Share via

Tutorial: Protección de un centro virtual mediante Azure Firewall Manager

  • Artículo

Mediante Azure Firewall Manager puede crear centros virtuales protegidos y así proteger el tráfico en la nube destinado a direcciones IP privadas, PaaS de Azure e Internet. El enrutamiento del tráfico al firewall es automático, por lo que no es necesario crear rutas definidas por el usuario (UDR).

Firewall Manager también admite una arquitectura de red virtual de centro. Para ver una comparación entre los tipos de arquitectura de red virtual de centro y centro virtual protegido, consulte ¿Cuáles son las opciones de arquitectura de Azure Firewall Manager?

En este tutorial, aprenderá a:

  • Crear la red virtual de tipo hub-and-spoke
  • Crear un centro virtual protegido
  • Conectar las redes virtuales de tipo hub-and-spoke
  • Enrutamiento del tráfico al centro
  • Implementación de los servidores
  • Creación de una directiva de firewall y protección del centro
  • Probar el firewall

Importante

El procedimiento de este tutorial usa Azure Firewall Manager para crear un centro protegido de Azure Virtual WAN. Puede usar Firewall Manager para actualizar un centro de conectividad existente, pero no puede configurar Azure Availability Zones para Azure Firewall. También es posible convertir un centro existente en un centro protegido mediante Azure Portal, como se describe en Configuración de Azure Firewall en un centro de Virtual WAN. Pero al igual que Azure Firewall Manager, no se puede configurar Availability Zones. Para actualizar un centro de conectividad existente y especificar Availability Zones para Azure Firewall (recomendado) debe seguir el procedimiento de actualización en Tutorial: Protección del centro virtual mediante Azure PowerShell.

Diagram showing the secure cloud network.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una arquitectura en estrella tipo hub-and-spoke

En primer lugar, cree redes virtuales de radio en las que pueda colocar los servidores.

Creación de dos redes virtuales de radio y subredes

Cada una de las dos redes virtuales tiene un servidor de carga de trabajo y se protege con el firewall.

  1. En la página principal de Azure Portal, seleccione Crear un recurso.
  2. Busque Red virtual selecciónela y seleccione Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Grupo de recursos, seleccione Crear nuevo y escriba fw-manager-rg como nombre y seleccione Aceptar.
  5. En Nombre de red virtual, escriba Spoke-01.
  6. En Región, seleccione Este de EE. UU. .
  7. Seleccione Siguiente.
  8. En la página Seguridad, seleccione Siguiente.
  9. En Agregar espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.
  10. En Subredes, seleccione Valor predeterminado.
  11. En nombre, escriba Workload-01-SN.
  12. Para dirección de inicio, escriba 10.0.1.0/24.
  13. Seleccione Guardar.
  14. Seleccione Revisar + crear.
  15. Seleccione Crear.

Repita este procedimiento para crear otra red virtual similar en el grupo de recursos fw-manager-rg:

Nombre: Spoke-02
Espacio de direcciones: 10.1.0.0/16
Nombre de subred: Workload-02-SN
Dirección inicial: 10.1.1.0/24

Creación del centro virtual protegido

Cree el centro virtual protegido con Firewall Manager.

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En el cuadro de búsqueda, escriba Firewall Manager y seleccione Firewall Manager.

  3. En la página Firewall Manager, en Implementaciones, seleccione Centros virtuales.

  4. En la página Firewall Manager | Centros virtuales, seleccione Crear un centro virtual protegido.

    Screenshot of creating a new secured virtual hub.

  5. Seleccione su suscripción.

  6. En Grupo de recursos, seleccione fw-manager-rg.

  7. En Región, seleccione Este de EE. UU. .

  8. En Nombre del centro virtual protegido, escriba Hub-01.

  9. En Espacio de direcciones del concentrador, escriba 10.2.0.0/16.

  10. Seleccione Nueva vWAN.

  11. Como nombre de la nueva WAN virtual, escriba Vwan-01.

  12. En Tipo, seleccione Estándar.

  13. Deje desactivada la casilla Incluir VPN Gateway para habilitar asociados de seguridad de confianza.

    Screenshot of creating a new virtual hub with properties.

