Ejercicio: Enrutamiento del tráfico de red a través de Azure Firewall

  • 20 minutos

En el ejercicio anterior, ha implementado Azure Firewall. Ahora, deberá enrutar todo el tráfico de red por medio del firewall y filtrar el tráfico mediante reglas de firewall. Cuando haya terminado, Azure Firewall protegerá el tráfico de red saliente para Azure Virtual Desktop.

Enrutamiento de todo el tráfico a través del firewall

Para la subred que el grupo de hosts usa, configure la ruta predeterminada de salida para que pase por el firewall. Deberá completar estos tres pasos:

  1. Cree una tabla de rutas en el mismo grupo de recursos que las máquinas virtuales y el firewall del grupo de hosts.
  2. Asocie la tabla de rutas a la subred que usan las máquinas virtuales del grupo de hosts.
  3. En la tabla de rutas, agregue la ruta al firewall.

Después de completar los pasos, todo el tráfico se enrutará a Azure Firewall.

Creación de una tabla de rutas

En primer lugar, cree una tabla de rutas denominada firewall-route.

  1. En Azure Portal, busque y seleccione Tablas de rutas.

  2. Seleccione + Create (+ Crear).

  3. Use los valores siguientes:

    Campo Value
    Suscripción Su suscripción
    Resource group learn-firewall-rg
    Region Seleccione la misma ubicación que usó anteriormente.
    Nombre firewall-route

    Screenshot that shows the information to include when creating a route table.

  4. Seleccione Revisar y crear>Crear.

  5. Una vez finalizada la implementación, seleccione Ir al recurso.

Asociación de la tabla de rutas a la subred de la carga de trabajo

Ahora, asocie firewall-route a la subred del grupo de hosts.

  1. En firewall-route, en Configuración, seleccione Subredes. Screenshot that shows the subnet option under settings for the firewall route.

  2. Seleccione + Asociar.

  3. Seleccione los valores siguientes:

    Campo Value
    Virtual network hostVNet
    Subnet hostSubnet

  4. Seleccione Aceptar y espere a que se agregue la asociación.

Adición de la ruta a la tabla de rutas

El último paso consiste en agregar una ruta a Azure Firewall en la tabla de rutas. Después de completar este paso, todo el tráfico de red de la red virtual del grupo de hosts se enrutará a través de Azure Firewall.

  1. En Configuración, seleccione Rutas.

    Screenshot that shows the routes option under settings on the firewall route table.

  2. Seleccione + Agregar.

  3. Escriba los siguientes valores:

    Campo Value
    Nombre de ruta fw-rt
    Tipo de destino Direcciones IP
    Intervalos de direcciones IP de destino y CIDR 0.0.0.0/0
    Tipo de próximo salto Aplicación virtual
    Siguiente dirección de salto Pegue la dirección IP privada de firewall de la unidad del ejercicio anterior. Lo encontrará en la página Firewall; aparece como IP privada del direwall.

    Screenshot that shows the information to include when adding a route.

  4. Seleccione Agregar.

Cree una colección de reglas de aplicación

De forma predeterminada, el firewall deniega el acceso a todo, por lo que debe configurar las condiciones en las que se permite el tráfico a través del firewall.

Cree una colección de reglas de aplicación con reglas que permitan que Azure Virtual Desktop acceda a varios nombres de dominio completos (FQDN).

  1. En Azure Portal, busque y seleccione Firewalls.

  2. Seleccione el firewall learn-fw.

  3. En Configuración, seleccione Rules (classic) [Reglas (clásico)]. Screenshot that shows the rules classic option under settings in the firewall.

  4. Seleccione la pestaña Recopilación de reglas de aplicación y, luego, Agregar una colección de reglas de aplicación. Screenshot that shows the application rule collection tab with the add application rule collection option.

  5. Escriba la información siguiente:

    Campo Valor
    Nombre app-coll01
    Prioridad 200
    Acción Allow

  6. En Reglas, en la sección Etiquetas de FQDN, especifique la siguiente información:

    Campo Valor
    Nombre allow-virtual-desktop
    Tipo de origen Dirección IP
    Source Espacio de direcciones para hostVNet; por ejemplo, 10.0.0.0/16
    Etiquetas FQDN Windows Virtual Desktop

  7. En Reglas, en la sección Target FQDNs (FQDN de destino), especifique la siguiente información:

    Campo Valor
    Nombre allow-storage-service-bus-accounts
    Tipo de origen Dirección IP
    Source Espacio de direcciones para hostVNet; por ejemplo, 10.0.0.0/16
    Protocolo:Puerto https
    FQDN de destino *xt.blob.core.windows.net, *eh.servicebus.windows.net, *xt.table.core.windows.net

  8. Cuando haya terminado, el formulario será similar al de la siguiente imagen: Screenshot that shows the application rule collection form filled out.

  9. Seleccione Agregar.

Creación de una colección de reglas de red

Supongamos que nuestro escenario utiliza Microsoft Entra Domain Services (Servicios de dominio de Microsoft Entra), por lo que no es necesario crear una regla de red para permitir DNS. Sin embargo, necesitará crear una regla para permitir el tráfico desde las máquinas virtuales de Azure Virtual Desktop hasta el servicio de activación de Windows. Para que nuestra regla de red permita Servicio de administración de claves (KMS), use la dirección IP de destino del servidor de KMS para la nube global de Azure.

  1. En learn-fw>Rules (classic) [Reglas (clásico)], seleccione Recopilación de reglas de red.

  2. Seleccione la pestaña Recopilación de reglas de red y, luego, Agregar una colección de reglas de red. Screenshot that shows the network rule collection tab with the add network rule collection option.

  3. Escriba la información siguiente:

    Campo Valor
    Nombre net-coll01
    Prioridad 200
    Acción Allow

  4. En Reglas, en la sección Direcciones IP, especifique la siguiente información:

    Campo Valor
    Nombre allow-kms
    Protocolo TCP
    Tipo de origen Dirección IP
    Source Espacio de direcciones para hostVNet; por ejemplo, 10.0.0.0/16
    Tipo de destino Dirección IP
    Dirección de destino 23.102.135.246
    Puertos de destino 1688

  5. Cuando haya terminado, el formulario será similar al de la siguiente imagen: Screenshot that shows the network rule collection form filled out.

  6. Seleccione Agregar.

Comprobar el trabajo

Ya ha enrutado todo el tráfico de red para Azure Virtual Desktop a través del firewall. Asegurémonos de que el firewall funciona según lo previsto. El tráfico de red saliente del grupo de hosts debe filtrarse a través del firewall hasta el servicio Azure Virtual Desktop. Puede verificar que el firewall permite el tráfico hasta el servicio comprobando el estado de los componentes del servicio.

  1. En Azure Cloud Shell, ejecute el siguiente comando:

    "rdgateway", "rdbroker","rdweb"|% `
{Invoke-RestMethod -Method:Get `
-Uri https://$_.wvd.microsoft.com/api/health}|ft `
-Property Health,TimeStamp,ClusterUrl

  2. Debería ver algo parecido a lo siguiente, donde los tres servicios de componentes aparecen con estado correcto:

    Health               TimeStamp           ClusterUrl
------               ---------           ----------
RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/
RDBroker is Healthy  7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/
RDWeb is Healthy     7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/

    Si uno o varios componentes no aparecen como correctos, significa que el firewall no funciona según lo previsto.