Tutorial: Filtrado del tráfico de red con un grupo de seguridad de red mediante Azure PortalTutorial: Filter network traffic with a network security group using the Azure portal

Puede filtrar el tráfico de red entrante y saliente de una subred de una red virtual con un grupo de seguridad de red.You can filter network traffic inbound to and outbound from a virtual network subnet with a network security group. Los grupos de seguridad de red contienen reglas de seguridad que filtran el tráfico de red por dirección IP, puerto y protocolo.Network security groups contain security rules that filter network traffic by IP address, port, and protocol. Las reglas de seguridad se aplican a los recursos implementados en una subred.Security rules are applied to resources deployed in a subnet. En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Crear un grupo de seguridad de red y reglas de seguridadCreate a network security group and security rules
  • Crear una red virtual y asociar un grupo de seguridad de red a una subredCreate a virtual network and associate a network security group to a subnet
  • Implementar máquinas virtuales (VM) en una subredDeploy virtual machines (VM) into a subnet
  • Probar los filtros de tráficoTest traffic filters

Si lo prefiere, puede completar este tutorial con la CLI de Azure o Azure PowerShell.If you prefer, you can complete this tutorial using the Azure CLI or PowerShell.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Inicio de sesión en AzureSign in to Azure

Inicie sesión en Azure Portal en https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.

Creación de una red virtualCreate a virtual network

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource on the upper, left corner of the Azure portal.

  2. Seleccione Redes y Red virtual.Select Networking, and then select Virtual network.

  3. Escriba o seleccione la siguiente información, acepte los valores predeterminados para el resto de la configuración y luego seleccione Crear:Enter, or select, the following information, accept the defaults for the remaining settings, and then select Create:

    ConfiguraciónSetting ValorValue
    NOMBREName myVirtualNetworkmyVirtualNetwork
    Espacio de direccionesAddress space 10.0.0.0/1610.0.0.0/16
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Grupos de recursosResource group Haga clic en Crear nuevo y escriba myResourceGroup.Select Create new and enter myResourceGroup.
    LocationLocation Seleccione Este de EE. UU.Select East US.
    Nombre de subredSubnet- Name mySubnetmySubnet
    Subred: intervalo de direccionesSubnet - Address range 10.0.0.0/2410.0.0.0/24

Creación de grupos de seguridad de aplicacionesCreate application security groups

Un grupo de seguridad de aplicaciones permite agrupar servidores con funciones similares, como servidores web.An application security group enables you to group together servers with similar functions, such as web servers.

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource on the upper, left corner of the Azure portal.

  2. En el cuadro Buscar en Marketplace, escriba Grupo de seguridad de aplicaciones.In the Search the Marketplace box, enter Application security group. Cuando Grupo de seguridad de aplicaciones aparezca en los resultados de la búsqueda, selecciónelo, vuelva a seleccionar Grupo de seguridad de aplicaciones en Todo y, después, haga clic en Crear.When Application security group appears in the search results, select it, select Application security group again under Everything, and then select Create.

  3. Especifique o seleccione los siguientes datos y haga clic en Crear:Enter, or select, the following information, and then select Create:

    ConfiguraciónSetting ValorValue
    NOMBREName myAsgWebServersmyAsgWebServers
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Resource groupResource group Seleccione Usar existente y después seleccione myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation East USEast US
  4. Complete el paso 3 de nuevo, especificando los valores siguientes:Complete step 3 again, specifying the following values:

    ConfiguraciónSetting ValorValue
    NOMBREName myAsgMgmtServersmyAsgMgmtServers
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Resource groupResource group Seleccione Usar existente y después seleccione myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation East USEast US

Crear un grupo de seguridad de redCreate a network security group

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource on the upper, left corner of the Azure portal.

  2. Seleccione Redes y Grupo de seguridad de red.Select Networking, and then select Network security group.

  3. Especifique o seleccione los siguientes datos y haga clic en Crear:Enter, or select, the following information, and then select Create:

    ConfiguraciónSetting ValorValue
    NOMBREName myNsgmyNsg
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Grupos de recursosResource group Seleccione Usar existente y después seleccione myResourceGroup.Select Use existing and then select myResourceGroup.
    LocationLocation East USEast US

Asociación del grupo de seguridad de red a la subredAssociate network security group to subnet

  1. En el cuadro Search resources, services, and docs (Buscar en recursos, servicios y documentos) en la parte superior del portal, comience a escribir myNsg.In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. Cuando myNsg aparezca en los resultados de búsqueda, selecciónelo.When myNsg appears in the search results, select it.

