Tablas de firewall

Una tabla de firewall enumera las reglas para filtrar el tráfico de red hacia y desde los recursos de la nube privada. Puedes aplicar tablas de firewall a una VLAN o subred. Las reglas controlan el tráfico de red entre una red de origen o una dirección IP y una red de destino o dirección IP.

Reglas de firewall

En la siguiente tabla, se describen los parámetros de una regla de firewall.

Property Detalles
Nombre Un nombre que identifica de forma única la regla de firewall y su propósito.
Prioridad Un número entre 100 y 4096, con 100 como la prioridad más alta. Las reglas se procesan en orden de prioridad. Cuando el tráfico encuentra una coincidencia de regla, el procesamiento de la regla se detiene. Como resultado, no se procesan las reglas con prioridades más bajas que tienen los mismos atributos que las reglas con prioridades más altas. Ten cuidado de evitar reglas en conflicto.
Seguimiento de estado El seguimiento puede ser sin estado (nube privada, Internet o VPN) o con estado (IP pública).
Protocolo Las opciones incluyen Any, TCP o UDP. Si necesita ICMP, usa Any.
Dirección Si la regla se aplica al tráfico entrante o saliente.
Acción Permitir o rechazar el tipo de tráfico definido en la regla.
Origen Una dirección IP, un bloque de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo) o cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de aplicaciones te permite crear menos reglas de seguridad.
Puerto de origen Puerto desde el que se origina el tráfico de red. Puedes especificar un puerto o rango de puertos individual, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad.
Destino Una dirección IP, un bloque CIDR (10.0.0.0/24, por ejemplo) o cualquiera. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de aplicaciones te permite crear menos reglas de seguridad.
Puerto de destino Puerto al que fluye el tráfico de red. Puedes especificar un puerto o rango de puertos individual, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad.

Sin estado

Una regla sin estado solo analiza los paquetes individuales y los filtra según la regla.

Es posible que se requieran reglas adicionales para el flujo de tráfico en la dirección inversa. Usa reglas sin estado para el tráfico entre los siguientes puntos:

  • Subredes de nubes privadas
  • Subred local y una subred de nube privada
  • Tráfico de Internet desde las nubes privadas

Con estado

Una regla con estado realiza un seguimiento de las conexiones que la atraviesan. Una regla con estado crea un registro de flujo para las conexiones existentes. La comunicación se permite o se rechaza según el estado de conexión del registro de flujo. Usa este tipo de regla para las direcciones IP públicas a fin de filtrar el tráfico desde Internet.

Reglas predeterminadas

Cada tabla de firewall tiene las siguientes reglas predeterminadas.

Priority Nombre Seguimiento de estado Dirección Tipo de tráfico Protocolo Origen Puerto de origen Destino Puerto de destino Acción
65000 Permitir todo en Internet Con estado Saliente IP pública o tráfico de Internet Todo Cualquiera Cualquiera Cualquiera Cualquiera Allow
65001 Negar todo desde Internet Con estado Entrante IP pública o tráfico de Internet Todo Cualquiera Cualquiera Cualquiera Cualquiera Denegar
65002 Permitir todo en intranet Sin estado Saliente tráfico de VPN o nube privada interna. Todo Cualquiera Cualquiera Cualquiera Cualquiera Allow
65003 permitir desde intranet Sin estado Entrante tráfico de VPN o nube privada interna. Todo Cualquiera Cualquiera Cualquiera Cualquiera Allow

Qué sigue