Compartir vía

Tutorial: Implementación de un firewall con Azure DDoS Protection

  • Artículo

Este artículo le ayuda a crear una instancia de Azure Firewall con una red virtual protegida contra DDoS. Azure DDoS Protection permite funcionalidades mejoradas de mitigación de ataques DDoS como el ajuste adaptable, las notificaciones de alertas de ataque y la supervisión para proteger su firewall frente a ataques DDoS a gran escala.

Importante

Azure DDoS Protection incurre en un coste cuando usa la SKU de la Protección de red. Los cargos del uso por encima del límite solo se aplican si hay más de 100 direcciones IP públicas protegidas en el inquilino. Asegúrese de eliminar los recursos de este tutorial si no va a usarlos en el futuro. Para obtener información sobre los precios, consulte Precios de Azure DDoS Protection. Para obtener más información sobre la protección contra DDoS de Azure, consulte ¿Qué es Azure DDoS Protection?.

En este tutorial, creará una red virtual única simplificada con dos subredes para facilitar la implementación. La Protección de red Azure DDoS está habilitada para la red virtual.

  • AzureFirewallSubnet: el firewall está en esta subred.
  • Workload-SN: el servidor de carga de trabajo está en esta subred. El tráfico de red de esta subred va a través del firewall.

Diagrama de la infraestructura de red del firewall con DDoS Protection.

Para las implementaciones de producción, se recomienda un modelo de concentrador y radio, en el que el firewall está en su propia red virtual. Los servidores de las cargas de trabajo están en redes virtuales emparejadas en la misma región con una o varias subredes.

En este tutorial, aprenderá a:

  • Configurar un entorno de red de prueba
  • Implementación de un firewall y una directiva de firewall
  • Crear una ruta predeterminada
  • Configurar una regla de aplicación para permitir el acceso a www.google.com
  • Configuración de una regla de red para permitir el acceso a los servidores DNS externos
  • Configurar una regla NAT para permitir un escritorio remoto en el servidor de prueba
  • Probar el firewall

Si lo prefiere, puede realizar los pasos de este procedimiento mediante Azure PowerShell.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Configuración de la red

En primer lugar, cree un grupo de recursos para que contenga los recursos necesarios para implementar el firewall. A continuación, cree una red virtual, subredes y un servidor de prueba.

Crear un grupo de recursos

El grupo de recursos contiene todos los recursos necesarios para el tutorial.

  1. Inicie sesión en Azure Portal.

  2. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos en cualquier página y, a continuación, seleccione Agregar. Escriba o seleccione los siguientes valores:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Resource group Escriba Test-FW-RG.
    Region Seleccione una región. Los demás recursos que cree deben estar en la misma región.

  3. Seleccione Revisar + crear.

  4. Seleccione Crear.

Creación de un plan de protección contra DDoS

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Protección contra DDoS. Seleccione Planes de protección contra DDoS en los resultados de la búsqueda y, después, seleccione + Crear.

  2. En la página Aspectos básicos de Crear un plan de protección contra DDoS, escriba o seleccione la siguiente información:

    Configuración Valor
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Test-FW-RG.
    Detalles de instancia
    Nombre Escriba myDDoSProtectionPlan.
    Region (Región) Seleccione la región.

  3. Seleccione Revisar y crear y, después, seleccione Crear para implementar el plan de protección contra DDoS.

Creación de una red virtual

Esta red virtual tendrá tres subredes.

Nota

El tamaño de la subred AzureFirewallSubnet es /26. Para más información sobre el tamaño de la subred, consulte Preguntas más frecuentes sobre Azure Firewall.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Seleccionar Redes.

  3. Busque Red virtual y selecciónela.

  4. Seleccione Crear y, a continuación, escriba o seleccione los valores siguientes:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Test-FW-RG.
    Nombre Escriba Test-FW-VN.
    Region Seleccione la misma ubicación que usó anteriormente.

  5. Seleccione Siguiente: Direcciones IP.

  6. En Espacio de direcciones IPv4, acepte el valor predeterminado 10.1.0.0/16.

  7. En Subred, seleccione predeterminada.

  8. En Nombre de subred, cambie el nombre por AzureFirewallSubnet. El firewall estará en esta subred y el nombre de la subred debe ser AzureFirewallSubnet.

  9. En Intervalo de direcciones, escriba 10.1.1.0/26.

  10. Seleccione Guardar.

    A continuación, cree una subred para el servidor de la carga de trabajo.

