Tutorial: Protección de un centro virtual mediante Azure Firewall Manager

Mediante Azure Firewall Manager puede crear centros virtuales protegidos y así proteger el tráfico en la nube destinado a direcciones IP privadas, PaaS de Azure e Internet. El enrutamiento del tráfico al firewall es automático, por lo que no es necesario crear rutas definidas por el usuario (UDR).

Firewall Manager también admite una arquitectura de red virtual de centro. Para ver una comparación entre los tipos de arquitectura de red virtual de centro y centro virtual protegido, consulte ¿Cuáles son las opciones de arquitectura de Azure Firewall Manager?

En este tutorial, aprenderá a:

  • Crear la red virtual de tipo hub-and-spoke
  • Crear un centro virtual protegido
  • Conectar las redes virtuales de tipo hub-and-spoke
  • Enrutamiento del tráfico al centro
  • Implementación de los servidores
  • Creación de una directiva de firewall y protección del centro
  • Probar el firewall

Importante

El procedimiento de este tutorial usa Azure Firewall Manager para crear un centro protegido de Azure Virtual WAN. Puede usar Firewall Manager para actualizar un centro de conectividad existente, pero no puede configurar Azure Availability Zones para Azure Firewall. También es posible convertir un centro existente en un centro protegido mediante Azure Portal, como se describe en Configuración de Azure Firewall en un centro de Virtual WAN. Pero al igual que Azure Firewall Manager, no se puede configurar Availability Zones. Para actualizar un centro de conectividad existente y especificar Availability Zones para Azure Firewall (recomendado) debe seguir el procedimiento de actualización en Tutorial: Protección del centro virtual mediante Azure PowerShell.

Diagrama que muestra la red en la nube segura.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una arquitectura en estrella tipo hub-and-spoke

En primer lugar, cree redes virtuales de radio en las que pueda colocar los servidores.

Creación de dos redes virtuales de radio y subredes

Cada una de las dos redes virtuales tiene un servidor de carga de trabajo y se protege con el firewall.

  1. En la página principal de Azure Portal, seleccione Crear un recurso.
  2. Busque Red virtual selecciónela y seleccione Crear.
  3. En Suscripción, seleccione la suscripción.
  4. En Grupo de recursos, seleccione Crear nuevo y escriba fw-manager-rg como nombre y seleccione Aceptar.
  5. En Nombre de red virtual, escriba Spoke-01.
  6. En Región, seleccione Este de EE. UU. .
  7. Seleccione Siguiente.
  8. En la página Seguridad, seleccione Siguiente.
  9. En Agregar espacio de direcciones IPv4, acepte el valor 10.0.0.0/16 predeterminado.
  10. En Subredes, seleccione Valor predeterminado.
  11. En nombre, escriba Workload-01-SN.
  12. Para dirección de inicio, escriba 10.0.1.0/24.
  13. Seleccione Guardar.
  14. Seleccione Revisar + crear.
  15. Seleccione Crear.

Repita este procedimiento para crear otra red virtual similar en el grupo de recursos fw-manager-rg:

Nombre: Spoke-02
Espacio de direcciones: 10.1.0.0/16
Nombre de subred: Workload-02-SN
Dirección inicial: 10.1.1.0/24

Creación del centro virtual protegido

Cree el centro virtual protegido con Firewall Manager.

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En el cuadro de búsqueda, escriba Firewall Manager y seleccione Firewall Manager.

  3. En la página Firewall Manager, en Implementaciones, seleccione Centros virtuales.

  4. En la página Firewall Manager | Centros virtuales, seleccione Crear un centro virtual protegido.

    Captura de pantalla de la creación de un nuevo centro virtual protegido.

  5. Seleccione su suscripción.

  6. En Grupo de recursos, seleccione fw-manager-rg.

  7. En Región, seleccione Este de EE. UU. .

  8. En Nombre del centro virtual protegido, escriba Hub-01.

  9. En Espacio de direcciones del concentrador, escriba 10.2.0.0/16.

  10. Seleccione Nueva vWAN.

  11. Como nombre de la nueva WAN virtual, escriba Vwan-01.

  12. En Tipo, seleccione Estándar.

  13. Deje desactivada la casilla Incluir VPN Gateway para habilitar asociados de seguridad de confianza.

    Captura de pantalla de la creación de un nuevo centro virtual con propiedades.

