M06: Unidad 9 Protección de un centro virtual mediante Azure Firewall Manager

Escenario del ejercicio

En este ejercicio, creará la red virtual de radio y un centro virtual protegido. A continuación, conectará las redes virtuales en estrella tipo hub-and-spoke y enrutará el tráfico al centro de conectividad. Luego, implementará los servidores de carga de trabajo, creará una directiva de firewall y protegerá el centro de conectividad. Por último, probará el firewall.

Diagrama de la arquitectura de red virtual con un centro de conectividad seguro.

Nota: Hay disponible una simulación de laboratorio interactiva que le permite realizar sus propias selecciones a su entera discreción. Es posible que encuentre pequeñas diferencias entre la simulación interactiva y el laboratorio hospedado, pero las ideas y los conceptos básicos que se muestran son los mismos.

Creación de una arquitectura en estrella tipo hub-and-spoke

En esta parte del ejercicio, creará las redes virtuales de radio y las subredes en las que colocará los servidores de carga de trabajo. A continuación, creará el centro virtual protegido y conectará el centro y las redes virtuales de radio.

En este ejercicio, aprenderá a:

  • Tarea 1: Crear dos redes virtuales de radio y subredes
  • Tarea 2: Crear el centro virtual protegido
  • Tarea 3: Conectar las redes virtuales en estrella tipo hub-and-spoke
  • Tarea 4: Implementar los servidores
  • Tarea 5: Crear una directiva de firewall y proteger el centro de conectividad
  • Tarea 6: Asociar la directiva de firewall
  • Tarea 7: Enrutar el tráfico al centro de conectividad
  • Tarea 8: Probar la regla de aplicación
  • Tarea 9: Probar la regla de red
  • Tarea 10: Limpiar los recursos

Tiempo estimado: 35 minutos

Tarea 1: Crear dos redes virtuales de radio y subredes

En esta tarea, creará las dos redes virtuales de radio, cada una de las cuales con una subred que hospedará los servidores de carga de trabajo.

  1. En la página de inicio de Azure Portal, en el cuadro de búsqueda, escribe red virtual y selecciona Red virtualcuando aparezca.

  2. Seleccione Crear.

  3. En Grupo de recursos, seleccione Crear nuevo, escriba fw-manager-rg como el nombre y seleccione Aceptar.

  4. En Nombre, escriba Spoke-01.

  5. En Región, seleccione su región.

  6. Seleccione Siguiente: Direcciones IP.

  7. En Espacio de direcciones IPv4, escriba 10.0.0.0/16.

  8. Elimine cualquier otro espacio de direcciones que aparezca aquí, como 10.1.0.0/16.

  9. En Nombre de subred, seleccione la palabra predeterminada.

  10. En el cuadro de diálogo Editar subred, cambie el nombre a Workload-01-SN.

  11. Cambie el Intervalo de direcciones de subred a 10.0.1.0/24.

  12. Seleccione Guardar.

  13. Seleccione Revisar + crear.

  14. Seleccione Crear.

Repita los pasos 1 a 14 anteriores para crear otra red virtual y subred similares con la información siguiente:

  • Grupo de recursos: fw-manager-rg (seleccione el existente)
  • Nombre: Spoke-02
  • Espacio de direcciones: 10.1.0.0/16 (elimine cualquier otro espacio de direcciones que aparezcan)
  • Nombre de subred: Workload-02-SN
  • Intervalo de direcciones de subred: 10.1.1.0/24

Tarea 2: Crear el centro virtual protegido

En esta tarea, creará el centro virtual protegido con Firewall Manager.

  1. En la página principal de Azure Portal, seleccione Todos los servicios.

  2. En el cuadro de búsqueda, escriba firewall manager y seleccione Firewall Manager cuando aparezca.

  3. En la página Firewall Manager, selecciona Ver los concentradores virtuales protegidos.

  4. En la página Centros virtuales, seleccione Crear un nuevo centro virtual protegido.

  5. En Grupo de recursos, seleccione fw-manager-rg.

  6. En Región, seleccione su región.

  7. Para el nombre del centro virtual protegido, escribe Hub-01.

  8. En Espacio de direcciones del centro, escriba 10.2.0.0/16.

  9. Elija Nueva vWAN.

  10. En Nombre de la instancia de Virtual WAN, escriba Vwan-01.

  11. Seleccione Siguiente: Azure Firewall. Crear un centro virtual protegido nuevo: pestaña Aspectos básicos

  12. Seleccione Siguiente: Proveedores de seguridad asociados.

  13. Seleccione Siguiente: Review + create (Revisar y crear).

  14. Seleccione Crear.

    [!NOTE]

    Esta implementación puede tardar hasta 30 minutos en completarse.

