Tutorial: Filtrado del tráfico de red con un grupo de seguridad de red en Azure Portal
Puede usar un grupo de seguridad de red de Azure para filtrar el tráfico de red que entra y sale de los recursos de Azure en una red virtual de Azure.
Los grupos de seguridad de red contienen reglas de seguridad que filtran el tráfico de red por dirección IP, puerto y protocolo. Cuando un grupo de seguridad de red está asociado a una subred, se aplican reglas de seguridad a los recursos implementados en esa subred.
En este tutorial aprenderá a:
- Crear un grupo de seguridad de red y reglas de seguridad
- Creación de grupos de seguridad de aplicaciones
- Crear una red virtual y asociar un grupo de seguridad de red a una subred
- Implementar máquinas virtuales y asociar sus interfaces de red a los grupos de seguridad de aplicación.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. También puede crear una cuenta de forma gratuita.
Inicio de sesión en Azure
Inicie sesión en Azure Portal.
Creación de una red virtual
El siguiente procedimiento crea una red virtual con una subred de recurso.
En el portal, busque y seleccione Redes virtuales.
En la página Redes virtuales, seleccione y Crear.
En la pestaña Datos básicos de Crear una red virtual, introduzca o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione Crear nuevo. Escriba test-rg en Nombre. Seleccione . Detalles de instancia Nombre Escriba vnet-1. Region Seleccione Este de EE. UU. 2. 
Seleccione Siguiente para ir a la pestaña Seguridad.
Seleccione Siguiente para continuar a la pestaña Direcciones IP.
En el cuadro espacio de direcciones de Subredes, seleccione la subred predeterminada.
En Agregar subred, escriba o seleccione la información siguiente:
Configuración Valor Detalles de subred Plantilla de subred Deje el valor predeterminado. Nombre Escriba subnet-1. Dirección inicial Deje el valor predeterminado de 10.0.0.0. Tamaño de la subred Deje el valor predeterminado de /24(256 direcciones). 
Seleccione Guardar.
Seleccione Revisar y crear en la parte inferior de la pantalla y, cuando se supere la validación, seleccione Crear.
Creación de grupos de seguridad de aplicaciones
Un grupo de seguridad de aplicaciones (ASG) permite agrupar servidores con funciones similares, como servidores web.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.
Seleccione + Create (+ Crear).
En la pestaña Aspectos básicos de Crear un grupo de seguridad de aplicación, escriba o seleccione esta información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre Escriba asg-web. Region Seleccione Este de EE. UU. 2. Seleccione Revisar + crear.
Seleccione + Create (+ Crear).
Repita los pasos anteriores, pero especifique los valores siguientes:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre Escriba asg-mgmt. Region Seleccione Este de EE. UU. 2. Seleccione Revisar + crear.
Seleccione Crear.
Crear un grupo de seguridad de red
Un grupo de seguridad de red (NSG) protege el tráfico de red de una red virtual.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Nota:
En los resultados de la búsqueda de grupos de seguridad de red, es posible que vea Grupos de seguridad de red (clásico). Seleccione Grupos de seguridad de red.
Seleccione + Create (+ Crear).
En la pestaña Aspectos básicos de Crear grupo de seguridad de red, escriba o seleccione esta información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre Escriba nsg-1. Location Seleccione Este de EE. UU. 2. Seleccione Revisar + crear.
Seleccione Crear.
Asociación del grupo de seguridad de red a la subred
En esta sección, asociará el grupo de seguridad de red con la subred de la red virtual que creó anteriormente.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione nsg-1.
Seleccione Subredes en la sección Configuración de nsg-1.
En la página Subredes, seleccione +Asociar:
En Asociar subred, seleccione vnet-1 (test-rg) en Red virtual.
En subnet-1, seleccione Subred y, luego, elija Aceptar.
Creación de reglas de seguridad
Seleccione Reglas de seguridad de entrada en la sección Configuración de nsg-1.