  14. Seleccione Siguiente: Azure Firewall.

  15. Acepte el valor predeterminado Azure FirewallHabilitado.

  16. Para el nivel de Azure Firewall, seleccione Estándar.

  17. Seleccione la combinación deseada de Availability Zones.

Importante

Una red Virtual WAN es una colección de centros de conectividad y servicios que están disponibles en el centro de conectividad. Puede implementar tantas Virtual WAN como sea necesario. En un centro de conectividad de Virtual WAN existen varios servicios, como VPN y ExpressRoute, entre otros. Cada uno de estos servicios se implementa automáticamente en Availability Zones excepto Azure Firewall, siempre y cuando esta admita Availability Zones. Para alinearse con la resistencia de Azure Virtual WAN, debe seleccionar todas las zonas de disponibilidad disponibles.

Captura de pantalla de la configuración de parámetros de Azure Firewall.

  1. Escriba 1 en el cuadro de texto Especificar número de direcciones IP públicas.

  2. En Directiva de firewall asegúrese de que Directiva de denegación predeterminada está seleccionada. Puede refinar la configuración más adelante en este artículo.

  3. Seleccione Siguiente: Proveedores de seguridad asociados.

    Captura de pantalla de la configuración de parámetros de asociados de confianza.

  4. Acepte la configuración predeterminada Asociado de seguridad de confianza Deshabilitado y seleccione Siguiente: Revisar y crear.

  5. Seleccione Crear.

    Captura de pantalla de la creación de la instancia de Firewall.

Nota

Puede tardar hasta 30 minutos en crear un centro virtual protegido.

Puede encontrar la dirección IP pública del firewall una vez completada la implementación.

  1. Abra Firewall Manager.
  2. Seleccione Concentradores virtuales.
  3. Seleccione hub-01.
  4. Seleccione AzureFirewall_Hub-01.
  5. Anote la dirección IP pública para usarla más tarde.

Conexión de las redes virtuales de tipo hub-and-spoke

Ahora, podrá emparejar las redes virtuales de tipo hub-and-spoke.

  1. Seleccione el grupo de recursos fw-manager.rg y, después, seleccione la WAN virtual Vwan-01.

  2. En Conectividad, seleccione Conexiones de red virtual.

    Captura de pantalla de la adición de conexiones de Virtual Network.

  3. Seleccione Agregar conexión.

  4. En Nombre de conexión, escriba hub-spoke-01.

  5. En Centros, seleccione Hub-01.

  6. En Grupo de recursos, seleccione fw-manager-rg.

  7. En Red virtual, seleccione Spoke-01.

  8. Seleccione Crear.

  9. Repita el procedimiento para conectar la red virtual Spoke-02 con el nombre de conexión hub-spoke-02.

Implementación de los servidores

  1. En Azure Portal, seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter en la lista Populares.

  3. Especifique estos valores para la máquina virtual:

    Configuración Value
    Resource group fw-manager-rg
    Nombre de la máquina virtual Srv-workload-01
    Region (EE. UU.) Este de EE. UU.
    Nombre de usuario del administrador Escriba un nombre de usuario
    Contraseña Escriba una contraseña
  4. En Reglas de puerto de entrada, para Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los restantes valores predeterminados y seleccione Siguiente: Discos.

  6. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  7. Seleccione Spoke-01 para la red virtual y seleccione Workload-01-SN para la subred.

  8. En IP pública, seleccione Ninguno.

  9. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  10. Seleccione Next: Monitoring (Siguiente: Supervisión).

  11. Seleccione Deshabilitar para deshabilitar los diagnósticos de arranque. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  12. Revise la configuración en la página de resumen y seleccione Crear.

Use la información de la tabla siguiente para configurar otra máquina virtual llamada Srv-Workload-02. El resto de la configuración es la misma que la de la máquina virtual Srv-workload-01.

