Tutorial: Filtrado del tráfico de red con un grupo de seguridad de red en Azure Portal

  • Artículo
  • Tiempo de lectura: 9 minutos

Puede usar un grupo de seguridad de red de Azure para filtrar el tráfico de red que entra y sale de los recursos de Azure en una red virtual de Azure.

Los grupos de seguridad de red contienen reglas de seguridad que filtran el tráfico de red por dirección IP, puerto y protocolo. Cuando un grupo de seguridad de red está asociado a una subred, se aplican reglas de seguridad a los recursos implementados en esa subred.

En este tutorial aprenderá a:

  • Crear un grupo de seguridad de red y reglas de seguridad
  • Creación de grupos de seguridad de aplicaciones
  • Crear una red virtual y asociar un grupo de seguridad de red a una subred
  • Implementar máquinas virtuales y asociar sus interfaces de red a los grupos de seguridad de aplicación.
  • Probar los filtros de tráfico

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

  • Una suscripción de Azure

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Creación de una red virtual

  1. En el menú de Azure Portal, seleccione +Crear un recurso>Redes>Red virtual o busque Red virtual en el cuadro de búsqueda del portal.

  2. Seleccione Crear.

  3. En la pestaña Aspectos básicos de Crear red virtual, escriba o seleccione esta información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione Crear nuevo.
    Escriba myResourceGroup.
    Seleccione
    .
    Detalles de instancia
    Nombre Escriba myVNet.
    Region Seleccione Este de EE. UU.

  4. Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.

  5. Seleccione Crear.

Creación de grupos de seguridad de aplicaciones

Un grupo de seguridad de aplicaciones (ASG) permite agrupar servidores con funciones similares, como servidores web.

  1. En el menú de Azure Portal, seleccione +Crear un recurso>Redes>Grupo de seguridad de aplicaciones, o busque Grupo de seguridad de aplicaciones en el cuadro de búsqueda del portal.

  2. Seleccione Crear.

  3. En la pestaña Aspectos básicos de Crear un grupo de seguridad de aplicación, escriba o seleccione esta información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione myResourceGroup.
    Detalles de instancia
    Nombre Escriba myAsgWebServers.
    Region Seleccione (EE. UU.) Este de EE. UU. .

  4. Seleccione la pestaña Revisar y crear o el botón Revisar y crear que encontrará en la parte inferior de la pantalla.

  5. Seleccione Crear.

  6. Repita los pasos anteriores, pero especifique los valores siguientes:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione myResourceGroup.
    Detalles de instancia
    Nombre Escriba myAsgMgmtServers.
    Region Seleccione (EE. UU.) Este de EE. UU. .

  7. Seleccione la pestaña Revisar y crear o el botón Revisar y crear que encontrará en la parte inferior de la pantalla.

  8. Seleccione Crear.

Crear un grupo de seguridad de red

Un grupo de seguridad de red (NSG) protege el tráfico de red de una red virtual.

  1. En el menú de Azure Portal, seleccione +Crear un recurso>Redes>Grupo de seguridad de red, o busque Grupo de seguridad de red en el cuadro de búsqueda del portal.

  2. Seleccione Crear.

  3. En la pestaña Aspectos básicos de Crear grupo de seguridad de red, escriba o seleccione esta información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione myResourceGroup.
    Detalles de instancia
    Nombre Escriba myNSG.
    Ubicación Seleccione (EE. UU.) Este de EE. UU. .

  4. Seleccione la pestaña Revisar y crear o el botón Revisar y crear que encontrará en la parte inferior de la pantalla.

  5. Seleccione Crear.

Asociación del grupo de seguridad de red a la subred

En esta sección, asociará el grupo de seguridad de red con la subred de la red virtual que creó anteriormente.

  1. Busque myNsg en el cuadro de búsqueda del portal.

  2. Seleccione Subredes en la sección Configuración de myNSG.

  3. En la página Subredes, seleccione +Asociar:

    Screenshot of Associate a network security group to a subnet.

  4. En Asociar subred, seleccione myVNet en Red virtual.

  5. En Subred, seleccione predeterminada y, luego, elija Aceptar.

Creación de reglas de seguridad

  1. Seleccione Reglas de seguridad de entrada en la sección Configuración de myNSG.

  2. En la página Reglas de seguridad de entrada, seleccione +Agregar:

    Screenshot of Inbound security rules in a network security group.

