Documentación de Oracle Cloud Infrastructure

Creación y gestión de políticas de firewall

Cree políticas de firewall para almacenar las reglas de política de firewall que cree para controlar cómo un firewall inspecciona, permite o deniega el tráfico de red.

Cree políticas de firewall antes de crear firewalls. Cada firewall debe tener al menos una política de firewall asociada.

Al crear una política de firewall, se aplican los límites y restricciones habituales del servicio Network Firewall.

Acerca de los componentes de regla de política de firewall

Después de crear una política de firewall, comience a prepararse para crear reglas de política de firewall. Con los componentes de regla de política de firewall, puede crear listas para agrupar aplicaciones, servicios, URLS o direcciones para utilizarlas en una regla de política de firewall. Todos los elementos de una lista se tratan del mismo modo cuando se utilizan en una regla. A continuación, se puede hacer referencia a la lista en una regla.

Un componente de regla también puede incluir perfiles de descifrado. Cree un perfil de descifrado con un secreto asignado para controlar cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.

Acerca de las reglas de política de firewall

Una regla de política de firewall es un juego de criterios que define para una política de firewall para permitir o denegar el tráfico de red con un firewall. Puede crear los siguientes tipos de reglas de política de firewall:

  • Reglas de descifrado para descifrar el tráfico
  • Reglas de seguridad para permitir o bloquear el tráfico
  • Reglas de inspección de túnel para inspeccionar el tráfico

Si crea una política de firewall y no define ninguna regla de política de firewall, se denegará todo el tráfico de red.

Las reglas se aplican a un paquete de red mediante los siguientes criterios específicos:
  • Las reglas de cifrado se aplican siempre antes de las reglas de seguridad.
  • Las reglas de descifrado y las reglas de seguridad se aplican mediante un orden de prioridad que puede definir
Después de asociar una política a un firewall, el firewall comienza a permitir o denegar el tráfico en función de las reglas de la política de la siguiente manera:
  1. El firewall evalúa las reglas de descifrado en orden de lista de prioridad.
  2. Cuando una regla de descifrado coincide con la información del paquete, el firewall aplica la acción de regla especificada.
  3. Cuando se aplica una acción de regla, el firewall no evalúa ninguna otra regla de cifrado.
  4. Si la información del paquete no coincide con ninguna regla de cifrado, el firewall no desencripta el paquete.
  5. El firewall evalúa las reglas de seguridad en orden de lista de prioridad.
  6. Cuando una regla de seguridad coincide con la información del paquete, el firewall aplica la acción de regla especificada.
  7. Cuando se aplica una acción de regla, el firewall no evalúa otras reglas de seguridad.
  8. Si la información del paquete no coincide con ninguna regla de seguridad, el firewall borra el paquete.

Las reglas son opcionales, pero si la política que utiliza con un firewall no tiene al menos una regla especificada, el firewall deniega todo el tráfico de red.

De forma predeterminada, cada nueva regla que cree se convierte en la primera de la lista de prioridades. Puede cambiar el orden de prioridad en cualquier momento.

Acerca de las reglas de descifrado

Las reglas de descifrado descifran el tráfico de un origen, destino o ambos elementos especificados. La condición de coincidencia de origen y destino especificada para el tráfico consta de listas de direcciones que se configuran en la política antes de crear la regla.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall realiza la acción de regla. Puede optar por realizar las siguientes acciones:

  • Descifrar tráfico con proxy de reenvío SSL
  • Descifrar tráfico con inspección de entrada SSL
  • No descifre el tráfico.

Si decide descifrar, seleccione un perfil de descifrado y un secreto asignado para aplicar al descifrar el tráfico. Puede configurar perfiles de descifrado y secretos asignados en la política antes de crear la regla. Por defecto, el orden de prioridad de las reglas de descifrado es su orden de creación. Se puede cambiar el orden de prioridad.