  14. Seleccione Siguiente: Azure Firewall.

  15. Acepte el valor predeterminado Azure FirewallHabilitado.

  16. Para el nivel de Azure Firewall, seleccione Estándar.

  17. Seleccione la combinación deseada de Availability Zones.

Importante

Una red Virtual WAN es una colección de centros de conectividad y servicios que están disponibles en el centro de conectividad. Puede implementar tantas Virtual WAN como sea necesario. En un centro de conectividad de Virtual WAN existen varios servicios, como VPN y ExpressRoute, entre otros. Cada uno de estos servicios se implementa automáticamente en Availability Zones excepto Azure Firewall, siempre y cuando esta admita Availability Zones. Para alinearse con la resistencia de Azure Virtual WAN, debe seleccionar todas las zonas de disponibilidad disponibles.

Screenshot of configuring Azure Firewall parameters.

  1. Escriba 1 en el cuadro de texto Especificar número de direcciones IP públicas.

  2. En Directiva de firewall asegúrese de que Directiva de denegación predeterminada está seleccionada. Puede refinar la configuración más adelante en este artículo.

  3. Seleccione Siguiente: Proveedores de seguridad asociados.

    Screenshot of configuring Trusted Partners parameters.

  4. Acepte el valor predeterminado Asociados de seguridad de confianzaDeshabilitado y seleccione Siguiente: Revisar y crear.

  5. Seleccione Crear.

    Screenshot of creating the Firewall instance.

Nota:

Puede tardar hasta 30 minutos en crear un centro virtual protegido.

Puede encontrar la dirección IP pública del firewall una vez completada la implementación.

  1. Abra Firewall Manager.
  2. Seleccione Concentradores virtuales.
  3. Seleccione hub-01.
  4. Seleccione AzureFirewall_Hub-01.
  5. Anote la dirección IP pública para usarla más tarde.

Conexión de las redes virtuales de tipo hub-and-spoke

Ahora, podrá emparejar las redes virtuales de tipo hub-and-spoke.

  1. Seleccione el grupo de recursos fw-manager.rg y, después, seleccione la WAN virtual Vwan-01.

  2. En Conectividad, seleccione Conexiones de red virtual.

    Screenshot of adding Virtual Network connections.

  3. Seleccione Agregar conexión.

  4. En Nombre de conexión, escriba hub-spoke-01.

  5. En Centros, seleccione Hub-01.

  6. En Grupo de recursos, seleccione fw-manager-rg.

  7. En Red virtual, seleccione Spoke-01.

  8. Seleccione Crear.

  9. Repita el procedimiento para conectar la red virtual Spoke-02 con el nombre de conexión hub-spoke-02.

Implementación de los servidores

  1. En Azure Portal, seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter en la lista Populares.

  3. Especifique estos valores para la máquina virtual:

    Configuración Value
    Resource group fw-manager-rg
    Nombre de la máquina virtual Srv-workload-01
    Region (EE. UU.) Este de EE. UU.
    Nombre de usuario del administrador Escriba un nombre de usuario
    Contraseña Escriba una contraseña

  4. En Reglas de puerto de entrada, para Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los restantes valores predeterminados y seleccione Siguiente: Discos.

  6. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  7. Seleccione Spoke-01 para la red virtual y seleccione Workload-01-SN para la subred.

  8. En IP pública, seleccione Ninguno.

  9. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  10. Seleccione Next: Monitoring (Siguiente: Supervisión).

  11. Seleccione Deshabilitar para deshabilitar los diagnósticos de arranque. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  12. Revise la configuración en la página de resumen y seleccione Crear.

Use la información de la tabla siguiente para configurar otra máquina virtual llamada Srv-Workload-02. El resto de la configuración es la misma que la de la máquina virtual Srv-workload-01.