  11. Haga clic en Agregar subred.

  12. En Nombre de subred, escriba Workload-SN.

  13. En Intervalo de direcciones de subred, escriba 10.1.2.0/24.

  14. Seleccione Agregar.

  15. Seleccione Siguiente: Seguridad.

  16. En Protección de red DDoS, seleccione Habilitar.

  17. En Plan de protección contra DDoS, seleccione myDDoSProtectionPlan.

  18. Seleccione Revisar + crear.

  19. Seleccione Crear.

Creación de una máquina virtual

Ahora cree la máquina virtual de la carga de trabajo y colóquela en la subred Workload-SN.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Seleccione Windows Server 2019 Datacenter.

  3. Especifique o seleccione estos valores para la máquina virtual:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Test-FW-RG.
    Nombre de la máquina virtual Escriba Srv-Work.
    Region Seleccione la misma ubicación que usó anteriormente.
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.

  4. En Reglas de puerto de entrada, en Puertos de entrada públicos, seleccione Ninguno.

  5. Acepte los restantes valores predeterminados y seleccione Siguiente: Discos.

  6. Acepte los valores predeterminados del disco y seleccione Siguiente: Redes.

  7. Asegúrese de que Test-FW-VN está seleccionada como red virtual y que la subred es Workload-SN.

  8. En IP pública, seleccione Ninguno.

  9. Acepte los restantes valores predeterminados y seleccione Siguiente: Administración.

  10. Seleccione Deshabilitar para deshabilitar los diagnósticos de arranque. Acepte los restantes valores predeterminados y seleccione Revisar y crear.

  11. Revise la configuración en la página de resumen y seleccione Crear.

  12. Una vez completada la implementación, seleccione el recurso Srv-Work y anote la dirección IP privada, ya que la usará más adelante.

Implementación del firewall y la directiva

Implemente el firewall en la red virtual.

  1. En el menú de Azure Portal o en la página principal, seleccione Crear un recurso.

  2. Escriba firewall en el cuadro de búsqueda y presione Entrar.

  3. Seleccione Firewall y después Crear.

  4. En la página Creación de un firewall, utilice la tabla siguiente para configurar el firewall:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Test-FW-RG.
    Nombre Escriba Test-FW01.
    Region Seleccione la misma ubicación que usó anteriormente.
    Administración del firewall Seleccione Usar una directiva de firewall para administrar este firewall.
    Directiva de firewall Seleccione Agregar nuevo y escriba fw-test-pol.
    Seleccione la misma región que usó anteriormente.
    Elegir una red virtual Seleccione Usar existente y, a continuación, seleccione Test-FW-VN.
    Dirección IP pública Seleccione Agregar nuevo y escriba fw-pip como Nombre.

  5. Acepte los restantes valores predeterminados y, después, seleccione Revisar y crear.

  6. Revise el resumen y seleccione Crear para crear el firewall.

    La implementación tardará varios minutos.

  7. Una vez finalizada la implementación, vaya al grupo de recursos Test-FW-RG y seleccione el firewall Test-FW01.

  8. Anote las direcciones IP privadas y públicas del firewall. Usará estas direcciones más adelante.

Crear una ruta predeterminada

En la subred Workload-SN, configure la ruta predeterminada de salida que pase por el firewall.

  1. En el menú de Azure Portal, seleccione Todos los servicios o busque y seleccione Todos los servicios desde cualquier página.

  2. En Redes, seleccione Tablas de rutas.

  3. Seleccione Crear y, a continuación, escriba o seleccione los valores siguientes:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Test-FW-RG.
    Region Seleccione la misma ubicación que usó anteriormente.
    Nombre Escriba Firewall-route.

  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Una vez finalizada la implementación, seleccione Ir al recurso.

  1. En la página Ruta de firewall, seleccione Subredes y, luego, seleccione Asociar.
  2. Seleccione Red virtual>FW-Test-VN.
  3. En Subred, seleccione Workload-SN. Asegúrese de seleccionar únicamente la subred Workload-SN para esta ruta o el firewall no funcionará correctamente.
  4. Seleccione Aceptar.
  5. Seleccione Rutas y después Agregar.
  6. En Nombre de ruta, escriba fw-dg.
  7. En Prefijo de dirección, escriba 0.0.0.0/0.
  8. En Tipo del próximo salto, seleccione Aplicación virtual. Azure Firewall es realmente un servicio administrado, pero una aplicación virtual funciona en esta situación.
  9. En Dirección del próximo salto, escriba la dirección IP privada del firewall que anotó anteriormente.
  10. Seleccione Aceptar.

Configuración de una regla de aplicación

Esta es la regla de aplicación que permite el acceso de salida a www.google.com.

