SD-WAN Orchestrator permite configurar reglas de firewall en los niveles de perfil y de Edge para permitir, descartar, rechazar u omitir el tráfico entrante y saliente. Si la función Firewall con estado (Stateful Firewall) está habilitada, se validará la regla de firewall para filtrar tanto el tráfico entrante como el saliente. Con Firewall sin estado (Stateless Firewall), puede controlar que solo se filtre el tráfico saliente. La regla de firewall busca coincidencias con parámetros como las direcciones IP, los puertos, los identificadores de VLAN, las interfaces, las direcciones MAC, los nombres de dominio, los protocolos, los grupos de objetos, las aplicaciones y las etiquetas DSCP. Cuando un paquete de datos coincide con los parámetros de coincidencia, se aplican la acción o las acciones asociadas. Si un paquete no coincide con ningún parámetro, se ejecuta una acción predeterminada en el paquete.
Para configurar una regla de firewall con la función de firewall con estado habilitada en el nivel de perfil, realice estos pasos.
Procedimiento
- En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles) > Firewall.
- Habilite Firewall con estado (Stateful Firewall) para el perfil seleccionado.
- En el área Reglas de firewall (Firewall Rules), haga clic en Nueva regla (New rule). Se mostrará el cuadro de diálogo Configurar regla (Configure Rule).
- En el cuadro Nombre de regla (Rule Name), introduzca un nombre único para la regla.
- En el área Coincidencia (Match), configure las condiciones de coincidencia para la regla:
Configuración |
Descripción |
Tipo |
El tipo de dirección IPv4 se selecciona de forma predeterminada. Puede configurar las direcciones IP de origen y destino de acuerdo con el tipo seleccionado, de la siguiente manera:
- Mixto (Mixed): permite configurar las direcciones IPv4 e IPv6 en los criterios de coincidencia. Si elige este modo, no puede configurar la dirección IP de origen o de destino.
- IPv4: permite configurar solo direcciones IPv4 como origen y destino.
- IPv6: permite configurar solo direcciones IPv6 como origen y destino.
Nota: Cuando actualice, las reglas de firewall de las versiones anteriores se mueven al modo IPv4.
|
Origen (Source) |
Permite especificar el origen de los paquetes. Seleccione una las siguientes opciones:
- Cualquiera (Any): permite todas las direcciones de origen de forma predeterminada.
- Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos. Para obtener más información, consulte Grupos de objetos y Configurar reglas de firewall con grupos de objetos.
Nota: Si el grupo de direcciones seleccionado contiene nombres de dominio, estos se omitirán al buscar coincidencias para el origen.
- Definir (Define): permite definir el tráfico de origen a una VLAN, una interfaz, una dirección IPv4 o IPv6, una dirección MAC o un puerto específicos.
Para la dirección IP, seleccione una de estas tres opciones:
- Prefijo CIDR (CIDR prefix): seleccione esta opción si desea que la red se defina como un valor CIDR (por ejemplo:
172.10.0.0 /16 ).
- Máscara de subred (Subnet mask): seleccione esta opción si desea que la red se defina en función de una máscara de subred (por ejemplo,
172.10.0.0 255.255.0.0 ).
- Máscara comodín (Wildcard mask): seleccione esta opción si desea poder restringir la aplicación de una directiva a un conjunto de dispositivos en diferentes subredes IP que compartan un valor de dirección IP de host coincidente. La máscara comodín coincide con una dirección IP o un conjunto de direcciones IP según la máscara de subred invertida. Un “0” dentro del valor binario de la máscara significa que el valor es fijo y un “1” dentro del valor binario de la máscara significa que el valor es comodín (puede ser 1 o 0). Por ejemplo, en una máscara comodín de 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con una dirección IP de 172.0.0, los primeros tres octetos son valores fijos y el último octeto es un valor variable. Esta opción solo está disponible para la dirección IPv4.
Nota: Si no se puede seleccionar una interfaz, significa que la interfaz no está habilitada o no está asignada a este segmento.
|
Destino (Destination) |
Permite especificar el destino de los paquetes. Seleccione una las siguientes opciones:
- Cualquiera (Any): permite todas las direcciones de destino de forma predeterminada.
- Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos. Para obtener más información, consulte Grupos de objetos y Configurar reglas de firewall con grupos de objetos.
- Definir (Define): permite definir el tráfico de destino a una VLAN, una interfaz, una dirección IPv4 o IPv6, un nombre de dominio, un protocolo o un puerto específicos. Para la dirección IP, seleccione una de estas tres opciones: Prefijo CIDR (CIDR prefix), Máscara de subred (Subnet mask) o Máscara comodín (Wildcard mask).
Si no se puede seleccionar una interfaz, significa que la interfaz no está habilitada o no está asignada a este segmento. El campo Nombre de dominio (Domain Name) permite buscar coincidencias con el nombre de dominio completo o con una parte del nombre de dominio. Por ejemplo, \"salesforce\" buscará coincidencias del tráfico con \"mixe\".
|
Aplicación (Application) |
Seleccione una las siguientes opciones:
- Cualquiera (Any): aplica la regla de Firewall a cualquier aplicación de forma predeterminada.
- Definir (Define): permite seleccionar una aplicación y una marca de punto de código de servicios diferenciados (Differentiated Services Code Point, DSCP) para aplicar una regla de firewall específica.
Nota: Al crear reglas de firewall que coincidan con una aplicación, el firewall depende del motor de DPI (inspección profunda de paquetes) para identificar la aplicación a la que pertenece un flujo concreto. Por lo general, la DPI no puede determinar la aplicación a partir del primer paquete. El motor de DPI generalmente necesita los primeros 5 a 10 paquetes del flujo para identificar la aplicación, pero el firewall debe clasificar y reenviar el flujo desde el primer paquete. Por este motivo, el primer flujo puede coincidir con una regla más generalizada de la lista del firewall. Una vez que se identifica correctamente la aplicación, todos los flujos siguientes que coincidan con las mismas tuplas se reclasificarán automáticamente, y se aplicará la regla correcta.
|
- En el área Acción (Action), configure las acciones de la regla:
Configuración |
Descripción |
Firewall |
Seleccione la acción que el firewall debe realizar en los paquetes cuando se cumplan las condiciones de la regla:
- Permitir (Allow): permite los paquetes de datos de forma predeterminada.
- Descartar (Drop): descarta los paquetes de datos silenciosamente sin enviar ninguna notificación al origen.
- Rechazar (Reject): descarta los paquetes y notifica al origen mediante el envío de un mensaje de restablecimiento explícito.
- Omitir (Skip): omite la regla durante las búsquedas y procesa la siguiente regla. Sin embargo, esta regla se utilizará en el momento de la implementación de SD-WAN.
|
Registro (Log) |
Seleccione esta casilla si desea que se cree una entrada de registro cuando se active esta regla. |
- Al crear o actualizar una regla de firewall, puede agregar comentarios de auditoría mediante el cuadro de texto Comentario de auditoría (Audit Comment). El campo permite un máximo de 50 caracteres y se puede agregar cualquier número de comentarios para la misma regla.
- Haga clic en Historial de auditoría (Audit History) para ver todos los comentarios de auditoría agregados para la regla. Para buscar un comentario específico, introduzca el texto de búsqueda en el campo Buscar (Search).
- Haga clic en Aceptar (OK).
Resultados
Se creará una regla de firewall para el perfil seleccionado y esta se mostrará en el área Reglas de firewall (Firewall Rules) de la página Firewall de perfil (Profile Firewall).