En la página Reglas de seguridad de entrada, seleccione +Agregar.
Cree una regla de seguridad que permita a los puertos 80 y 443 para el grupo de seguridad de la aplicación asg-web. En la página Agregar regla de seguridad de entrada, especifique o seleccione los siguientes datos:
Configuración Valor Source Deje el valor predeterminado, Cualquiera. Source port ranges Deje el valor predeterminado de (*). Destination Seleccione Grupo de seguridad de aplicación. Grupos de seguridad de aplicaciones de destino Seleccione asg-web. Servicio Deje el valor predeterminado, Personalizado. Intervalos de puertos de destino Escriba 80 443. Protocolo seleccione TCP. Acción Deje el valor predeterminado, Permitir. Priority Deje el valor predeterminado, 100. Nombre Escriba allow-web-all. Seleccione Agregar.
Complete los pasos anteriores con la siguiente información:
Configuración Valor Source Deje el valor predeterminado, Cualquiera. Source port ranges Deje el valor predeterminado de (*). Destination Seleccione Grupo de seguridad de aplicación. Grupo de seguridad de aplicación de destino Seleccione asg-mgmt. Servicio Seleccione RDP. Acción Deje el valor predeterminado, Permitir. Priority Deje el valor predeterminado, 110. Nombre Escriba allow-rdp-all. Seleccione Agregar.
Precaución
En este artículo, RDP (puerto 3389) está expuesto a Internet para la máquina virtual asignada al grupo de seguridad de aplicaciones asg-mgmt.
En entornos de producción, en lugar de exponer el puerto 3389 a Internet, es conveniente que se conecte a los recursos de Azure que desee administrar utilizando una VPN, una conexión de red privada o Azure Bastion.
Para más información, consulte ¿Qué es Azure Bastion?
Creación de máquinas virtuales
Cree dos máquinas virtuales (VM) en la red virtual.
En el portal, busque y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.
En Crear una máquina virtual, escriba o seleccione los datos siguientes en la pestaña Conceptos básicos:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre de la máquina virtual Escriba vm-1. Region Seleccione (EE. UU.) Este de EE. UU. 2. Opciones de disponibilidad Deje el valor predeterminado No se requiere redundancia de la infraestructura. Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2022 Datacenter - x64 Gen2. Instancia de Azure Spot Deje esta casilla desactivada, tal y como está de forma predeterminada. Size Seleccione un tamaño. Cuenta de administrador Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. Confirmación de la contraseña Vuelva a escribir la contraseña. Reglas de puerto de entrada Selección de puertos de entrada Seleccione Ninguno. Seleccione Siguiente: Discos y, luego, Siguiente: Redes.
En la pestaña Redes, escriba o seleccione la siguiente información:
Parámetro Valor Interfaz de red Virtual network Seleccione vnet-1. Subnet Seleccione subnet-1 (10.0.0.0/24). Dirección IP pública Deje el valor predeterminado, que es una nueva dirección IP pública. Grupo de seguridad de red de NIC Seleccione Ninguno. Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.
Seleccione Crear. La máquina virtual puede tardar unos minutos en implementarse.
Repita los pasos anteriores para crear una segunda máquina virtual denominada vm-2.
Asociación de interfaces de red a un ASG
Cuando se crearon las máquinas virtuales, Azure creó una interfaz de red para cada una y la asoció a estas.
Agregue la interfaz de red de cada máquina virtual a uno de los grupos de seguridad de aplicaciones que creó anteriormente:
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione vm-1.
Seleccione Redes en la sección Configuración de la máquina virtual vm-1.
Seleccione la pestaña Grupos de seguridad de aplicación y Configurar grupos de seguridad de aplicación.
En Configurar los grupos de seguridad de aplicaciones, seleccione asg-web en el menú desplegable Grupos de seguridad de aplicaciones y, a continuación, seleccione Guardar.