  2. En CONFIGURACIÓN, seleccione Subredes y, luego, + Asociar, como se muestra en la imagen siguiente:Under SETTINGS, select Subnets and then select + Associate, as shown in the following picture:

    Asociación del NSG a la subred

  3. En Asociar subred, seleccione Red virtual y myVirtualNetwork.Under Associate subnet, select Virtual network and then select myVirtualNetwork. Seleccione Subred, MySubnet y, a continuación, Aceptar.Select Subnet, select mySubnet, and then select OK.

Creación de reglas de seguridadCreate security rules

  1. Seleccione CONFIGURACIÓN, Reglas de seguridad de entrada y, después, + Agregar, tal como se muestra en la imagen siguiente:Under SETTINGS, select Inbound security rules and then select + Add, as shown in the following picture:

    Incorporación de una regla de seguridad de entrada

  2. Cree una regla de seguridad que permita a los puertos 80 y 443 para el grupo de seguridad de la aplicación myAsgWebServers.Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. En Agregar regla de seguridad de entrada, escriba o seleccione los valores siguientes, acepte el resto de valores predeterminados y, después, seleccione Agregar:Under Add inbound security rule, enter, or select the following values, accept the remaining defaults, and then select Add:

    ConfiguraciónSetting ValorValue
    DestinoDestination Seleccione Grupo de seguridad de la aplicación y, a continuación, seleccione myAsgWebServers para Grupo de seguridad de la aplicación.Select Application security group, and then select myAsgWebServers for Application security group.
    Intervalos de puertos de destinoDestination port ranges Escriba 80,443Enter 80,443
    ProtocoloProtocol Selección de TCPSelect TCP
    NOMBREName Allow-Web-AllAllow-Web-All
  3. Repita el paso 2 de nuevo, utilizando los siguientes valores:Complete step 2 again, using the following values:

    ConfiguraciónSetting ValorValue
    DestinoDestination Seleccione Grupo de seguridad de la aplicación y, a continuación, seleccione myAsgMgmtServers para Grupo de seguridad de la aplicación.Select Application security group, and then select myAsgMgmtServers for Application security group.
    Intervalos de puertos de destinoDestination port ranges Escriba 3389Enter 3389
    ProtocoloProtocol Selección de TCPSelect TCP
    PriorityPriority Escriba 110Enter 110
    NOMBREName Allow-RDP-All (Permitir-RDP-Todo)Allow-RDP-All

    En este tutorial, se expone RDP (puerto 3389) a Internet para la máquina virtual que se asigna al grupo de seguridad de la aplicación myAsgMgmtServers.In this tutorial, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group. En entornos de producción, en lugar de exponer el puerto 3389 a Internet, se recomienda conectarse a los recursos de Azure que desee administrar mediante una VPN o una conexión de red privada.For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN or private network connection.

Una vez completados los pasos 1 a 3, revise las reglas creadas.Once you've completed steps 1-3, review the rules you created. La lista debe ser similar a la que aparece en la siguiente imagen:Your list should look like the list in the following picture:

Reglas de seguridad

Creación de máquinas virtualesCreate virtual machines

Cree dos máquinas virtuales en la red virtual.Create two VMs in the virtual network.

Creación de la primera máquina virtualCreate the first VM

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Seleccione Compute y, después, seleccione Windows Server 2016 Datacenter.Select Compute, and then select Windows Server 2016 Datacenter.

  3. Escriba o seleccione la siguiente información y acepte los valores predeterminados para el resto de la configuración:Enter, or select, the following information, and accept the defaults for the remaining settings:

    ConfiguraciónSetting ValorValue
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Resource groupResource group Seleccione Usar existente y, a continuación, myResourceGroup.Select Use existing and select myResourceGroup.
    NOMBREName myVmWebmyVmWeb
    LocationLocation Seleccione Este de EE. UU.Select East US.
    Nombre de usuarioUser name Escriba un nombre de usuario de su elección.Enter a user name of your choosing.
    PasswordPassword Escriba una contraseña de su elección.Enter a password of your choosing. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.The password must be at least 12 characters long and meet the defined complexity requirements.
  4. Seleccione un tamaño para la máquina virtual y luego Seleccionar.Select a size for the VM and then select Select.