    Crear un centro virtual protegido nuevo: pestaña Revisar y crear

  15. Una vez que se complete la implementación, seleccione Todos los servicios de la página principal de Azure Portal.

  16. En el cuadro de búsqueda, escriba firewall manager y seleccione Firewall Manager cuando aparezca.

  17. En la página Firewall Manager, seleccione Centros virtuales.

  18. Seleccione Hub-01.

  19. Seleccione Configuración de IP pública.

  20. Anota la dirección IP pública (por ejemplo, 51.143.226.18), que usarás más adelante.

Tarea 3: Conectar las redes virtuales en estrella tipo hub-and-spoke

En esta tarea, conectará las redes virtuales en estrella tipo hub-and-spoke. Esto suele conocerse como “emparejamiento”.

  1. En la página principal de Azure Portal, seleccione Grupos de recursos.

  2. Seleccione el grupo de recursos fw-manager.rg y, después, seleccione la WAN virtual Vwan-01.

  3. En Conectividad, seleccione Conexiones de red virtual.

  4. Seleccione Agregar conexión.

  5. En Nombre de la conexión, escriba hub-spoke-01.

  6. En Centros, seleccione Hub-01.

  7. En Grupo de recursos, seleccione fw-manager-rg.

  8. En Red virtual, seleccione Spoke-01.

  9. Seleccione Crear. Agregar conexión en estrella tipo hub-and-spoke a la red Virtual WAN - Spoke 1

  10. Repita los pasos 4 a 9 anteriores para crear otra conexión similar con el nombre de conexión hub-spoke-02 a fin de conectar la red virtual Spoke-02.

    Agregar conexión en estrella tipo hub-and-spoke a la red Virtual WAN - Spoke 2

Tarea 4: Implementar los servidores

  1. En Azure Portal, selecciona el icono Cloud Shell (parte superior derecha). Si es necesario, configura el shell.
    • Selecciona PowerShell.
    • Selecciona No se requiere cuenta de almacenamiento y tu Suscripción, después, selecciona Aplicar.
    • Espera a que se cree el terminal y se muestre una solicitud.

  2. En la barra de herramientas del panel de Cloud Shell, selecciona el icono Administrar archivos, en el menú desplegable, selecciona Cargar y carga los siguientes archivos FirewallManager.json y FirewallManager.parameters.json en el directorio principal de Cloud Shell uno a uno desde la carpeta de origen F:\Allfiles\Exercises\M06.

  3. Implemente las plantillas de ARM siguientes a fin de crear la máquina virtual necesaria para este ejercicio:

    Nota: Se le pedirá que proporcione una contraseña de administrador.

    $RGName = "fw-manager-rg"
   
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json

  4. Cuando la implementación esté completa, vaya a la página principal de Azure Portal y, luego, seleccione Máquinas virtuales.

  5. En la página Información general de Srv-workload-01, en el panel de la derecha, en la sección Redes, anote la Dirección IP privada (por ejemplo, 10.0.1.4).

  6. En la página Información general de Srv-workload-02, en el panel de la derecha, en la sección Redes, anote la Dirección IP privada (por ejemplo, 10.1.1.4).

Tarea 5: Crear una directiva de firewall y proteger el centro de conectividad

En esta tarea, primero creará la directiva de firewall y, a continuación, protegerá el centro de conectividad. La directiva de firewall definirá colecciones de reglas para dirigir el tráfico en uno o varios centros virtuales protegidos.

  1. En la página principal de Azure Portal, seleccione Firewall Manager.
    • Si el icono de Firewall Manager no aparece en la página principal, seleccione Todos los servicios. Luego, en el cuadro de búsqueda, escriba firewall manager y seleccione Firewall Manager cuando aparezca.

