Documentación de Oracle Cloud Infrastructure

Reglas de políticas de firewall

Una regla de política de firewall es un conjunto de criterios con los que coincide un paquete de red.

Las reglas se configuran en una política de firewall y, a continuación, la política se asocia a un firewall. A continuación, el firewall permite o deniega el tráfico según las reglas de su política asociada.

Las reglas se aplican a un paquete de red con los siguientes criterios específicos:
  • Las reglas de cifrado se aplican siempre antes de las reglas de seguridad.
  • Las reglas de descifrado y las reglas de seguridad se aplican mediante un orden de prioridad que puede definir
Después de asociar una política a un firewall, el firewall comienza a permitir o denegar el tráfico en función de las reglas de la política de la siguiente manera:
  1. El firewall evalúa las reglas de descifrado en orden de lista de prioridades.
  2. Cuando una regla de descifrado coincide con la información del paquete, el firewall aplica la acción de regla especificada.
  3. Cuando se aplica una acción de regla, el firewall no evalúa ninguna otra regla de descifrado.
  4. Si la información del paquete no coincide con ninguna regla de descifrado, el firewall no descifra el paquete.
  5. El firewall evalúa las reglas de seguridad en orden de lista de prioridades.
  6. Cuando una regla de seguridad coincide con la información del paquete, el firewall aplica la acción de regla especificada.
  7. Cuando se aplica una acción de regla, el firewall no evalúa ninguna otra regla de seguridad.
  8. Si la información del paquete no coincide con ninguna regla de seguridad, el firewall borra el paquete.
Importante

  • Las reglas son opcionales, pero si la política que utiliza con un firewall no tiene al menos una regla especificada, el firewall deniega todo el tráfico de red.
  • De forma predeterminada, cada nueva regla que cree se convierte en la primera de la lista de prioridades. Puede cambiar el orden de prioridad en cualquier momento.

Acerca de las reglas de descifrado

Las reglas de descifrado descifran el tráfico de un origen, destino o ambos elementos especificados. La condición de coincidencia de origen y destino especificada para el tráfico consta de listas de direcciones que se configuran en la política antes de crear la regla.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall realiza la acción de regla. Puede optar por realizar las siguientes acciones:

  • Descifrar tráfico con proxy de reenvío SSL
  • Descifrar tráfico con inspección de entrada SSL
  • No descifrar el tráfico.

Si decide descifrar, seleccione un perfil de descifrado y un secreto asignado para aplicar al descifrar el tráfico. Puede configurar perfiles de descifrado y secretos asignados en la política antes de crear la regla. Por defecto, el orden de prioridad de las reglas de descifrado es su orden de creación. Se puede cambiar el orden de prioridad.

Límites:
  • Número máximo de reglas de descifrado para cada política: 1.000

Para crear reglas de cifrado, consulte Create a Decryption Rule.

Acerca de las reglas de seguridad

Los firewalls utilizan reglas de seguridad para decidir qué tráfico de red está permitido o bloqueado. Cada regla contiene un juego de criterios con los que la información del paquete debe coincidir para aplicar la regla. Esto se denomina condición de coincidencia de regla.

Puede configurar una regla de seguridad para que coincida en función de la dirección de origen y destino, la aplicación, el servicio o la URL. La condición de coincidencia de origen y destino especificada para el tráfico consta de listas que se configuran en la política antes de crear la regla.

Importante

Si no se definen criterios de coincidencia en la regla de seguridad (se especifica una lista vacía para la regla), la regla coincide con criterios de comodín ("cualquier"). Este comportamiento se aplica a todo el tráfico examinado en la regla.
La acción de regla define cómo el firewall maneja el paquete si coincide con las condiciones especificadas. El firewall puede realizar las siguientes acciones:
  • Permitir tráfico: el tráfico puede continuar.
  • Borrar tráfico: el tráfico se borra de forma silenciosa y no se envía ninguna notificación de restablecimiento.
  • Rechazar tráfico: el tráfico se borra y se envía una notificación de restablecimiento.
  • Detección de intrusiones: se registra el tráfico.
  • Prevención de intrusiones: el tráfico está bloqueado.
    Importante

    Para utilizar la detección y prevención de intrusiones, también debe activar el registro. Consulte Logging Firewall Activity.
Límites:
  • Número máximo de reglas de seguridad para cada política: 10 000

Para crear reglas de seguridad, consulte Creación de una regla de seguridad.

Acerca de las reglas de inspección de túneles

Utilice reglas de inspección de túnel para inspeccionar el tráfico reflejado en un recurso de Oracle mediante el servicio OCI Virtual Test Access Point (VTAP). El tráfico capturado en el origen de VTAP se encapsula en VXLAN y, luego, se envía al destino de VTAP. Consulte RFC 7348.

Puede reflejar todo el tráfico o utilizar un filtro de captura para reflejar solo el tráfico que le interesa. Para obtener más información, consulte Visión general de puntos de acceso de prueba virtual.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall aplica un perfil de inspección de túnel de Palo Alto Networks® predeterminado. El perfil tiene las siguientes características y no se puede editar:

  • Protocolo: VXLAN
  • Niveles máximos de inspección de túnel: se inspecciona un nivel de encapsulación
  • Devuelva el túnel de VXLAN explorado al origen: verdadero. Devuelve el paquete encapsulado al punto final de túnel de VXLAN (VTEP) de origen.

