Una tabla de firewall enumera las reglas para filtrar el tráfico de red desde los recursos de nube privada y hacia ellos. Puedes aplicar tablas de firewall a una VLAN o subred. Las reglas controlan el tráfico de red entre una red de origen o una dirección IP y una red de destino o dirección IP.
Reglas de firewall
En la siguiente tabla, se describen los parámetros en una regla de firewall.
| Parámetro | Detalles |
|---|---|
| Nombre | Un nombre que identifique de forma única la regla de firewall y su propósito. |
| Prioridad | Un número entre 100 y 4,096, con 100 como la prioridad más alta. Las reglas se procesan en orden de prioridad. Cuando el tráfico se encuentra con una coincidencia de regla, el procesamiento de reglas se detiene. Como resultado, no se procesan las reglas con prioridades más bajas que tengan los mismos atributos que las reglas con prioridades más altas. Asegúrate de evitar las reglas en conflicto. |
| Seguimiento de estado | El seguimiento puede ser sin estado (nube privada, Internet o VPN) o con estado (IP pública). |
| Protocolo | Entre las opciones se incluyen Cualquiera, TCP o UDP. Si necesitas ICMP, usa Cualquiera. |
| Dirección | Indica si la regla se aplica al tráfico entrante o saliente. |
| Acción | Permite o rechaza el tipo de tráfico definido en la regla. |
| Origen | Una dirección IP, un bloque de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo) o Cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad para aplicaciones te permite crear menos reglas de seguridad. |
| Puerto de origen | Puerto desde el que se origina el tráfico de red. Puedes especificar un puerto individual o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad. |
| Destino | Una dirección IP, un bloque CIDR (10.0.0.0/24, por ejemplo) o Cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad para aplicaciones te permite crear menos reglas de seguridad. |
| Puerto de destino | Puerto al que fluye el tráfico de red. Puedes especificar un puerto individual o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad. |
Reglas sin estado
Una regla sin estado analiza solo paquetes individuales y los filtra en función de la regla. Usa reglas sin estado para el tráfico entre los siguientes puntos:
- Subredes de nubes privadas
- Una subred local y una subred de nube privada
- Tráfico de Internet desde las nubes privadas
Reglas con estado
Una regla con estado hace un seguimiento de las conexiones que pasan por ella. Una regla con estado crea un registro de flujo para las conexiones existentes. Se permite o rechaza la comunicación según el estado de conexión del registro de flujo. Usa este tipo de regla para las direcciones IP públicas a fin de filtrar el tráfico de Internet.
Reglas predeterminadas
Cada tabla de firewall tiene las reglas predeterminadas que se describen en la siguiente tabla:
| Prioridad | Nombre | Seguimiento de estado | Dirección | Tipo de tráfico | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | Con estado | Saliente | IP pública o tráfico de Internet | Todos | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Permitir |
| 65001 | deny-all-from-internet | Con estado | Entrante | IP pública o tráfico de Internet | Todos | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Rechazar |
| 65002 | allow-all-to-intranet | Sin estado | Saliente | Tráfico de VPN o nube privada interna | Todos | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Permitir |
| 65003 | allow-all-from-intranet | Sin estado | Entrante | Tráfico de VPN o nube privada interna | Todos | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Permitir |