  2. En Firewall Manager, selecciona Ver las directivas de Azure Firewall.

  3. Seleccione Crear una directiva de Azure Firewall.

  4. En Grupo de recursos, selecciona fw-manager-rg.

  5. En Detalles de la directiva, escriba Policy-01 en Nombre.

  6. En Región, selecciona tu región.

  7. En Nivel de directiva, selecciona Estándar.

  8. Seleccione Siguiente: Configuración DNS.

  9. Seleccione Siguiente: Inspección de TLS (versión preliminar).

  10. Seleccione Siguiente: Reglas.

  11. En la pestaña Reglas, seleccione Agregar una colección de reglas.

  12. En la página Agregar una colección de reglas, en Nombre, escriba App-RC-01.

  13. En Tipo de colección de reglas, seleccione Aplicación.

  14. En Prioridad, escriba 100.

  15. Asegúrese de que el valor de Rule collection action (Acción de la colección de reglas) es Permitir.

  16. En Reglas, en Nombre, escriba Allow-msft.

  17. En el Tipo de origen, seleccione Dirección IP.

  18. En Origen, escribe *.

  19. En Protocolo, escriba http,https.

  20. Asegúrese de que Tipo de destino es FQDN.

  21. En Destino, escriba *.microsoft.com.

  22. Seleccione Agregar.

    Agregar una colección de reglas de aplicación a la directiva de firewall

  23. Para agregar una regla DNAT que le permita conectar un escritorio remoto a la máquina virtual Srv-workload-01, seleccione Agregar una colección de reglas.

  24. En Nombre, escriba dnat-rdp.

  25. En Tipo de colección de reglas, seleccione DNAT.

  26. En Prioridad, escriba 100.

  27. En Reglas, en Nombre, escriba Allow-rdp.

  28. En el Tipo de origen, seleccione Dirección IP.

  29. En Origen, escribe *.

  30. En Protocolo, seleccione TCP.

  31. En Puertos de destino, escriba 3389.

  32. En Tipo de destino, seleccione Dirección IP.

  33. En Destino, escriba la IP pública del centro virtual de firewall que anotó anteriormente (por ejemplo, 51.143.226.18).

  34. En Dirección traducida, escriba la dirección IP privada de Srv-workload-01 que anotó anteriormente (por ejemplo, 10.0.1.4).

  35. En Puerto traducido, escriba 3389.

  36. Seleccione Agregar.

  37. Para agregar una regla de red de modo que pueda conectar un escritorio remoto de la VM Srv-workload-01 a la VM Srv-workload-02, seleccione Agregar una colección de reglas.

  38. En Nombre, escriba vnet-rdp.

  39. En Tipo de colección de reglas, seleccione Red.

  40. En Prioridad, escriba 100.

  41. En Acción de recopilación de reglas, seleccione Denegar.

  42. En Reglas, en Nombre, escriba Allow-vnet.

  43. En el Tipo de origen, seleccione Dirección IP.

  44. En Origen, escribe *.

  45. En Protocolo, seleccione TCP.

  46. En Puertos de destino, escriba 3389.

  47. En Tipo de destino, seleccione Dirección IP.

  48. En Destino, escriba la dirección IP privada de Srv-workload-02 que anotó anteriormente (por ejemplo, 10.1.1.4).

  49. Seleccione Agregar.

    Mostrar colecciones de reglas en la directiva de firewall

  50. Ahora debería ver tres colecciones de reglas.

  51. Seleccione Revisar + crear.

  52. Seleccione Crear.

Tarea 6: Asociar la directiva de firewall

En esta tarea, asociará la directiva de firewall con el centro virtual.

  1. En la página principal de Azure Portal, seleccione Firewall Manager.
    • Si el icono de Firewall Manager no aparece en la página principal, seleccione Todos los servicios. Luego, en el cuadro de búsqueda, escriba firewall manager y seleccione Firewall Manager cuando aparezca.

  2. En Firewall Manager, en Seguridad, selecciona Directivas de Azure Firewall.

  3. Active la casilla correspondiente a Policy-01.

  4. Seleccione Administrar asociaciones>Asociar centros.

  5. Active la casilla correspondiente a Hub-01.

  6. Seleccione Agregar.

  7. Una vez que se adjunte la directiva, seleccione Actualizar. Debe aparecer la asociación.

Mostrar directiva de firewall asociada en el centro de conectividad

Tarea 7: Enrutar el tráfico al centro de conectividad

En esta tarea, se asegurará de que el tráfico se enruta a través del firewall.