Límites:
  • Número máximo de reglas de descifrado para cada política: 1.000

Secretos y perfiles para reglas de descifrado

Si una política de firewall utiliza reglas de cifrado que utilicen autenticación de certificados, debe configurar secretos asignados y perfiles de descifrado.

Los secretos asignados son secretos que se crean en el servicio Vault y, a continuación, se asignan a claves SSL de entrada o salida. Los secretos se utilizan para descifrar e inspeccionar el tráfico SSL/TLS con el proxy de reenvío SSL y la inspección de entrada SSL.

Si tiene previsto utilizar el proxy de reenvío SSL o la inspección de entrada SSL, configure un almacén y secretos antes de empezar a configurar una política con reglas. Consulte Configuración del descifrado e inspección del tráfico de red.

Los perfiles de descifrado controlan cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.

Las siguientes opciones están disponibles para los perfiles de cifrado del proxy de reenvío SSL:
  • bloquear certificado caducado: bloquea sesiones si el certificado del servidor ha caducado. Esta opción evita el acceso a sitios potencialmente inseguros. Si esta opción no está seleccionada, los usuarios pueden conectarse y realizar transacciones con sitios potencialmente maliciosos y ver mensajes de advertencia cuando intentan conectarse, pero no se impide la conexión.
  • bloquear emisor que no es de confianza: bloquea sesiones si el certificado de servidor lo emite una autoridad de certificación que no es de confianza. Un emisor que no es de confianza puede indicar un ataque de medio, un ataque de reproducción u otro tipo de ataque.
  • Blocar timeout de certificado: bloquea sesiones si la comprobación de estado del certificado sufre un timeout. Las comprobaciones de estado de los certificados utilizan la lista de revocación de certificados (CRL) en un servidor de revocación o el protocolo de estado de certificados en línea (OCSP) para ver si la CA que ha emitido el certificado lo ha revocado. Los servidores de revocación pueden responder lentamente, lo que puede provocar un timeout de la sesión, incluso si el certificado es válido.
  • Block unsupported cipher: bloquea sesiones si el conjunto de cifrado SSL especificado en el establecimiento de comunicación SSL no está soportado.
  • Bloquear versión no soportada: bloquea sesiones si la versión de SSL especificada en el establecimiento de comunicación de SSL no está soportada.
  • Bloquear certificado desconocido: bloquea las sesiones si el estado del certificado se devuelve como "desconocido". Es posible que el estado del certificado sea desconocido por muchos motivos, por lo que debe utilizar esta opción en áreas de mayor seguridad de la red en lugar de hacerlo para seguridad general.
  • Restringir extensiones de certificados: restringe extensiones a uso de clave y uso de clave extendida. Utilice esta opción solo si el despliegue no necesita otras extensiones de certificado.
  • Inclusión automática de nombre alternativo: agrega automáticamente un nombre alternativo de sujeto (SAN) al certificado de suplantación si falta el certificado de servidor.
  • Block if no resources: bloquea sesiones si no hay suficientes recursos de procesamiento disponibles. Si no utiliza esta opción, el tráfico cifrado entra en la red que aún está cifrada, lo que pone en riesgo conexiones potencialmente peligrosas. El uso de esta opción podría afectar a la experiencia del usuario al hacer que los sitios sean temporalmente inaccesibles.
Las siguientes opciones están disponibles para los perfiles de cifrado de inspección de entrada SSL:
  • Block sessions with unsupported versions: bloquea sesiones que tienen una versión débil y no soportada del protocolo SSL.
  • Block unsupported cipher: bloquea sesiones si el conjunto de cifrado SSL especificado en el establecimiento de comunicación SSL no está soportado.
  • Block if no resources: bloquea sesiones si no hay suficientes recursos de procesamiento disponibles. Si no utiliza esta opción, el tráfico cifrado entra en la red que aún está cifrada, lo que pone en riesgo conexiones potencialmente peligrosas. El uso de esta opción podría afectar a la experiencia del usuario al hacer que los sitios sean temporalmente inaccesibles.
Límites:
  • Número máximo de secretos asignados para cada política: 300
  • Número máximo de secretos asignados de entrada SSL para cada política: 300
  • Número máximo de secretos asignados de proxy de reenvío SSL para cada política: 1
  • Número máximo de perfiles de descifrado para cada política: 500

Para crear un secreto asignado, consulte Creación de un secreto asignado.