Repita los pasos anteriores para vm-2 y seleccione asg-mgmt en el menú desplegable Grupos de seguridad de aplicaciones.
Probar los filtros de tráfico
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione vm-2.
En la página Información general, seleccione el botón Conectar y, luego, elija RDP nativo.
Seleccione Descargar archivo RDP.
Abra el archivo RDP descargado y seleccione Conectar. Escriba el nombre de usuario y la contraseña que especificó al crear la VM.
Seleccione Aceptar.
Puede recibir una advertencia sobre el certificado durante el proceso de conexión. Si aparece esta advertencia, seleccione Sí o Continuar para continuar con la conexión.
La conexión se realiza correctamente, ya que se permite la entrada de tráfico de Internet al grupo de seguridad de aplicaciones asg-mgmt en el puerto 3389.
La interfaz de red de vm-2 está asociada con el grupo de seguridad de aplicaciones asg-mgmt y permite la conexión.
Abra una sesión de PowerShell en vm-2. Conéctese a vm-1 mediante lo siguiente:
mstsc /v:vm-1La conexión RDP entre vm-2 y vm-1 se realiza correctamente, ya que, de forma predeterminada, las máquinas virtuales de la misma red pueden comunicarse entre sí por cualquier puerto.
No se puede crear una conexión RDP con la máquina virtual vm-1 desde Internet. La regla de seguridad de asg-web impide la conexión con el puerto 3389 de entrada desde Internet. De forma predeterminada, se deniega el tráfico de entrada de Internet en todos los recursos.
Para instalar Microsoft IIS en la máquina virtual vm-1, escriba el siguiente comando desde una sesión de PowerShell de la máquina virtual vm-1:
Install-WindowsFeature -name Web-Server -IncludeManagementToolsUna vez completada la instalación de IIS, desconecte la sesión de la máquina virtual vm-1, lo que le deja en la conexión de escritorio remoto de la máquina virtual vm-2.
Desconéctese de la máquina virtual vm-2.
Busque vm-1 en el cuadro de búsqueda del portal.
En la página Información general de vm-1, anote la dirección IP pública de la máquina virtual. La dirección que aparece en el ejemplo siguiente es 20.230.55.178, pero su dirección será diferente:
Para confirmar que tiene acceso al servidor web vm-1 desde Internet, abra un explorador de Internet en el equipo y vaya a
http://<public-ip-address-from-previous-step>.
Aparece la página predeterminada de IIS, ya que se permite la entrada de tráfico de Internet al grupo de seguridad de aplicaciones asg-web en el puerto 80.
La interfaz de red asociada a vm-1 está asociada con el grupo de seguridad de aplicaciones asg-web y permite la conexión.
Limpieza de recursos
Cuando haya terminado de utilizar los recursos creados, puede eliminar el grupo de recursos y todos sus recursos:
En Azure Portal, busque y seleccione Grupos de recursos.
En la página Grupos de recursos, seleccione el grupo de recursos test-rg.
En la página test-rg, elija Eliminar grupo de recursos.
Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.
Pasos siguientes
En este tutorial ha:
- Creado un grupo de seguridad de red y lo ha asociado a una subred de red virtual.
- Creado grupos de seguridad de aplicaciones para la Web y las tareas de administración.
- Creado dos máquinas virtuales y ha asociado sus interfaces de red con los grupos de seguridad de aplicaciones.
- Probado el filtrado de redes de los grupos de seguridad de aplicaciones.
Para más información acerca de los grupos de seguridad de red, consulte Introducción a los grupos de seguridad de red y Administración de un grupo de seguridad de red.
De forma predeterminada, Azure enruta el tráfico entre subredes. En su lugar, puede elegir enrutar el tráfico entre subredes a través de una máquina virtual, que actúa como un firewall, por ejemplo.
Para aprender a crear una tabla de rutas, avance al siguiente tutorial.