Bloqueo del tráfico de red con Azure Virtual Network Manager: Azure Portal

  • Artículo

En este artículo se muestra cómo crear una regla de administración de seguridad para bloquear el tráfico de red entrante en el puerto RDP 3389 que puede agregar a una colección de reglas. Para más información, consulte Reglas de administración de seguridad.

Importante

Azure Virtual Network Manager está disponible con carácter general para Virtual Network Manager, para las configuraciones de conectividad en estrella tipo hub-and-spoke y para las configuraciones de seguridad con reglas de administración de seguridad. Las configuraciones de conectividad de malla permanecen en versión preliminar pública.

Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Requisitos previos

Antes de empezar a configurar las reglas de administración de seguridad, confirme que ha realizado los pasos siguientes:

Creación de una configuración de SecurityAdmin

  1. En Parámetros, seleccione Configuración y, después, + Crear.

    Captura de pantalla de la opción para agregar una configuración de administración de seguridad.

  2. Seleccione Configuración de seguridad en el menú desplegable.

    Captura de pantalla del menú desplegable para agregar una configuración.

  3. En la pestaña Aspectos básicos, escriba un Nombre para identificar esta configuración de seguridad y seleccione Siguiente: Recopilaciones de reglas.

    Captura de pantalla del campo de nombre de la configuración de seguridad.

Adición de una colección de reglas

  1. Escriba un Nombre para identificar esta colección de reglas y, a continuación, seleccione los Grupos de red de destino a los que quiere aplicar el conjunto de reglas.

    Captura de pantalla del nombre de la colección de reglas y los grupos de red de destino.

Agregar una regla de seguridad

  1. Seleccione + Agregar desde Agregar una página de recopilación de reglas.

    Captura de pantalla del botón para agregar una regla.

  2. Escriba o seleccione la siguiente información y, a continuación, seleccione Agregar para agregar la regla a la colección de reglas.

    Captura de pantalla de la página para agregar una regla.

    Configuración Value
    Nombre Escriba el nombre Deny_RDP como nombre de la regla.
    Descripción Escriba una descripción sobre la regla.
    Prioridad* Escriba un valor entre 0 y 99 para determinar la prioridad de la regla. Cuanto menor sea el valor, mayor será la prioridad. Escriba 1 para este ejemplo.
    Acción* Seleccione Denegar para bloquear el tráfico. Para obtener más información, consulte Acciones.
    Dirección* Seleccione Entrante, ya que con esta regla quiere denegar el tráfico entrante.
    Protocolo* Seleccione el protocolo TCP. HTTP y HTTPS son puertos TCP.
    Origen
    Tipo de origen Seleccione el tipo de origen de la dirección IP o las etiquetas de servicio.
    Direcciones IP de origen Este campo aparece al seleccionar el tipo de origen Dirección IP. Escriba una dirección IPv4 o IPv6 o bien un intervalo mediante la notación CIDR. Al definir más de una dirección o bloques de direcciones, sepárelos mediante una coma. Déjelo en blanco para este ejemplo.
    Etiqueta de servicio de origen Este campo aparece al seleccionar el tipo de origen Etiqueta de servicio. Seleccione etiquetas de servicio para los servicios que quiere especificar como origen. Consulte Etiquetas de servicio disponibles para obtener la lista de etiquetas admitidas.
    Puerto de origen Escriba un número de puerto único o un intervalo de puertos como (1024-65535). Al definir más de un puerto o intervalos de puertos, sepárelos mediante una coma. Para especificar cualquier puerto, escriba *. Déjelo en blanco para este ejemplo.
    Destino
    Tipo de destino Seleccione el tipo de destino de la dirección IP o las etiquetas de servicio.
    Direcciones IP de destino Este campo aparece al seleccionar el tipo de destino Dirección IP. Escriba una dirección IPv4 o IPv6 o bien un intervalo mediante la notación CIDR. Al definir más de una dirección o bloques de direcciones, sepárelos mediante una coma.
    Etiqueta de servicio de destino Este campo aparece al seleccionar el tipo de destino Etiqueta de servicio. Seleccione etiquetas de servicio para los servicios que quiere especificar como destino. Consulte Etiquetas de servicio disponibles para obtener la lista de etiquetas admitidas.
    Puerto de destino Escriba un número de puerto único o un intervalo de puertos como (1024-65535). Al definir más de un puerto o intervalos de puertos, sepárelos mediante una coma. Para especificar cualquier puerto, escriba *. Escriba 3389 para este ejemplo.

  3. Repita los pasos del 1 al 3 otra vez si quiere agregar más reglas a la colección de reglas.

  4. Una vez que esté satisfecho con todas las reglas que quería crear, seleccione Agregar para añadir la colección de reglas a la configuración del administrador de seguridad.

    Captura de pantalla de una colección de reglas.

  5. A continuación, seleccione Revisar y crear y Crear para completar la configuración de seguridad.

Implementación de la configuración de administrador de seguridad

Si acaba de crear una nueva configuración de administración de seguridad, asegúrese de implementarla para que se aplique a las redes virtuales del grupo de red.

  1. Seleccione Implementaciones en Configuración y, después, seleccione Implementar configuración.

    Captura de pantalla del botón para implementar una configuración.

  2. Marque la casilla de Incluir administrador de seguridad en el estado objetivo y escoja en el menú desplegable la configuración de seguridad que creó en la última sección. A continuación, elija las regiones en las que quiere implementar esta configuración.

    Captura de pantalla de la página de implementación de una configuración de seguridad.

  3. Seleccione Siguiente e Implementar para implementar la configuración del administrador de seguridad.

Actualización de una configuración de administración de seguridad existente

  • Si la configuración de administración de seguridad que está actualizando se aplica a un grupo de red que contiene miembros estáticos, debe implementar la configuración de nuevo para que su efecto sea efectivo.
  • Las configuraciones de administración de seguridad se aplican automáticamente a los miembros dinámicos de un grupo de red.

Comprobación de las reglas de administración de seguridad

Vaya a la configuración de Redes de una máquina virtual de una de las redes virtuales a las que aplicó las reglas de administración de seguridad. Si no tiene ninguna, implemente una máquina virtual de prueba en una de las redes virtuales. La máquina virtual tiene una nueva sección debajo de las reglas del grupo de seguridad de red que incluye las reglas de seguridad que aplica Azure Virtual Network Manager.

Captura de pantalla de las reglas de administración de seguridad en la configuración de red de la máquina virtual.

Pasos siguientes

Obtenga más información sobre las reglas de administración de seguridad.