Filtrado del tráfico de entrada de Internet con la DNAT de Azure Firewall mediante Azure Portal

  • Artículo
  • Tiempo de lectura: 7 minutos

La traducción de direcciones de red de destino (DNAT) de Azure Firewall se puede configurar para traducir y filtrar el tráfico de Internet que entra a las subredes. Al configurar DNAT, en la acción de colección de la regla NAT se selecciona DNAT. Luego, todas las reglas de la colección de reglas NAT pueden usarse para traducir la dirección IP y el puerto públicos del firewall a una dirección IP y puerto privados. Las reglas DNAT agregan implícitamente una regla de red correspondiente implícita para permitir el tráfico traducido. Por motivos de seguridad, se recomienda agregar un origen de Internet específico para permitir el acceso de DNAT a la red y evitar el uso de caracteres comodín. Para más información acerca de la lógica de procesamiento de reglas Azure Firewall, consulte Lógica de procesamiento de reglas de Azure Firewall.

En este artículo aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementar un firewall
  • Crear una ruta predeterminada
  • Configurar una regla de DNAT
  • Probar el firewall

Nota

En este artículo se usan reglas de firewall clásicas para administrar el firewall. El método preferido es usar una directiva de firewall. Para completar este procedimiento mediante la directiva de firewall, consulte Tutorial: Filtrado del tráfico entrante de Internet con DNAT de la directiva de Azure Firewall mediante Azure Portal.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Crear un grupo de recursos

  1. Inicie sesión en Azure Portal en https://portal.azure.com.
  2. En la página principal de Azure Portal, seleccione Grupos de recursos y, después, Agregar.
  3. En Suscripción, seleccione la suscripción.
  4. En Nombre del grupo de recursos, escriba RG-DNAT-Test.
  5. En Región, seleccione una región. Los demás recursos que cree deben estar en la misma región.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Configuración del entorno de red

En este artículo, se crean dos redes virtuales emparejadas:

  • VN-Hub: el firewall está en esta red virtual.
  • VN-Spoke: el servidor de carga de trabajo está en esta red virtual.

En primer lugar, cree las redes virtuales y, después, emparéjelas.

Creación de la red virtual Hub

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En Redes, seleccione Redes virtuales.

  3. Seleccione Agregar.

  4. En Grupo de recursos, seleccione RG-DNAT-Test.

  5. En Nombre, escriba VN-Hub.

  6. En Región, seleccione la misma región que usó antes.

  7. Seleccione Siguiente: Direcciones IP.

  8. En Espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.

  9. En Nombre de subred, seleccione el valor predeterminado.

  10. Edite el Nombre de subred y escriba AzureFirewallSubnet.

    El firewall estará en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.

    Nota

    El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  11. En Intervalo de direcciones de subred, escriba 10.0.1.0/26.

  12. Seleccione Guardar.

  13. Seleccione Revisar + crear.

  14. Seleccione Crear.

Creación de la red virtual Spoke

  1. En la página principal de Azure Portal, seleccione Todos los servicios.
  2. En Redes, seleccione Redes virtuales.
  3. Seleccione Agregar.
  4. En Grupo de recursos, seleccione RG-DNAT-Test.
  5. En Nombre, escriba VN-Spoke.
  6. En Región, seleccione la misma región que usó antes.
  7. Seleccione Siguiente: Direcciones IP.
  8. En Espacio de direcciones IPv4, edite el valor predeterminado y escriba 192.168.0.0/16.
  9. Haga clic en Agregar subred.
  10. En el Nombre de subred, escriba SN-Workload.
  11. En Intervalo de direcciones de subred, escriba 192.168.1.0/24.
  12. Seleccione Agregar.
  13. Seleccione Revisar y crear.
  14. Seleccione Crear.

Emparejamiento de las redes virtuales

Ahora empareje las dos redes virtuales.

  1. Seleccione la red virtual VN-Hub.
  2. En Configuración, seleccione Emparejamientos.
  3. Seleccione Agregar.
  4. En Esta red virtual, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-HubSpoke.
  5. En Red virtual remota, en Peering link name (nombre del vínculo de emparejamiento), escriba Peer-SpokeHub.
  6. Seleccione VN-Spoke como red virtual.
  7. Acepte todos los demás valores predeterminados y seleccione Agregar.

Creación de una máquina virtual

Crear una máquina virtual de cargas de trabajo y colóquela en la subred SN-Workload.

  1. En el menú de Azure Portal, seleccione Crear un recurso.
  2. En la página Popular, seleccione Windows Server 2016 Datacenter.

Conceptos básicos

  1. En Suscripción, seleccione la suscripción.
  2. En Grupo de recursos, seleccione RG-DNAT-Test.
  3. En Nombre de máquina virtual, escriba Srv-Workload.
  4. En Región, seleccione la misma ubicación que usó anteriormente.
  5. Escriba un nombre de usuario y una contraseña.
  6. Seleccione Siguiente: Discos.

Discos

  1. Seleccione Siguiente: Redes.

Redes

  1. En Red virtual, seleccione VN-Spoke (Radio de VN).
  2. En Subred, seleccione SN-Workload.
  3. En IP pública, seleccione Ninguno.
  4. En Puertos de entrada públicos, seleccione Ninguno.
  5. Deje los demás valores predeterminados y seleccione Siguiente: Administración.

