Introducción
Azure Firewall es un servicio de seguridad de red administrado que protege los recursos de tu red virtual de manera escalable y altamente disponible. En este artículo exploraremos las características clave de Azure Firewall según su SKU, como los FQDN tags, SNAT y DNAT, y cómo implementarlas en escenarios reales.
Note: Este artículo se centra en las características según SKU de Azure Firewall. Si necesitas información sobre cómo integrar GraphRAG en arquitecturas cloud, consulta GraphRAG — documentación oficial.
Características principales según SKU
Azure Firewall ofrece dos SKUs principales: Standard y Premium. Cada SKU está diseñado para satisfacer diferentes necesidades de seguridad y rendimiento. A continuación, desglosamos las características más relevantes.
FQDN Tags: Simplificación de reglas de red
Los FQDN tags permiten configurar reglas de red fácilmente para servicios bien conocidos de Azure. Por ejemplo, puedes habilitar el tráfico hacia Azure Storage o Azure SQL sin necesidad de especificar manualmente las direcciones IP.
Ejemplo práctico: Configuración de FQDN tags
Supongamos que necesitas permitir el acceso a Azure Storage desde tu red virtual. La configuración de FQDN tags en Azure Firewall se realiza mediante reglas de red de aplicación.
az network firewall application-rule create \
--resource-group mi-grupo-recursos \
--firewall-name mi-firewall \
--rule-collection-name mi-coleccion-reglas \
--name regla-storage \
--action Allow \
--priority 100 \
--target-fqdns AzureStorage \
--protocols Http=80 Https=443
Note: Los FQDN tags son específicos de cada SKU. Verifica que tu SKU soporta el tag que necesitas antes de implementarlo.
SNAT: Traducción de direcciones IP de salida
Azure Firewall utiliza SNAT (Source Network Address Translation) para traducir las direcciones IP de salida de los recursos en tu red virtual al IP público del firewall. Esto asegura que el tráfico saliente sea identificado como proveniente del firewall.
Ejemplo práctico: Configuración de SNAT
La configuración de SNAT no requiere ajustes específicos, ya que Azure Firewall lo aplica automáticamente. Sin embargo, puedes verificar el comportamiento del tráfico saliente con herramientas como Azure Monitor.
az monitor log-analytics query \
--workspace-id mi-workspace-id \
--query "AzureDiagnostics | where ResourceType == 'AZUREFIREWALL' and OperationName == 'SNAT'"
Warning: Si utilizas el SKU Premium, asegúrate de revisar las limitaciones de SNAT en escenarios de alta carga.
DNAT: Traducción de direcciones IP de entrada
DNAT (Destination Network Address Translation) permite redirigir el tráfico entrante a recursos específicos dentro de tu red virtual. Esto es útil para exponer servicios internos de manera segura.
Ejemplo práctico: Configuración de DNAT
Supongamos que necesitas redirigir el tráfico HTTP entrante hacia un servidor web interno. Puedes configurar DNAT usando las siguientes reglas.
az network firewall nat-rule create \
--resource-group mi-grupo-recursos \
--firewall-name mi-firewall \
--collection-name mi-coleccion-nat \
--name regla-http \
--action Dnat \
--priority 100 \
--rule-type Network \
--source-addresses "*" \
--destination-addresses mi-ip-publica \
--destination-ports 80 \
--translated-address mi-ip-interna \
--translated-port 8080
Note: DNAT es compatible con ambos SKUs, pero el SKU Premium ofrece capacidades avanzadas como inspección TLS.
Comparación de SKUs: Standard vs Premium
La elección entre los SKUs Standard y Premium depende de tus necesidades específicas. Aquí tienes una comparación resumida:
| Característica | Standard | Premium |
|---|---|---|
| FQDN Tags | Sí | Sí |
| SNAT | Sí | Sí |
| DNAT | Sí | Sí |
| Inspección TLS | No | Sí |
| Filtrado de URL | No | Sí |
Warning: El SKU Premium tiene un costo más elevado. Evalúa cuidadosamente si las características avanzadas como inspección TLS son necesarias para tu caso de uso.
Conclusión
Azure Firewall es una solución robusta para proteger tus recursos en la nube. Con características como FQDN tags, SNAT y DNAT, puedes implementar reglas de seguridad avanzadas de manera sencilla. La elección entre los SKUs Standard y Premium dependerá de tus requisitos de seguridad y presupuesto.
Para más información sobre cómo integrar servicios de inteligencia artificial en arquitecturas cloud, consulta GraphRAG — documentación oficial.
Note: Si necesitas asistencia adicional para implementar Azure Firewall, revisa la documentación oficial en Microsoft Learn.