Una tabla de firewall enumera las reglas para filtrar el tráfico de red hacia y desde los recursos de la nube privada. Puedes aplicar tablas de firewall a una VLAN o subred. Las reglas controlan el tráfico de red entre una red de origen o una dirección IP y una red de destino o dirección IP.
Reglas de firewall
En la siguiente tabla, se describen los parámetros de una regla de firewall.
| Property | Detalles |
|---|---|
| Nombre | Un nombre que identifica de forma única la regla de firewall y su propósito. |
| Prioridad | Un número entre 100 y 4096, con 100 como la prioridad más alta. Las reglas se procesan en orden de prioridad. Cuando el tráfico encuentra una coincidencia de regla, el procesamiento de la regla se detiene. Como resultado, no se procesan las reglas con prioridades más bajas que tienen los mismos atributos que las reglas con prioridades más altas. Ten cuidado de evitar reglas en conflicto. |
| Seguimiento de estado | El seguimiento puede ser sin estado (nube privada, Internet o VPN) o con estado (IP pública). |
| Protocolo | Las opciones incluyen Any, TCP o UDP. Si necesita ICMP, usa Any. |
| Dirección | Si la regla se aplica al tráfico entrante o saliente. |
| Acción | Permitir o rechazar el tipo de tráfico definido en la regla. |
| Origen | Una dirección IP, un bloque de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo) o cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de aplicaciones te permite crear menos reglas de seguridad. |
| Puerto de origen | Puerto desde el que se origina el tráfico de red. Puedes especificar un puerto o rango de puertos individual, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad. |
| Destino | Una dirección IP, un bloque CIDR (10.0.0.0/24, por ejemplo) o cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de aplicaciones te permite crear menos reglas de seguridad. |
| Puerto de destino | Puerto al que fluye el tráfico de red. Puedes especificar un puerto o rango de puertos individual, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad. |
Sin estado
Una regla sin estado solo analiza los paquetes individuales y los filtra según la regla.
Es posible que se requieran reglas adicionales para el flujo de tráfico en la dirección inversa. Usa reglas sin estado para el tráfico entre los siguientes puntos:
- Subredes de nubes privadas
- Subred local y una subred de nube privada
- Tráfico de Internet desde las nubes privadas
Con estado
Una regla con estado realiza un seguimiento de las conexiones que la atraviesan. Una regla con estado crea un registro de flujo para las conexiones existentes. La comunicación se permite o se rechaza según el estado de conexión del registro de flujo. Usa este tipo de regla para las direcciones IP públicas a fin de filtrar el tráfico desde Internet.
Reglas predeterminadas
Cada tabla de firewall tiene las siguientes reglas predeterminadas.
| Priority | Nombre | Seguimiento de estado | Dirección | Tipo de tráfico | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | Permitir todo en Internet | Con estado | Saliente | IP pública o tráfico de Internet | Todo | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Allow |
| 65001 | Negar todo desde Internet | Con estado | Entrante | IP pública o tráfico de Internet | Todo | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar |
| 65002 | Permitir todo en intranet | Sin estado | Saliente | tráfico de VPN o nube privada interna. | Todo | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Allow |
| 65003 | permitir desde intranet | Sin estado | Entrante | tráfico de VPN o nube privada interna. | Todo | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Allow |