  3. Cree una regla de seguridad que permita a los puertos 80 y 443 para el grupo de seguridad de la aplicación myAsgWebServers. En la página Agregar regla de seguridad de entrada, especifique o seleccione esta información:

    Configuración Valor
    Source Deje el valor predeterminado, Cualquiera.
    Source port ranges Deje el valor predeterminado de (*).
    Destination Seleccione Grupo de seguridad de aplicación.
    Grupos de seguridad de aplicaciones de destino Seleccione myAsgWebServers.
    Servicio Deje el valor predeterminado, Personalizado.
    Intervalos de puertos de destino Escriba 80 443.
    Protocolo seleccione TCP.
    Acción Deje el valor predeterminado, Permitir.
    Priority Deje el valor predeterminado, 100.
    Nombre Escriba Allow-Web-All.

    Screenshot of Add inbound security rule in a network security group.

  4. Seleccione Agregar.

  5. Complete los pasos del 3 al 4 de nuevo con esta información:

    Configuración Valor
    Source Deje el valor predeterminado, Cualquiera.
    Source port ranges Deje el valor predeterminado de (*).
    Destination Seleccione Grupo de seguridad de aplicación.
    Grupo de seguridad de aplicación de destino Seleccione myAsgMgmtServers.
    Servicio Deje el valor predeterminado, Personalizado.
    Intervalos de puertos de destino Escriba 3389.
    Protocolo Seleccione Cualquiera.
    Acción Deje el valor predeterminado, Permitir.
    Priority Deje el valor predeterminado, 110.
    Nombre Escriba Allow-RDP-All.

  6. Seleccione Agregar.

    Precaución

    En este artículo, RDP (puerto 3389) está expuesto a Internet para la máquina virtual asignada al grupo de seguridad de aplicaciones myAsgMgmtServers.

    En entornos de producción, en lugar de exponer el puerto 3389 a Internet, es conveniente que se conecte a los recursos de Azure que desee administrar utilizando una VPN, una conexión de red privada o Azure Bastion.

    Para más información, consulte ¿Qué es Azure Bastion?

Una vez completados los pasos 1 a 3, revise las reglas creadas. La lista debería ser similar a la que aparece en el siguiente ejemplo:

Screenshot of Security rules of a network security group.

Creación de máquinas virtuales

Cree dos máquinas virtuales (VM) en la red virtual.

Creación de la primera máquina virtual

  1. En el menú de Azure Portal, seleccione +Crear un recurso>Proceso>Máquina virtual, o busque Máquina virtual en el cuadro de búsqueda del portal.

  2. En Crear una máquina virtual, escriba o seleccione los datos siguientes en la pestaña Conceptos básicos:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione myResourceGroup.
    Detalles de instancia
    Nombre de la máquina virtual Escriba myVMWeb.
    Region Seleccione (EE. UU.) Este de EE. UU. .
    Opciones de disponibilidad Deje el valor predeterminado No se requiere redundancia de la infraestructura.
    Tipo de seguridad Deje el valor predeterminado Estándar.
    Imagen Seleccione Windows Server 2019 Datacenter - Gen2.
    Instancia de Azure Spot Deje esta casilla desactivada, tal y como está de forma predeterminada.
    Size Seleccione Standard_D2s_V3.
    Cuenta de administrador
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmación de la contraseña Vuelva a escribir la contraseña.
    Reglas de puerto de entrada
    Selección de puertos de entrada Seleccione Ninguno.

  3. Seleccione la pestaña Redes.

  4. En la pestaña Redes, escriba o seleccione la siguiente información:

    Parámetro Valor
    Interfaz de red
    Virtual network Seleccione myVNet.
    Subnet Seleccione valor predeterminado (10.0.0.0/24) .
    Dirección IP pública Deje el valor predeterminado, que es una nueva dirección IP pública.
    Grupo de seguridad de red de NIC Seleccione Ninguno.

  5. Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.

  6. Seleccione Crear. La máquina virtual puede tardar unos minutos en implementarse.

Creación de la segunda máquina virtual

Complete los pasos del 1 al 6 de nuevo, pero en el paso 2, escriba myVMMgmt como nombre de máquina virtual.

Espere a que las máquinas virtuales terminen de implementarse antes de avanzar a la sección siguiente.

Asociación de interfaces de red a un ASG

Cuando se crearon las máquinas virtuales, Azure creó una interfaz de red para cada una y la asoció a estas.