Configuración Value
Virtual network Spoke-02
Subnet Workload-02-SN

Una vez implementados los servidores, seleccione un recurso de servidor y en Redes tenga en cuenta la dirección IP privada de cada servidor.

Creación de una directiva de firewall y protección del centro

Una directiva de firewall define colecciones de reglas para dirigir el tráfico en uno o varios centros virtuales protegidos. Cree la directiva de firewall y, a continuación, proteja el centro.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.

    Screenshot of creating an Azure Policy with first step.

  2. Seleccione Crear una directiva de Azure Firewall.

    Screenshot of configuring Azure Policy settings in first step.

  3. En Grupo de recursos, seleccione fw-manager-rg.

  4. En Detalles de la directiva, como Nombre escriba Policy-01 y como Región seleccione Este de EE. UU.

  5. Como nivel de directiva, seleccione Estándar.

  6. Seleccione Siguiente: Configuración DNS.

    Screenshot of configuring DNS settings.

  7. Seleccione Siguiente: Inspección de TLS.

    Screenshot of configuring TLS settings.

  8. Seleccione Siguiente: Reglas.

  9. En la pestaña Reglas, seleccione Agregar una colección de reglas.

    Screenshot of configuring Rule Collection.

  10. En la página Agregar una colección de reglas, escriba App-RC-01 en Nombre.

  11. En Tipo de colección de reglas, seleccione Aplicación.

  12. En Prioridad, escriba 100.

  13. Asegúrese de que el valor de Rule collection action (Acción de la colección de reglas) es Permitir.

  14. Para el Nombre de la regla, escriba Allow-msft.

  15. Para Tipo de origen, seleccione Dirección IP.

  16. En Origen, escriba *.

  17. En Protocolo, escriba http,https.

  18. Asegúrese de que Tipo de destino es FQDN.

  19. En Destino, escriba *.microsoft.com.

  20. Seleccione Agregar.

  21. Agregue una regla DNAT para poder conectar un escritorio remoto a la máquina virtual Srv-Workload-01.

    1. Seleccione Agregar una colección de reglas.
    2. En Nombre, escriba dnat-rdp.
    3. En Tipo de colección de reglas, seleccione DNAT.
    4. En Prioridad, escriba 100.
    5. Para el Nombre de la regla, escriba Allow-rdp.
    6. Para Tipo de origen, seleccione Dirección IP.
    7. En Origen, escriba *.
    8. En Protocolo, seleccione TCP.
    9. En Puertos de destino, escriba 3389.
    10. En Destino, escriba la dirección IP pública del firewall que anotó anteriormente.
    11. En Translated type (Tipo traducido), seleccione Dirección IP.
    12. En Dirección traducida, escriba la dirección IP privada para Srv-Workload-01 que anotó anteriormente.
    13. En Puerto traducido, escriba 3389.
    14. Seleccione Agregar.

  22. Agregue una regla de red para conectar un escritorio remoto de Srv-Workload-01 a Srv-Workload-02.

    1. Seleccione Agregar una colección de reglas.
    2. En Nombre, escriba vnet-rdp.
    3. En Tipo de colección de reglas, seleccione Red.
    4. En Prioridad, escriba 100.
    5. En Acción de recopilación de reglas, seleccione Denegar.
    6. Como Nombre de la regla, escriba Allow-vnet.
    7. Para Tipo de origen, seleccione Dirección IP.
    8. En Origen, escriba *.
    9. En Protocolo, seleccione TCP.
    10. En Puertos de destino, escriba 3389.
    11. En Tipo de destino, seleccione Dirección IP.
    12. En Destino, escriba la dirección IP privada de Srv-Workload-02 que anotó anteriormente.
    13. Seleccione Agregar.

  23. Seleccione Next: IDPS (Siguiente: IDPS).

  24. En la página IDPS, seleccione Next: Threat Intelligence (Siguiente: Inteligencia sobre amenazas).

    Screenshot of configuring IDPS settings.