Puede activar logs de inspección de túneles que le permitan ver e identificar el tráfico de VXLAN.

Límites:
  • Número máximo de reglas de inspección de túneles para cada política: 500

Para crear reglas de inspección de túnel, consulte Creación de una regla de inspección de túnel.

Componentes de reglas de política de firewall

Los componentes de la regla de política de firewall incluyen listas de políticas de firewall y perfiles de descifrado. Cree una lista de políticas de firewall para agrupar aplicaciones, servicios, direcciones URL o direcciones para utilizarlas en una regla para una política de firewall. Todos los elementos de una lista se tratan del mismo modo cuando se utilizan en una regla. Para incluir cualquier elemento en una regla, primero debe agregarse a una lista. A continuación, se puede hacer referencia a la lista en una regla.

Cree un perfil de cifrado con un secreto asignado para controlar cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.

Obtenga más información sobre Creación de componentes de regla de política de firewall.

Secretos asignados y perfiles de descifrado

Si una política de firewall utiliza reglas de cifrado que utilicen autenticación de certificado, debe configurar secretos asignados y perfiles de descifrado.

Los secretos asignados son secretos que se crean en el servicio Vault y, a continuación, se asignan a claves SSL de entrada o salida. Los secretos se utilizan para descifrar e inspeccionar el tráfico SSL/TLS con el proxy de reenvío SSL y la inspección de entrada SSL.

Si tiene previsto utilizar el proxy de reenvío SSL o la inspección de entrada SSL, configure un almacén y los secretos antes de empezar a configurar una política con reglas. Consulte Setting Up Network Traffic Decryption and Inspection.

Los perfiles de descifrado controlan cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.

Las siguientes opciones están disponibles para los perfiles de cifrado del proxy de reenvío SSL:
  • bloquear certificado caducado: bloquea sesiones si el certificado del servidor ha caducado. Esta opción evita el acceso a sitios potencialmente inseguros. Si no se selecciona esta opción, los usuarios pueden conectarse y realizar transacciones con sitios potencialmente maliciosos y ver mensajes de advertencia cuando se intentan conectar, pero no se impide la conexión.
  • bloquear emisor que no es de confianza: bloquea sesiones si el certificado de servidor lo emite una autoridad de certificación que no es de confianza. Un emisor que no es de confianza puede indicar un ataque de medio, un ataque de reproducción u otro tipo de ataque.
  • Blocar timeout de certificado: bloquea sesiones si la comprobación de estado del certificado sufre un timeout. Las comprobaciones de estado de los certificados utilizan la lista de revocación de certificados (CRL) en un servidor de revocación o el protocolo de estado de certificados en línea (OCSP) para ver si la CA que ha emitido el certificado lo ha revocado. Los servidores de revocación pueden responder con lentitud, lo que puede provocar un timeout de la sesión, incluso si el certificado es válido.
  • Block no soportado cipher: bloquea sesiones si el conjunto de cifrado SSL especificado en el establecimiento de comunicación SSL no está soportado.
  • Bloquear versión no soportada: bloquea las sesiones si la versión de SSL especificada en el establecimiento de comunicación de SSL no está soportada.
  • Block unknown certificate: bloquea sesiones si el estado del certificado se devuelve como "unknown". Es posible que el estado del certificado sea desconocido por muchos motivos, por lo que debe utilizar esta opción en áreas de mayor seguridad de la red en lugar de hacerlo para seguridad general.
  • Restringir extensiones de certificados: restringe extensiones a uso de clave y uso de clave extendida. Utilice esta opción solo si el despliegue no necesita otras extensiones de certificado.
  • Inclusión automática de nombre alternativo: agrega automáticamente un nombre alternativo de sujeto (SAN) al certificado de suplantación si falta el certificado de servidor.
  • Block if no resources: bloquea sesiones si no hay suficientes recursos de procesamiento disponibles. Si no utiliza esta opción, el tráfico cifrado entra en la red que aún está cifrada, lo que pone en riesgo conexiones potencialmente peligrosas. El uso de esta opción podría afectar a la experiencia del usuario al hacer que los sitios sean temporalmente inaccesibles.
Las siguientes opciones están disponibles para los perfiles de cifrado de inspección de entrada SSL:
  • Block sessions with unsupported versions: bloquea sesiones que tienen una versión débil y no soportada del protocolo SSL.
  • Block no soportado cipher: bloquea sesiones si el conjunto de cifrado SSL especificado en el establecimiento de comunicación SSL no está soportado.
  • Block if no resources: bloquea sesiones si no hay suficientes recursos de procesamiento disponibles. Si no utiliza esta opción, el tráfico cifrado entra en la red que aún está cifrada, lo que pone en riesgo conexiones potencialmente peligrosas. El uso de esta opción podría afectar a la experiencia del usuario al hacer que los sitios sean temporalmente inaccesibles.
Límites:
  • Número máximo de secretos asignados para cada política: 300
  • Número máximo de secretos asignados de entrada SSL para cada política: 300
  • Número máximo de secretos asignados de proxy de reenvío SSL para cada política: 1
  • Número máximo de perfiles de cifrado para cada política: 500

Para crear un secreto asignado, consulte Creación de un secreto asignado.

Para crear un perfil de cifrado, consulte Create a Decryption Profile.