Para crear un perfil de cifrado, consulte Create a Decryption Profile.

Acerca de las reglas de seguridad

Los firewalls utilizan reglas de seguridad para decidir qué tráfico de red está permitido o bloqueado. Cada regla contiene un juego de criterios con los que la información del paquete debe coincidir para aplicar la regla. Esto se denomina condición de coincidencia de regla.

Puede configurar una regla de seguridad para que coincida en función de la dirección de origen y destino, la aplicación, el servicio o la URL. La condición de coincidencia de origen y destino especificada para el tráfico consta de listas que se configuran en la política antes de crear la regla.

Importante

Si no se definen criterios de coincidencia en la regla de seguridad (se especifica una lista vacía para la regla), la regla coincide con criterios de comodín ("cualquier"). Este comportamiento se aplica a todo el tráfico examinado en la regla.
La acción de regla define cómo el firewall maneja el paquete si coincide con las condiciones especificadas. El firewall puede realizar las siguientes acciones:
  • Permitir tráfico: el tráfico puede continuar.
  • Borrar tráfico: el tráfico se borra de forma silenciosa y no se envía ninguna notificación de restablecimiento.
  • Rechazar tráfico: el tráfico se borra y se envía una notificación de restablecimiento.
  • Detección de intrusiones: se registra el tráfico.
  • Prevención de intrusiones: el tráfico está bloqueado.
    Importante

    Para utilizar la detección y prevención de intrusiones, active el registro. Consulte Logging Firewall Activity.
Límites:
  • Número máximo de reglas de seguridad para cada política: 10 000

Acerca de las reglas de inspección de túneles

Utilice reglas de inspección de túnel para inspeccionar el tráfico reflejado en un recurso de Oracle mediante el servicio Virtual Test Access Point. El tráfico capturado en el origen del punto de acceso de prueba virtual (VTAP) se encapsula en VXLAN y, luego, se envía al destino VTAP.

Puede reflejar todo el tráfico o utilizar un filtro de captura para reflejar solo el tráfico que le interesa.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall aplica un perfil de inspección de túnel de Palo Alto Networks® predeterminado. El perfil tiene las siguientes características y no se puede editar:

  • Nombre: VXLAN
  • Tipo:
  • Devuelva el túnel de VXLAN explorado al origen: verdadero. Devuelve el paquete encapsulado al punto final de túnel de VXLAN (VTEP) de origen.

El log de inspección de túnel proporciona información sobre el tráfico de VXLAN reflejado que pasa por el firewall.

Límites:
  • Número máximo de reglas de inspección de túneles para cada política: 500

Acerca de las reglas NAT

Las reglas NAT son un potente conjunto de instrucciones que rigen cómo se traduce o modifica el tráfico de red en el tráfico de red, ofreciendo una solución flexible y eficaz para gestionar direcciones IP y mejorar la seguridad. Con las reglas NAT, puede configurar un conjunto ordenado de reglas dentro de la política de firewall para ejecutar la traducción de direcciones de red de origen (SNAT) de varios a uno. Puede definir direcciones de origen y destino, junto con servicios, como criterios de coincidencia de reglas para tráfico específico.

Mediante la creación de una política de firewall y la incorporación de reglas NAT, puede implementar la traducción de direcciones de red de origen (SNAT) en el tráfico saliente, cambiando efectivamente la dirección IP de origen a una agrupación de direcciones SNAT que ocultan los detalles de la red interna. Cuando NAT está activada, las IP de NAT fija se asignan automáticamente desde la subred del firewall. Actualmente, las reglas NAT solo admiten IPv4.
Importante

El firewall solo puede realizar operaciones de NAT privada, no se admite la NAT pública.