  25. En la página Inteligencia sobre amenazas, acepte los valores predeterminados y seleccione Revisar y crear:

    Screenshot of configuring Threat Intelligence settings.

  26. Revise para confirmar la selección y, luego, seleccione Crear.

Asociación de directiva

Asocie la directiva de firewall con el concentrador.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.

  2. Active la casilla de Policy-01.

  3. Seleccione Administrar asociaciones, Asociar centros.

    Screenshot of configuring Policy association.

  4. Seleccione hub-01.

  5. Seleccione Agregar.

    Screenshot of adding Policy and Hub settings.

Enrutamiento del tráfico al centro

Ahora debe asegurarse de que el tráfico de red se enruta a través del firewall.

  1. En Firewall Manager, seleccione Concentradores virtuales.

  2. Seleccione Hub-01.

  3. En Ajustes, seleccione Configuración de seguridad.

  4. En Tráfico de Internet, seleccione Azure Firewall.

  5. En Private traffic (Tráfico privado), seleccione Send via Azure Firewall (Enviar a través de Azure Firewall).

    Nota:

    Si usa intervalos de direcciones IP públicas para redes privadas en una red virtual o una rama local, debe especificar explícitamente estos prefijos de dirección IP. Seleccione la sección Prefijos de tráfico privado y, a continuación, agréguelos junto con los prefijos de dirección RFC1918.

  6. En Inter-hub, seleccione Habilitado para habilitar la característica de intención de enrutamiento de Virtual WAN. La intención de enrutamiento es el mecanismo mediante el que puede configurar Virtual WAN para enrutar el tráfico de rama a rama (local a local) a través de Azure Firewall implementado en el centro de Virtual WAN. Para obtener más información sobre los requisitos previos y las consideraciones asociadas a la característica de intención de enrutamiento, consulte la documentación sobre la intención de enrutamiento.

  7. Seleccione Guardar.

  8. En el cuadro de diálogo de Advertencia, seleccione Aceptar.

    Screenshot of Secure Connections.

  9. Seleccione Aceptar en el cuadro de diálogo Migrar para usar el centro de conectividad.

    Nota:

    Se tarda unos minutos en actualizar las tablas de rutas.

  10. Compruebe que las dos conexiones muestran que Azure Firewall protege el tráfico de Internet y el privado.

    Screenshot of Secure Connections final status.

Probar el firewall

Para probar las reglas de firewall, conecte un escritorio remoto mediante la dirección IP pública del firewall, que se conecta mediante NAT a Srv-Workload-01. Desde allí, use un explorador para probar la regla de aplicación y conectar un escritorio remoto a Srv-Workload-02 para probar la regla de red.

Prueba de la regla de aplicación

Ahora, pruebe las reglas de firewall para confirmar que funcionan según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall e inicie sesión.

  2. Abra Internet Explorer y vaya a https://www.microsoft.com.

  3. Seleccione Aceptar>Cerrar en las alertas de seguridad de Internet Explorer.

    Debería ver la página principal de Microsoft.

  4. Vaya a https://www.google.com.

    El firewall debe bloquearlo.

Con ello, ha comprobado que la regla de aplicación de firewall funciona:

  • Puede navegar al FQDN permitido pero no a ningún otro.

Prueba de la regla de red

Ahora pruebe la regla de red.

  • Desde Srv-Workload-01, abra un escritorio remoto conectado a la dirección IP privada de Srv-Workload-02.

    Un escritorio remoto debe conectarse a Srv-Workload-02.

Con ello, ha comprobado que la regla de red de firewall funciona:

  • Puede conectar un escritorio remoto a un servidor ubicado en otra red virtual.

Limpieza de recursos

Cuando haya terminado de probar los recursos de firewall, elimine el grupo de recursos fw-manager-rg para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes

Más información sobre los asociados de seguridad de confianza