  1. En Firewall Manager, selecciona Centros virtuales.
  2. Seleccione Hub-01.
  3. En Ajustes, seleccione Configuración de seguridad.
  4. En Tráfico de Internet, selecciona Azure Firewall.
  5. En Tráfico privado, selecciona Enviar a través de Azure Firewall.
  6. Seleccione Guardar.
  7. Esta operación tarda unos minutos en completarse.
  8. Una vez que se complete la configuración, asegúrese de que en TRÁFICO DE INTERNET y TRÁFICO PRIVADO diga Protegido por Azure Firewall para ambas conexiones en estrella tipo hub-and-spoke.

Tarea 8: Probar la regla de aplicación

En esta parte del ejercicio, conectará un escritorio remoto a la IP pública del firewall, que se traduce mediante NAT a Srv-Workload-01. Luego usará un explorador web para probar la regla de aplicación y conectar un escritorio remoto a Srv-Workload-02 para probar la regla de red.

En esta tarea, probará la regla de aplicación para confirmar que funciona según lo previsto.

  1. Abra Conexión a Escritorio remoto en el equipo.

  2. En el cuadro Equipo, escribe la Dirección IP pública del firewall (por ejemplo, 51.143.226.18).

  3. Seleccione Mostrar opciones.

  4. En el cuadro Nombre de usuario, escribe TestUser.

  5. Seleccione Conectar.

    Conexión RDP a srv-workload-01

  6. En el cuadro de diálogo  Escriba sus credenciales, inicia sesión en la máquina virtual de servidor Srv-workload-01 con la contraseña suministrada durante la implementación.

  7. Seleccione Aceptar.

  8. Seleccione en el mensaje de certificado.

  9. Abra Internet Explorer y seleccione Aceptar en el cuadro de diálogo Configurar Internet Explorer 11.

  10. Vaya a https:// ****.

  11. En el cuadro de diálogo Alerta de seguridad, selecciona Aceptar.

  12. Seleccione Cerrar en las alertas de seguridad de Internet Explorer que puedan haber aparecido.

  13. Debería ver la página principal de Microsoft.

    Sesión RDP que explora microsoft.com

  14. Vaya a https:// ****.

  15. El firewall debería bloquearle.

    Explorador de sesión RDP bloqueado en google.com

  16. Por lo tanto, ha comprobado que puede conectarse al único FQDN permitido, pero que está bloqueado para todos los demás.

Tarea 9: Probar la regla de red

En esta tarea, probará la regla de aplicación para confirmar que funciona según lo previsto.

  1. Mientras esté conectado a la sesión RDP de Srv-workload-01, desde este equipo remoto, abra Conexión a Escritorio remoto.

  2. En el cuadro Equipo, escribe la dirección IP privada de Srv-workload-02 (por ejemplo, 10.1.1.4).

  3. En el cuadro de diálogo Escriba sus credenciales, inicia sesión en el servidor Srv-workload-02 mediante el nombre de usuario TestUser y la contraseña que has proporcionado durante la implementación.

  4. Seleccione Aceptar.

  5. Seleccione en el mensaje de certificado.

    Sesión RDP de srv-workload-01 a otra sesión RDP en srv-workload-02

  6. Por lo tanto, ha comprobado que la regla de red de firewall funciona, ya que conectó un escritorio remoto de un servidor a otro ubicado en otra red virtual.

  7. Cierre ambas sesiones RDP para desconectarlas.

Tarea 10: Limpiar los recursos

Nota: No olvide quitar los recursos de Azure recién creados que ya no use. La eliminación de los recursos sin usar garantiza que no verás cargos inesperados.

  1. En Azure Portal, abre la sesión de PowerShell en el panel Cloud Shell.

  2. Ejecute el comando siguiente para eliminar todos los grupos de recursos que ha creado en los laboratorios de este módulo:

    Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob

    Nota: el comando se ejecuta de forma asincrónica (según determina el parámetro -AsJob). Aunque podrás ejecutar otro comando de PowerShell inmediatamente después en la misma sesión de PowerShell, los grupos de recursos tardarán unos minutos en eliminarse.