Administración

  1. En Diagnósticos de arranque, seleccione Deshabilitar.
  2. Seleccione Revisar + crear.

Revisar y crear

Revise el resumen y luego seleccione Crear. Esta operación tardará algunos minutos en completarse.

Al finalizar la implementación, anote la dirección IP privada de la máquina virtual, ya que tendrá que usarla más adelante, al configurar el firewall. Seleccione el nombre de la máquina virtual y, en Configuración, seleccione Redes para buscar la dirección IP privada.

Nota

Azure proporciona una dirección IP de acceso de salida predeterminado para las instancias de Azure Virtual Machines que no tienen asignada una dirección IP pública o que se encuentran en el grupo de back-end de una instancia de Azure Load Balancer del nivel Básico. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

Para más información sobre el acceso de salida predeterminado, consulte Acceso de salida predeterminado en Azure.

La dirección IP de acceso de salida predeterminado se deshabilita cuando se asigna una dirección IP pública a la máquina virtual o cuando se coloca la máquina virtual en el grupo de back-end de una instancia de Standard Load Balancer con o sin reglas de salida. Si se asigna un recurso de puerta de enlace de Azure Virtual Network NAT a la subred de la máquina virtual, la dirección IP de acceso de salida predeterminado se deshabilita.

Las máquinas virtuales creadas por conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones salientes en Azure, consulte Uso de la Traducción de direcciones de red de origen (SNAT) para conexiones salientes.

Implementación del firewall

  1. En la página principal de Azure Portal, seleccione Crear un recurso.

  2. Busque Firewall y, a continuación, seleccione Firewall.

  3. Seleccione Crear.

  4. En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:

    Configuración Value
    Suscripción <your subscription>
    Resource group Seleccione RG-DNAT-test.
    Nombre FW-DNAT-test
    Region Seleccione la misma ubicación que usó anteriormente.
    Administración del firewall Use reglas de firewall (clásicas) para administrar este firewall.
    Elegir una red virtual Usar existente: VN-Hub
    Dirección IP pública Agregue nuevo, nombre: fw-pip.

  5. Acepte los demás valores predeterminados y, después, seleccione Revisar y crear.

  6. Revise el resumen y seleccione Crear para crear el firewall.

    La implementación tardará varios minutos.

  7. Tras finalizar la implementación, vaya al grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.

  8. Anote las direcciones IP privadas y públicas del firewall. Las usará más adelante cuando cree la ruta predeterminada y la regla NAT.

Crear una ruta predeterminada

En la subred SN-Workload, configure la ruta predeterminada de salida para que cruce el firewall.

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En Redes, seleccione Tablas de rutas.

  3. Seleccione Agregar.

  4. En Suscripción, seleccione la suscripción.

  5. En Grupo de recursos, seleccione RG-DNAT-Test.

  6. En Región, seleccione la misma región que usó anteriormente.

  7. En Nombre, escriba RT-FWroute.

  8. Seleccione Revisar + crear.

  9. Seleccione Crear.

  10. Haga clic en Go to resource (Ir al recurso).

  11. Seleccione Subredes y, después, seleccione Asociar.

  12. En Red virtual, seleccione VN-Spoke (Radio de VN).

  13. En Subred, seleccione SN-Workload.

  14. Seleccione Aceptar.

  15. Seleccione Rutas y después Agregar.

  16. En Nombre de ruta, escriba FW-DG.

  17. En Prefijo de dirección escriba 0.0.0.0/0.

  18. En Tipo del próximo salto, seleccione Aplicación virtual.

    Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.

  19. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.

  20. Seleccione Aceptar.

Configuración de una regla de NAT

  1. Abra el grupo de recursos RG-DNAT-Test y seleccione el firewall FW-DNAT-test.
  2. En la página FW-DNAT-test, en Configuración, seleccione Reglas (clásicas) .
  3. Seleccione Agregar una colección de reglas NAT.
  4. En Nombre, escriba RC-DNAT-01.
  5. En Priority, escriba 200.
  6. En Reglas, en Nombre, escriba RL-01.
  7. En Protocolo, seleccione TCP.
  8. Como Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba *.
  10. En Direcciones de destino, escriba la dirección IP pública del firewall.
  11. En Puertos de destino, escriba 3389.
  12. En Dirección traducida, escriba la dirección IP privada de la máquina virtual Srv-Workload.
  13. En Puerto traducido, escriba 3389.
  14. Seleccione Agregar. Esta operación tarda unos minutos en completarse.

Probar el firewall

  1. Conecte un Escritorio remoto a la dirección IP pública del firewall. Debe estar conectado a la máquina virtual Srv-Workload.
  2. Cierre el Escritorio remoto.

Limpieza de recursos

Puede conservar los recursos de firewall para probarlos más a fondo o, si ya no los necesita, eliminar el grupo de recursos RG-DNAT-Test para eliminarlos todos.

Pasos siguientes

A continuación, puede supervisar los registros de Azure Firewall.

Tutorial: Supervisión de los registros de Azure Firewall