  1. Abra el grupo de recursos Test-FW-RG y seleccione la directiva de firewall fw-test-pol.
  2. Seleccione Application rules (Reglas de aplicación).
  3. Seleccione Agregar una colección de reglas.
  4. En Nombre, escriba App-Coll01.
  5. En Prioridad, escriba 200.
  6. En Acción de recopilación de reglas, seleccione Denegar.
  7. En Reglas, para Nombre, escriba Allow-Google.
  8. Como Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba 10.0.2.0/24.
  10. En Protocolo:Puerto, escriba http, https.
  11. En Tipo de destino, seleccione FQDN.
  12. En Destino, escriba www.google.com
  13. Seleccione Agregar.

Azure Firewall incluye una colección de reglas integradas para FQDN de infraestructura que están permitidos de forma predeterminada. Estos FQDN son específicos para la plataforma y no se pueden usar para otros fines. Para más información, consulte Nombres de dominio completos de infraestructura.

Configurar una regla de red

Se trata de la regla de red que permite el acceso saliente a dos direcciones IP en el puerto 53 (DNS).

  1. Seleccione Reglas de red.
  2. Seleccione Agregar una colección de reglas.
  3. En Nombre, escriba Net-Coll01.
  4. En Prioridad, escriba 200.
  5. En Acción de recopilación de reglas, seleccione Denegar.
  6. En Rule collection group (Grupo de recopilación de reglas), seleccione DefaultNetworkRuleCollectionGroup.
  7. En Reglas, para Nombre, escriba Allow-DNS.
  8. En Tipo de origen, seleccione Dirección IP.
  9. En Origen, escriba 10.0.2.0/24.
  10. En Protocolo, seleccione UDP.
  11. En Puertos de destino, escriba 53.
  12. En Tipo de destino, seleccione Dirección IP.
  13. En Destino, escriba 209.244.0.3,209.244.0.4.
    Estos son servidores DNS públicos ofrecidos por CenturyLink.
  14. Seleccione Agregar.

Configurar una regla de DNAT

Esta regla le permite conectar un escritorio remoto a la máquina virtual Srv-Work a través del firewall.

  1. Seleccione las reglas de DNAT.
  2. Seleccione Agregar una colección de reglas.
  3. En Nombre, escriba rdp.
  4. En Prioridad, escriba 200.
  5. En Rule collection group (Grupo de recopilación de reglas), seleccione DefaultDnatRuleCollectionGroup.
  6. En Reglas, para Nombre, escriba rdp-nat.
  7. Como Tipo de origen, seleccione Dirección IP.
  8. En Origen, escriba *.
  9. En Protocolo, seleccione TCP.
  10. En Puertos de destino, escriba 3389.
  11. En Tipo de destino, seleccione Dirección IP.
  12. En Destino, escriba la dirección IP pública del firewall.
  13. En Dirección traducida, escriba la dirección IP privada de Srv-work.
  14. En Puerto traducido, escriba 3389.
  15. Seleccione Agregar.

Cambio de la dirección DNS principal y secundaria para la interfaz de red Srv-Work

Con fines de prueba para este tutorial, configure las direcciones DNS principal y secundaria del servidor. Esto no es un requisito general de Azure Firewall.

  1. En el menú de Azure Portal, seleccione Grupos de recursos o busque y seleccione Grupos de recursos desde cualquier página. Seleccione el grupo de recursos Test-FW-RG.
  2. Seleccione la interfaz de red de la máquina virtual Srv-Work.
  3. En Configuración, seleccione Servidores DNS.
  4. En Servidores DNS, seleccione Personalizado.
  5. Escriba 209.244.0.3 en el cuadro de texto Agregar servidor DNS y 209.244.0.4 en el siguiente cuadro de texto.
  6. Seleccione Guardar.
  7. Reinicie la máquina virtual Srv-Work.

Probar el firewall

Ahora, pruebe el firewall para confirmar que funciona según lo previsto.

  1. Conecte un escritorio remoto a la dirección IP pública del firewall e inicie sesión en la máquina virtual Srv-Work.

  2. Abra Internet Explorer y vaya a https://www.google.com.

  3. Seleccione Aceptar>Cerrar en las alertas de seguridad de Internet Explorer.

    Debería ver la página principal de Google.

  4. Vaya a https://www.microsoft.com.

    El firewall debería bloquearle.

Con ello, ha comprobado que las reglas de firewall funcionan:

  • Puede navegar al FQDN permitido pero no a ningún otro.
  • Puede resolver nombres DNS con el servidor DNS externo configurado.

Limpieza de recursos

Puede conservar los recursos relacionados con el firewall para el siguiente tutorial o, si ya no los necesita, eliminar el grupo de recursos Test-FW-RG para eliminarlos todos.

Pasos siguientes

Implementación y configuración de Azure Firewall Prémium