Agregue la interfaz de red de cada máquina virtual a uno de los grupos de seguridad de aplicaciones que creó anteriormente:

  1. Busque myVMWeb en el cuadro de búsqueda del portal.

  2. Seleccione Redes en la sección Configuración de la máquina virtual myVMWeb.

  3. Seleccione la pestaña Grupos de seguridad de aplicación y Configurar grupos de seguridad de aplicación.

    Screenshot of Configure application security groups.

  4. En Configurar grupos de seguridad de aplicación , seleccione myAsgWebServers. Seleccione Guardar.

    Screenshot showing how to associate application security groups to a network interface.

  5. Vuelva a realizar los pasos 1 y 2 buscando la máquina virtual myVMMgmt y seleccionando el ASG myAsgMgmtServers.

Probar los filtros de tráfico

  1. Busque myVMWeb en el cuadro de búsqueda del portal.

  2. En la página Información general, seleccione el botón Conectar y, luego, elija RDP.

  3. Seleccione Descargar archivo RDP.

  4. Abra el archivo RDP descargado y seleccione Conectar. Escriba el nombre de usuario y la contraseña que especificó al crear la VM.

  5. Seleccione Aceptar.

  6. Puede recibir una advertencia sobre el certificado durante el proceso de conexión. Si aparece esta advertencia, seleccione o Continuar para continuar con la conexión.

    La conexión se realiza correctamente, ya que se permite la entrada de tráfico de Internet al grupo de seguridad de aplicaciones myAsgMgmtServers en el puerto 3389.

    La interfaz de red de myVMMgmt está asociada con el grupo de seguridad de aplicaciones myAsgMgmtServers y permite la conexión.

  7. Abra una sesión de PowerShell en myVMMgmt. Conéctese a myVMWeb utilizando lo siguiente:

    mstsc /v:myVmWeb

    La conexión RDP entre myVMMgmt y myVMWeb se realiza correctamente, ya que, de forma predeterminada, las máquinas virtuales de la misma red pueden comunicarse entre sí por cualquier puerto.

    No se puede crear una conexión RDP con la máquina virtual myVMWeb desde Internet. La regla de seguridad de myAsgWebServers impide la conexión con el puerto 3389 de entrada desde Internet. De forma predeterminada, se deniega el tráfico de entrada de Internet en todos los recursos.

  8. Para instalar Microsoft IIS en la máquina virtual myVMWeb, escriba el siguiente comando desde una sesión de PowerShell de la máquina virtual myVMWeb:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  9. Una vez completada la instalación de IIS, desconecte la sesión de la máquina virtual myVMWeb, lo que le deja en la conexión de escritorio remoto de la máquina virtual myVMMgmt.

  10. Desconéctese de la máquina virtual myVMMgmt.

  11. Busque myVMWeb en el cuadro de búsqueda del portal.

  12. En la página Información general de myVMWeb, anote la dirección IP pública de la máquina virtual. La dirección que aparece en el ejemplo siguiente es 23.96.39.113, pero su dirección será diferente:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  13. Para confirmar que tiene acceso al servidor web myVMWeb desde Internet, abra un explorador de Internet en el equipo y vaya a http://<public-ip-address-from-previous-step>.

Aparece la página predeterminada de IIS, ya que se permite la entrada de tráfico de Internet al grupo de seguridad de aplicaciones myAsgWebServers en el puerto 80.

La interfaz de red conectada para myVMWeb está asociada al grupo de seguridad de aplicaciones myAsgWebServers y permite la conexión.

Limpieza de recursos

Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:

  1. Escriba myResourceGroup en el cuadro Buscar que se encuentra en la parte superior del portal. Seleccione myResourceGroup cuando lo vea en los resultados de la búsqueda.
  2. Seleccione Eliminar grupo de recursos.
  3. Escriba myResourceGroup para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: y seleccione Eliminar.

Pasos siguientes

En este tutorial ha:

  • Creado un grupo de seguridad de red y lo ha asociado a una subred de red virtual.
  • Creado grupos de seguridad de aplicaciones para la Web y las tareas de administración.
  • Creado dos máquinas virtuales y ha asociado sus interfaces de red con los grupos de seguridad de aplicaciones.
  • Probado el filtrado de redes de los grupos de seguridad de aplicaciones.

Para más información acerca de los grupos de seguridad de red, consulte Introducción a los grupos de seguridad de red y Administración de un grupo de seguridad de red.

De forma predeterminada, Azure enruta el tráfico entre subredes. En su lugar, puede elegir enrutar el tráfico entre subredes a través de una máquina virtual, que actúa como un firewall, por ejemplo.

Para aprender a crear una tabla de rutas, avance al siguiente tutorial.

Creación de una tabla de rutas