  5. En Redes, seleccione los valores siguientes y acepte los valores predeterminados restantes:Under Networking, select the following values, and accept the remaining defaults:

    ConfiguraciónSetting ValorValue
    Virtual networkVirtual network Seleccione myVirtualNetwork.Select myVirtualNetwork.
    Grupo de seguridad de red de NICNIC network security group Seleccione Advanced (Avanzadas).Select Advanced.
    Puertos de entrada públicosPublic Inbound Ports Seleccione Ninguno.Select None.
  6. Seleccione Revisar y crear en la esquina inferior izquierda y seleccione Crear para iniciar la implementación de la máquina virtual.Select Review + Create at the bottom, left corner, select Create to start VM deployment.

Creación de la segunda máquina virtualCreate the second VM

Complete de nuevo los pasos 1 a 6, pero recuerde que, en el paso 3, debe nombrar la máquina virtual myVmMgmt.Complete steps 1-6 again, but in step 3, name the VM myVmMgmt. La maquina virtual tarda unos minutos en implementarse.The VM takes a few minutes to deploy. No continúe con el paso siguiente hasta que se implemente la máquina virtual.Do not continue to the next step until the VM is deployed.

Asociación de interfaces de red a un ASGAssociate network interfaces to an ASG

Cuando el portal creó las máquinas virtuales, se creó también una interfaz de red para cada una y la interfaz de red se asoció a la máquina virtual.When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM. Agregue la interfaz de red para cada máquina virtual a uno de los grupos de seguridad de la aplicación que creó anteriormente:Add the network interface for each VM to one of the application security groups you created previously:

  1. En el cuadro Search resources, services, and docs (Buscar en recursos, servicios y documentos) en la parte superior del portal, comience a escribir myVmWeb.In the Search resources, services, and docs box at the top of the portal, begin typing myVmWeb. Cuando la máquina virtual myVmWeb aparezca en los resultados de búsqueda, selecciónela.When the myVmWeb VM appears in the search results, select it.

  2. En CONFIGURACIÓN, seleccione Redes.Under SETTINGS, select Networking. Seleccione Configure the application security groups (Configurar los grupos de seguridad de la aplicación), seleccione myAsgWebServers para Grupos de seguridad de la aplicación y, a continuación, seleccione Guardar, tal y como se muestra en la siguiente imagen:Select Configure the application security groups, select myAsgWebServers for Application security groups, and then select Save, as shown in the following picture:

    Asociación a los ASG

  3. Complete los pasos 1 y 2 de nuevo, buscando la máquina virtual myVmMgmt y seleccionando el ASG myAsgMgmtServers.Complete steps 1 and 2 again, searching for the myVmMgmt VM and selecting the myAsgMgmtServers ASG.

Probar los filtros de tráficoTest traffic filters

  1. Conéctese a la máquina virtual myVmMgmt.Connect to the myVmMgmt VM. Escriba myVmMgmt en el cuadro de búsqueda que se encuentra en la parte superior del portal.Enter myVmMgmt in the search box at the top of the portal. Seleccione myVmMgmt cuando aparezca en los resultados de la búsqueda.When myVmMgmt appears in the search results, select it. Seleccione el botón Conectar.Select the Connect button.

  2. Seleccione Descargar archivo RDP.Select Download RDP file.

  3. Abra el archivo RDP descargado y seleccione Conectar.Open the downloaded rdp file and select Connect. Escriba el nombre de usuario y la contraseña que especificó al crear la máquina virtual.Enter the user name and password you specified when creating the VM. Puede que deba seleccionar More choices (Más opciones) y, luego, Use a different account (Usar una cuenta diferente), para especificar las credenciales que escribió al crear la máquina virtual.You may need to select More choices, then Use a different account, to specify the credentials you entered when you created the VM.

  4. Seleccione Aceptar.Select OK.

  5. Puede recibir una advertencia de certificado durante el proceso de inicio de sesión.You may receive a certificate warning during the sign-in process. Si recibe la advertencia, seleccione o Continuar para continuar con la conexión.If you receive the warning, select Yes or Continue, to proceed with the connection.

    La conexión se realiza correctamente porque el puerto 3389 tiene permitida la entrada desde Internet al grupo de seguridad de aplicaciones myAsgMgmtServers en el que se encuentra la interfaz de red conectada a la máquina virtual myVmMgmt.The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group that the network interface attached to the myVmMgmt VM is in.

