Funcionamiento de Azure Firewall Manager

  • 6 minutos

En esta unidad, vamos a ver cómo funciona Firewall Manager y qué tareas se pueden realizar con él. También veremos cómo funcionan las reglas de directivas de firewall. Como ya hemos indicado, las directivas son el componente básico de Firewall Manager. Las directivas se crean y se asocian con instancias de Azure Firewall en centros virtuales protegidos o en redes virtuales de concentrador.

En el diagrama siguiente se muestra una configuración típica. Incluye un administrador de empresa que crea y asocia directivas en el nivel superior. Estas directivas están asociadas a un centro virtual protegido y dos redes virtuales de concentrador. Un administrador local también puede configurar directivas y asociarlas a una de las redes virtuales de centro de conectividad.

Diagrama que muestra una configuración típica de Firewall Manager, con un administrador global y otro local que crean y asocian propiedades como se ha descrito anteriormente.

Las directivas de Azure Firewall constan de reglas y valores de configuración que controlan el tráfico en los recursos protegidos. En esta unidad aprenderá lo siguiente:

  • Directivas, reglas y valores de configuración de inteligencia sobre amenazas de Azure Firewall
  • Procesamiento de reglas
  • Tareas que puede realizar con Firewall Manager

Definición de las reglas de directiva de Azure Firewall

En la tabla siguiente se describen las recopilaciones de reglas y los valores de configuración de directivas de Azure Firewall.

Recopilación de reglas o valor de configuración Descripción
Configuración de inteligencia sobre amenazas Habilita el filtrado de directivas de Azure Firewall en función de la inteligencia sobre amenazas y emite alertas sobre el tráfico potencialmente malintencionado. También le permitirá denegar el tráfico desde y hacia direcciones IP y dominios que se sabe que son malintencionados.
Recopilación de reglas NAT Permite configurar reglas de traducción de direcciones de red de destino (DNAT) de Azure Firewall. Estas reglas traducen y filtran el tráfico de Internet que entra en las subredes de Azure.
Recopilación de reglas de red Administra el tráfico no HTTP/S que fluye por el firewall.
Recopilación de reglas de aplicación Administra el tráfico HTTP/S que fluye por el firewall.

En primer lugar, debe decidir qué reglas necesita para administrar el tráfico. Después, use Firewall Manager para crear y configurar directivas de Azure Firewall que contengan estas reglas, tal y como se muestra en el gráfico siguiente.

Recorte de pantalla de la hoja Inteligencia contra amenazas en Azure Portal en una directiva de firewall.

Procesamiento de las reglas

En realidad, una regla NAT es una regla de enrutamiento que dirige el tráfico de direcciones IP públicas a privadas en los recursos de Azure. Cuando un firewall procesa las reglas definidas de una directiva, son las reglas de la red y de la aplicación las que determinan si se permite el tráfico. El proceso siguiente describe cómo se procesan estas reglas en el tráfico:

  1. Las reglas de inteligencia sobre amenazas se procesan antes que las reglas de NAT, red o aplicación. Al establecer estas reglas, puede configurar uno de los dos comportamientos siguientes:

    • Alerta cuando se desencadena la regla (modo predeterminado).
    • Alerta y denegación cuando se desencadena la regla.

  2. Las reglas NAT se procesan a continuación y determinan la conectividad de entrada a los recursos especificados en las redes virtuales.

Nota:

Si se encuentra alguna coincidencia, se agrega una regla de red correspondiente implícita para permitir el tráfico traducido.

  1. Después, se aplican las reglas de red. Si una regla de red coincide con el tráfico, se aplica esa regla. No se comprueba ninguna otra regla.
  2. Si no coincide ninguna regla de red y el tráfico es HTTP/S, se aplican las reglas de aplicación.
  3. Si no coincide ninguna regla de aplicación, el tráfico se compara con la recopilación de reglas de infraestructura.
  4. Si sigue sin haber ninguna coincidencia para el tráfico, este se deniega implícitamente.

Nota:

Las recopilaciones de reglas de infraestructura definen nombres de dominio completos (FQDN) que están permitidos de forma predeterminada. Estos FQDN son específicos de Azure.

Uso de Firewall Manager

Firewall Manager permite lo siguiente:

  • Defina reglas para el filtrado del tráfico en varias instancias de Azure Firewall en centros virtuales protegidos y redes virtuales de concentrador.
  • Asocie una directiva de Azure Firewall con redes virtuales nuevas o existentes. Esta asociación aplica directivas de firewall coherentes en varias redes virtuales de centro de conectividad.
  • Asocie una directiva de Azure Firewall o un proveedor de seguridad asociado con centros virtuales nuevos o existentes. Esta asociación aplica directivas de enrutamiento y seguridad coherentes en varios centros de conectividad.
  • Asocie una directiva de Web Application Firewall a una plataforma de entrega de aplicaciones (Azure Front Door o Azure Application Gateway).
  • Asocie las redes virtuales a un plan de protección contra DDoS.

En el gráfico siguiente, un administrador está implementando un firewall con una directiva de firewall para una red virtual existente.

Recorte de pantalla de la hoja Redes virtuales en Firewall Manager. El administrador seleccionó una red virtual existente.