Activar NAT en firewalls:

Para activar NAT en firewalls, asegúrese de que al menos cuatro IP de repuesto estén disponibles en la subred del firewall para un firewall de 4 Gbps y un mínimo de cinco IP de repuesto para un firewall de 25 Gbps.

Al aplicar reglas NAT, se aplican en un orden específico dentro de las operaciones de reglas. Las reglas NAT se aplican después de las reglas de descifrado, seguridad y túnel, lo que garantiza un proceso de gestión de red completo y seguro.

Al crear una política de firewall e incluir reglas NAT, puede asignarla a un firewall para activar la funcionalidad NAT. Con las reglas NAT, el firewall realiza la traducción de direcciones de origen privadas para el tráfico que coincide con las reglas NAT definidas.

Puede activar NAT en firewalls mediante:

  • Consola: al utilizar la consola para asociar una política de firewall a un firewall, NAT se activa automáticamente.
  • CLI/API: al utilizar la CLI o la API, debe activar explícitamente NAT para el firewall después de asociar la política de firewall. Esto garantiza que tenga un control preciso sobre cuándo y cómo se activa NAT.

Evaluación y aplicación de reglas NAT:

Las reglas NAT se evalúan en función de su orden de prioridad. Cuando el tráfico pasa por el firewall, las reglas se procesan de forma secuencial y se aplica la primera regla coincidente. Esto garantiza que la regla de prioridad más específica o más alta surta efecto, lo que le proporciona un control preciso sobre la traducción de direcciones de red. El firewall realiza NAT cuando se cumplen las condiciones de coincidencia de origen y destino especificadas, lo que garantiza que el tráfico se traduzca según las reglas definidas.

Desactivación de NAT en firewalls:

Tenga en cuenta que después de que una política de firewall que contiene reglas NAT esté asociada a un firewall, NAT no se puede desactivar (desactivar) en ese firewall. Para desactivar NAT, primero debe actualizar el firewall con una política que no incluya reglas NAT. Solo después de esta actualización puede desactivar NAT en el firewall. Esto garantiza que NAT se aplique de forma coherente y segura, en función de la presencia de reglas NAT en la política de firewall asociada.

Beneficios y consideraciones:

Las reglas NAT ofrecen varias ventajas, incluida una gestión eficiente de direcciones IP, una mayor seguridad mediante la traducción de direcciones IP de origen y la capacidad de distribuir el tráfico entrante para el equilibrio de carga. Sin embargo, es crucial tener en cuenta los requisitos mínimos de CIDR de la subred y el impacto de las IP de NAT fija en la infraestructura de red.

Límites:

  • Número máximo de reglas NAT para cada política de firewall: 2000
Consideraciones importantes para la configuración de NAT:
  • Funcionalidad de NAT privada: el firewall solo puede realizar operaciones de NAT privada; la NAT pública no está soportada.
  • Asignación de IP de NAT: las IP solo se asignan desde la subred de firewall exclusivamente.
  • Tamaño de agrupación NAT: para firewalls de 4 Gbps, la capacidad NAT requiere un mínimo de 4 IP de repuesto en la subred del firewall. Para el firewall de 25 Gbps, se requiere un mínimo de 5 IP de repuesto. Recomendamos reservar IP adicionales para adaptarse al crecimiento futuro del pool de NAT.
  • Soporte de NAT de origen: solo se admite NAT de origen. La NAT de destino no está soportada.
  • NAT/PAT dinámico: se admite NAT/PAT dinámico de varios a uno, lo que proporciona flexibilidad para manejar varias conexiones. La NAT estática uno a uno no está soportada.
  • Compatibilidad IPv4: solo se admiten direcciones IPv4 para NAT; no se admite IPv6.

Consulte también