Configuración Value
Virtual network Spoke-02
Subnet Workload-02-SN

Una vez implementados los servidores, seleccione un recurso de servidor y en Redes tenga en cuenta la dirección IP privada de cada servidor.

Creación de una directiva de firewall y protección del centro

Una directiva de firewall define colecciones de reglas para dirigir el tráfico en uno o varios centros virtuales protegidos. Cree la directiva de firewall y, a continuación, proteja el centro.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.

    Captura de pantalla de la creación de una instancia de Azure Policy con el primer paso.

  2. Seleccione Crear una directiva de Azure Firewall.

    Captura de pantalla de la configuración de Azure Policy en el primer paso.

  3. En Grupo de recursos, seleccione fw-manager-rg.

  4. En Detalles de la directiva, como Nombre escriba Policy-01 y como Región seleccione Este de EE. UU.

  5. Como nivel de directiva, seleccione Estándar.

  6. Seleccione Siguiente: Configuración DNS.

    Captura de pantalla de la configuración de los ajustes de DNS.

  7. Seleccione Siguiente: Inspección de TLS.

    Captura de pantalla de la configuración de los ajustes de TLS.

  8. Seleccione Siguiente: Reglas.

  9. En la pestaña Reglas, seleccione Agregar una colección de reglas.

    Captura de pantalla de la configuración de la colección de reglas.

  10. En la página Agregar una colección de reglas, escriba App-RC-01 en Nombre.

  11. En Tipo de colección de reglas, seleccione Aplicación.

  12. En Prioridad, escriba 100.

  13. Asegúrese de que el valor de Rule collection action (Acción de la colección de reglas) es Permitir.

  14. Para el Nombre de la regla, escriba Allow-msft.

  15. Para Tipo de origen, seleccione Dirección IP.

  16. En Origen, escriba *.

  17. En Protocolo, escriba http,https.

  18. Asegúrese de que Tipo de destino es FQDN.

  19. En Destino, escriba *.microsoft.com.

  20. Seleccione Agregar.

  21. Agregue una regla DNAT para poder conectar un escritorio remoto a la máquina virtual Srv-Workload-01.

    1. Seleccione Agregar una colección de reglas.
    2. En Nombre, escriba dnat-rdp.
    3. En Tipo de colección de reglas, seleccione DNAT.
    4. En Prioridad, escriba 100.
    5. Para el Nombre de la regla, escriba Allow-rdp.
    6. Para Tipo de origen, seleccione Dirección IP.
    7. En Origen, escriba *.
    8. En Protocolo, seleccione TCP.
    9. En Puertos de destino, escriba 3389.
    10. En Destino, escriba la dirección IP pública del firewall que anotó anteriormente.
    11. En Translated type (Tipo traducido), seleccione Dirección IP.
    12. En Dirección traducida, escriba la dirección IP privada para Srv-Workload-01 que anotó anteriormente.
    13. En Puerto traducido, escriba 3389.
    14. Seleccione Agregar.
  22. Agregue una regla de red para conectar un escritorio remoto de Srv-Workload-01 a Srv-Workload-02.

    1. Seleccione Agregar una colección de reglas.
    2. En Nombre, escriba vnet-rdp.
    3. En Tipo de colección de reglas, seleccione Red.
    4. En Prioridad, escriba 100.
    5. En Acción de recopilación de reglas, seleccione Denegar.
    6. Como Nombre de la regla, escriba Allow-vnet.
    7. Para Tipo de origen, seleccione Dirección IP.
    8. En Origen, escriba *.
    9. En Protocolo, seleccione TCP.
    10. En Puertos de destino, escriba 3389.
    11. En Tipo de destino, seleccione Dirección IP.
    12. En Destino, escriba la dirección IP privada de Srv-Workload-02 que anotó anteriormente.
    13. Seleccione Agregar.
  23. Seleccione Next: IDPS (Siguiente: IDPS).