  6. Para conectarse a la máquina virtual myVmWeb desde la máquina virtual myVmMgmt, escriba el siguiente comando en una sesión de PowerShell:Connect to the myVmWeb VM from the myVmMgmt VM by entering the following command in a PowerShell session:

    mstsc /v:myVmWeb
    

    Es posible conectarse a la máquina virtual myVmWeb desde la máquina virtual myVmMgmt porque las máquinas virtuales de la misma red virtual pueden comunicarse entre sí a través de cualquier puerto, de forma predeterminada.You are able to connect to the myVmWeb VM from the myVmMgmt VM because VMs in the same virtual network can communicate with each other over any port, by default. Sin embargo, no es posible crear una conexión de escritorio remoto con la máquina virtual myVmWeb desde Internet porque la regla de seguridad para myAsgWebServers no permite el puerto 3389 de entrada desde Internet y, de forma predeterminada, al tráfico de entrada desde Internet se le deniegan todos los recursos.You can't however, create a remote desktop connection to the myVmWeb VM from the internet, because the security rule for the myAsgWebServers doesn't allow port 3389 inbound from the internet and inbound traffic from the Internet is denied to all resources, by default.

  7. Para instalar Microsoft IIS en la máquina virtual myVmWeb use el siguiente comando desde una sesión de PowerShell en la máquina virtual myVmWeb:To install Microsoft IIS on the myVmWeb VM, enter the following command from a PowerShell session on the myVmWeb VM:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. Una vez completada la instalación de IIS, desconecte la sesión de la máquina virtual myVmWeb, lo que le deja en la conexión de escritorio remoto de la máquina virtual myVmMgmt.After the IIS installation is complete, disconnect from the myVmWeb VM, which leaves you in the myVmMgmt VM remote desktop connection.

  9. Desconéctese de la máquina virtual myVmMgmt.Disconnect from the myVmMgmt VM.

  10. En el cuadro Search resources, services, and docs (Buscar recursos, servicios y documentos) en la parte superior de Azure Portal, comience a escribir myVmWeb desde su equipo.In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVmWeb from your computer. Cuando aparezca myVmWeb en los resultados de búsqueda, selecciónelo.When myVmWeb appears in the search results, select it. Anote la Dirección IP pública de la máquina virtual.Note the Public IP address for your VM. La dirección que aparece en la siguiente imagen es 137.135.84.74, pero su dirección es diferente:The address shown in the following picture is 137.135.84.74, but your address is different:

    Dirección IP pública

  11. Para confirmar que tiene acceso al servidor web myVmWeb desde Internet, abra un explorador de Internet en el equipo y vaya a http://<public-ip-address-from-previous-step>.To confirm that you can access the myVmWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>. Ve la pantalla de bienvenida de IIS, porque el puerto 80 tiene permitida la entrada desde Internet al grupo de seguridad de aplicaciones myAsgWebServers en el que se encuentra la interfaz de red conectada a la máquina virtual myVmWeb.You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group that the network interface attached to the myVmWeb VM is in.

Limpieza de recursosClean up resources

Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:When no longer needed, delete the resource group and all of the resources it contains:

  1. Escriba myResourceGroup en el cuadro Buscar que se encuentra en la parte superior del portal.Enter myResourceGroup in the Search box at the top of the portal. Seleccione myResourceGroup cuando lo vea en los resultados de la búsqueda.When you see myResourceGroup in the search results, select it.
  2. Seleccione Eliminar grupo de recursos.Select Delete resource group.
  3. Escriba myResourceGroup para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: y seleccione Eliminar.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Pasos siguientesNext steps

En este tutorial, ha creado un grupo de seguridad de red y lo ha asociado a una subred de una red virtual.In this tutorial, you created a network security group and associated it to a virtual network subnet. Para más información acerca de los grupos de seguridad de red, consulte Introducción a los grupos de seguridad de red y Administración de un grupo de seguridad de red.To learn more about network security groups, see Network security group overview and Manage a network security group.

De forma predeterminada, Azure enruta el tráfico entre subredes.Azure routes traffic between subnets by default. En su lugar, puede elegir enrutar el tráfico entre subredes a través de una máquina virtual, que actúa como un firewall, por ejemplo.You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example. Para aprender a crear una tabla de rutas, avance al siguiente tutorial.To learn how to create a route table, advance to the next tutorial.