administrar este firewall Directiva de firewall Agregar nueva:
fw-dnat-pol
la región seleccionada.Elegir una red virtual Usar existente: VN-Hub Dirección IP pública Agregue nuevo, nombre: fw-pip. Acepte los demás valores predeterminados y, después, seleccione Revisar y crear.
Revise el resumen y seleccione Crear para crear el firewall.
Esto tarda unos minutos en implementarse.
Tras finalizar la implementación, vaya al grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.
Anote las direcciones IP privadas y públicas del firewall. Las usará más adelante cuando cree la ruta predeterminada y la regla NAT.
Crear una ruta predeterminada
En la subred SN-Workload, configure la ruta predeterminada de salida para que cruce el firewall.
Importante
No es necesario volver a configurar una ruta explícita de vuelta al firewall en la subred de destino. Azure Firewall es un servicio con estado y controla automáticamente los paquetes y sesiones. Si crea esta ruta, creará un entorno de enrutamiento asimétrico que interrumpa la lógica de sesión con estado y genere paquetes y conexiones descartados.
En la página principal de Azure Portal, seleccione Todos los servicios.
En Redes, seleccione Tablas de rutas.
Seleccione Agregar.
En Suscripción, seleccione la suscripción.
En Grupo de recursos, seleccione RG-DNAT-Test.
En Región, seleccione la misma región que usó anteriormente.
En Nombre, escriba RT-FW-route.
Seleccione Revisar + crear.
Seleccione Crear.
Haga clic en Go to resource (Ir al recurso).
Seleccione Subredes y, después, seleccione Asociar.
En Red virtual, seleccione VN-Spoke (Radio de VN).
En Subred, seleccione SN-Workload.
Seleccione Aceptar.
Seleccione Rutas y después Agregar.
En Nombre de ruta, escriba fw-dg.
En Prefijo de dirección escriba 0.0.0.0/0.
En Tipo del próximo salto, seleccione Aplicación virtual.
Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.
En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.
Seleccione Aceptar.
Configuración de una regla de NAT
Esta regla le permite conectar un escritorio remoto a la máquina virtual Srv-Workload a través del firewall.
- Abra el grupo de recursos RG-DNAT-Test y seleccione la directiva de firewall fw-dnat-pol.
- En Configuración, seleccione DNAT rules (Reglas de DNAT).
- Seleccione Agregar una colección de reglas.
- En Nombre, escriba rdp.
- En Priority, escriba 200.
- En Rule collection group (Grupo de recopilación de reglas), seleccione DefaultDnatRuleCollectionGroup.
- En Reglas, en Nombre, escriba rdp-nat.
- Como Tipo de origen, seleccione Dirección IP.
- En Origen, escriba *.
- En Protocolo, seleccione TCP.
- En Puertos de destino, escriba 3389.
- En Tipo de destino, seleccione Dirección IP.
- Para Destino, escriba la dirección IP pública o privada del firewall.
- En Dirección traducida, escriba la dirección IP privada de Srv-Workload.
- En Puerto traducido, escriba 3389.
- Seleccione Agregar.
Probar el firewall
- Conecte un Escritorio remoto a la dirección IP pública del firewall. Debe estar conectado a la máquina virtual Srv-Workload.
- Cierre el Escritorio remoto.
Limpieza de recursos
Puede conservar los recursos relacionados con el firewall para el siguiente tutorial o, si ya no los necesita, eliminar el grupo de recursos RG-DNAT-Test para eliminarlos todos.