  24. En la página IDPS, seleccione Next: Threat Intelligence (Siguiente: Inteligencia sobre amenazas).

    Captura de pantalla de la configuración de los ajustes de IDPS.

  25. En la página Inteligencia sobre amenazas, acepte los valores predeterminados y seleccione Revisar y crear:

    Captura de pantalla de la configuración de los ajustes de inteligencia sobre amenazas.

  26. Revise para confirmar la selección y, luego, seleccione Crear.

Asociación de directiva

Asocie la directiva de firewall con el concentrador.

  1. En Firewall Manager, seleccione Directivas de Azure Firewall.

  2. Active la casilla de Policy-01.

  3. Seleccione Administrar asociaciones, Asociar centros.

    Captura de pantalla de la configuración de la asociación de directivas.

  4. Seleccione hub-01.

  5. Seleccione Agregar.

    Captura de pantalla de la adición de ajustes de centro y de directiva.

Enrutamiento del tráfico al centro

Ahora debe asegurarse de que el tráfico de red se enruta a través del firewall.

  1. En Firewall Manager, seleccione Concentradores virtuales.

  2. Seleccione Hub-01.

  3. En Ajustes, seleccione Configuración de seguridad.

  4. En Tráfico de Internet, seleccione Azure Firewall.

  5. En Private traffic (Tráfico privado), seleccione Send via Azure Firewall (Enviar a través de Azure Firewall).

    Nota:

    Si usa intervalos de direcciones IP públicas para redes privadas en una red virtual o una rama local, debe especificar explícitamente estos prefijos de dirección IP. Seleccione la sección Prefijos de tráfico privado y, a continuación, agréguelos junto con los prefijos de dirección RFC1918.

  6. En Inter-hub, seleccione Habilitado para habilitar la característica de intención de enrutamiento de Virtual WAN. La intención de enrutamiento es el mecanismo mediante el que puede configurar Virtual WAN para enrutar el tráfico de rama a rama (local a local) a través de Azure Firewall implementado en el centro de Virtual WAN. Para obtener más información sobre los requisitos previos y las consideraciones asociadas a la característica de intención de enrutamiento, consulte la documentación sobre la intención de enrutamiento.

  7. Seleccione Guardar.

  8. En el cuadro de diálogo de Advertencia, seleccione Aceptar.

    Captura de pantalla de Conexiones seguras.

  9. Seleccione Aceptar en el cuadro de diálogo Migrar para usar el centro de conectividad.

    Nota:

    Se tarda unos minutos en actualizar las tablas de rutas.

  10. Compruebe que las dos conexiones muestran que Azure Firewall protege el tráfico de Internet y el privado.

    Captura de pantalla del estado final de Conexiones seguras.

Probar el firewall

Para probar las reglas de firewall, conecte un escritorio remoto mediante la dirección IP pública del firewall, que se conecta mediante NAT a Srv-Workload-01. Desde allí, use un explorador para probar la regla de aplicación y conectar un escritorio remoto a Srv-Workload-02 para probar la regla de red.

Prueba de la regla de aplicación

Ahora, pruebe las reglas de firewall para confirmar que funcionan según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall e inicie sesión.

  2. Abra Internet Explorer y vaya a https://www.microsoft.com.

  3. Seleccione Aceptar>Cerrar en las alertas de seguridad de Internet Explorer.

    Debería ver la página principal de Microsoft.

  4. Vaya a https://www.google.com.

    El firewall debe bloquearlo.

Con ello, ha comprobado que la regla de aplicación de firewall funciona:

  • Puede navegar al FQDN permitido pero no a ningún otro.

Prueba de la regla de red

Ahora pruebe la regla de red.

  • Desde Srv-Workload-01, abra un escritorio remoto conectado a la dirección IP privada de Srv-Workload-02.

    Un escritorio remoto debe conectarse a Srv-Workload-02.

Con ello, ha comprobado que la regla de red de firewall funciona:

  • Puede conectar un escritorio remoto a un servidor ubicado en otra red virtual.

Limpieza de recursos

Cuando haya terminado de probar los recursos de firewall, elimine el grupo de recursos fw-manager-rg para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes